Pasar al contenido principal

SOC - (Centro de Operaciones de Seguridad)

 ¿Qué es?

Un SOC (Security Operations Center, Centro de Operaciones de Seguridad) consiste en un equipo responsable de garantizar la seguridad de la información de una organización. En estos centros se analiza la actividad de redes, servidores, bases de datos, aplicaciones y otros sistemas en busca de un comportamiento anormal que pueda indicar un compromiso de seguridad. En general, las tareas del SOC se realizan en dos modalidades:

SOC propio: Es el modelo más tradicional y es el que normalmente se da en las empresas de mayor tamaño, donde se gestiona de forma interna el hardware, software y personal necesario para la realización de sus tareas.

SOC como servicio: El servicio es prestado por un tercero, el cual asume la realización de las tareas, poniendo a disposición de la empresa contratante sus instalaciones, personal, experiencia, inteligencia y competencias para el desarrollo de las tareas.

Cuál es la estructura de un SOC

Para garantizar que las actividades que se describirán en los siguientes puntos se realizan de forma eficiente y efectiva en horario 24x7 la estructura básica de operación de un SOC es la siguiente:

Nivel 1: Conformado por operadores que monitorizan continuamente las alertas que recibe el SOC. Los analistas evalúan estas alertas de seguridad y, si alcanzan el umbral predefinido según la política del SOC, se escalan al nivel 2.

Nivel 2: Los analistas determinan si los datos o el sistema se han visto afectados y, de ser así, recomendarán una respuesta.

Nivel 3: Está compuesto por profesionales altamente capacitados, que se encargan de resolver los incidentes, pero también de buscar posibles incidentes con el fin de prevenirlos.

Especialistas Correlación: Esta conformado por perfiles técnicos con altos conocimientos sobre la correlación de eventos y gestión de SIEM.

Analista de Inteligencia: Esta conformado por perfiles que se encargan de estudiar y diseccionar el comportamiento de los distintos atacantes con el fin de proporcionar la información necesaria al resto de grupos para instaurar casos de correlación que puedan detectar estos comportamientos en la red de la compañía.

Equipo DFIR: Se encargan de dar respuesta a los incidentes de seguridad (Digital Forensic & Incident Response). Está conformado con perfiles profesionales altamente capacitados y con experiencia en la gestión de incidentes de seguridad.

Funciones principales

Aunque cada SOC tiene sus particularidades, sus tareas suelen abarcan todas las fases de un incidente de seguridad, desde la detección hasta la erradicación. A continuación, se incluyen un resumen de las tareas básicas que suelen ser realizadas desde un SOC.

  • Mantener el control y la visibilidad sobre todos los recursos disponibles, desde los dispositivos, aplicaciones y procesos que hay que proteger, hasta los sistemas y herramientas que se usan para monitorizarlos, detectarlos y protegerlos.
  • Garantizar la monitorización continua y proactiva para la detección temprana o incluso anticipada de amenazas, con el fin de mitigar y prevenir daños.
  • Implementar medidas preventivas manteniéndose al día de las últimas innovaciones de seguridad, diseñando un plan de respuesta a incidentes y una planificación de acciones relacionadas con la seguridad. La mejora continua es esencial para anticiparse a los cibercriminales.
  • Analizar y gestionar las alertas para clasificarlas según su criticidad y prioridad.
  • Gestionar y analizar los logs relacionados con la actividad de red para detectar amenazas de forma proactiva y evitar problemas de seguridad. Los sistemas SIEM se suelen usar para agregar todos los datos de las aplicaciones, sistemas informáticos y sistemas de seguridad.
  • Responder y llevar a cabo las acciones necesarias para asegurar que el impacto en la continuidad del negocio sea mínimo cuando se confirma un incidente de seguridad. De la misma forma, se procederá a la restauración y recuperación de los datos que puedan haberse visto comprometidos o perdidos.
  • Analizar e informar del origen y causa de los incidentes de seguridad para ayudar a evitar problemas similares en el futuro.
  • Garantizar el cumplimiento de la regulación.

De forma adicional algunos SOC cuenta con especialistas en las siguientes funciones que proporcionan mayor utilidad al mismo:

  • Gestión de vulnerabilidades
  • Inteligencia de Amenazas
  • Cierre de fraudes
  • Recuperación de Credenciales en venta en la Deep Web o Market ilegítimos
  • Análisis de malware
  • Diseño de arquitectura de Red

Beneficios

 Algunos de los principales beneficios que aporta disponer de un SOC, ya se de forma interna o contratado como servicio son:

  • Mejora en la detección de incidentes de seguridad
  • Reducción de los tiempos de respuesta ante incidentes
  • Defensa proactiva ante incidentes e intrusiones
  • Ahorro de costes al enfrentarse a incidentes de seguridad
  • Protección de datos y mejora de la confianza de los consumidores
  • Mayor transparencia y control sobre las operaciones de seguridad
  • Reducción de tiempo de exposición de la información
  • Reducción del tiempo de recuperación de sistemas en caso de incidente
  • Conocimiento sobre los riesgos que atañen a la compañía según el sector en el que se encuentran.
  • Creación de casos de correlación acotados y personalizados.

Referencias

https://www.incibe-cert.es/

https://www.s21sec.com/es/soc-gestionado-siem-como-servicio/