SOC de alto nivel Desarrollo de un centro de operaciones de seguridad sensible, escalable y accionable

Informes
Ago 21, 2018

Red y Tendencias de Seguridad

Los actuales límites de la red distribuidos y rápidamente difuminados desafían las capacidades de las organizaciones para rastrear y administrar los datos que se recolectan desde casi cualquier dispositivo, procesar y almacenar esos datos prácticamente en cualquier parte del planeta, y escalar y redistribuir los recursos para satisfacer las nuevas demandas.

La proliferación de dispositivos de IoT, la informática en la nube, los consumidores de dispositivos móviles y las aplicaciones en línea están acelerando este cambio. A medida que los límites de la red continúan difuminándose y expandiéndose, las posibles fuentes, la frecuencia y los tipos de amenazas que enfrentan las organizaciones se están expandiendo y volviéndose más prevalentes y sofisticadas también. El efecto es que la probabilidad de brecha de seguridad ahora es más alta que nunca.

Los ataques de alto perfil han provocado que las juntas directivas y los ejecutivos de nivel C adopten el lema “todas las iniciativas empresariales deben estar vinculadas a un componente de iniciativa de seguridad” para manejar el riesgo y garantizar el éxito. Lamentablemente, los métodos, las tecnologías y los procedimientos de seguridad heredados para manejar las amenazas y responder a las brechas ya no son estrategias viables ni sustentables para proteger los actuales entornos de red distribuidos y altamente dinámicos. Las organizaciones que tardan en adoptar las nuevas posturas y tecnologías de seguridad necesarias para manejar los riesgos actuales están aprendiendo de la peor manera que simplemente seguir los estándares de cumplimiento normativo no proporciona necesariamente la estrategia o la solución para las operaciones de seguridad integrales o cohesivas que su red requiere. A pesar de las inversiones nunca vistas en dispositivos de seguridad, las brechas continúan siendo una situación común, incluso para aquellas organizaciones cuyas redes se considera que “cumplen” con los estándares regulatorios. Esto conduce al entendimiento de que las nuevas redes actuales requieren un nuevo liderazgo, nuevas ideas, nuevas herramientas y nuevos procesos. Para muchas organizaciones, este ha sido el ímpetu para construir o mejorar las capacidades de sus centros de operaciones de seguridad (SOC), mientras que otros se están pasando a subcontratar a un proveedor de servicios administrados (MSP) para realizar sus proyectos de seguridad.

El SOC como una estrategia

La administración de las operaciones de seguridad contra las amenazas actuales requiere una visibilidad adaptable, junto con la recopilación y correlación de la inteligencia local y global para anticiparse tanto a las amenazas actuales como futuras. Igual de crítico es el análisis más profundo y contextual para detectar y responder más rápidamente a esas amenazas. Si su organización está creando un SOC por primera vez, necesitará comprender claramente algunas de las dificultades que enfrentan los SOC actuales para minimizarlas tanto como sea posible:

En Las amenazas están creciendo en sofisticación y volumen. Para muchos equipos de seguridad, monitorear este entorno puede crear fácilmente un escenario de sobrecarga de información. Existen demasiadas alertas y ningún medio fácil para priorizarlas.
Es imposible proteger todo de manera confiable.
Debido a la división de responsabilidades entre los equipos de TI, las redes dinámicamente cambiantes y la infraestructura de seguridad poco sistemática, la mayoría de los SOC tienen una visibilidad limitada de los activos y procesos críticos de la compañía.
Muchos SOC se desarrollaron de manera sistemática a lo largo del tiempo y también desarrollaron procesos, herramientas y metodologías específicas, que en su mayoría se ejecutan de forma manual. La automatización limitada reduce la capacidad de responder a las amenazas con la rapidez suficiente como para evitar el compromiso.
Tienen un conocimiento limitado de sus adversarios de seguridad.

El centro de operaciones de seguridad (SOC)

Existen tres componentes estándar de hecho interrelacionados que componen un SOC: personas, proceso y tecnología.

Personas

Las personas son el núcleo del SOC. Puede tener toda la tecnología y los procesos más recientes, pero eso solo puede mantenerlo actualizado. Necesita personal calificado en el SOC para ejecutarlo y hacerlo efectivo. Además de tener habilidades técnicas, es muy importante que interactúen bien con la administración, comprendan los requerimientos de la estructura de personal y muestren buenas relaciones interpersonales. Para retener a las personas idóneas, deberá brindar capacitación y una carrera profesional satisfactoria. Esto también incluye a las personas que entran en contacto con la red, como los empleados, los clientes y los proveedores

Proceso

Los procesos bien definidos son tan importantes para el SOC como las personas. Los buenos procesos generan eficiencia y efectividad, estos se deben definir y probar regularmente para verificar su efectividad en el análisis y los esfuerzos de la administración frente a los estándares comerciales, tecnológicos, operativos y los indicadores clave de rendimiento (KPI).

Tecnología
Igualmente importante es la tecnología que se utiliza para habilitar el SOC. Debe considerar qué productos, tipos de datos de eventos, capacidades de correlación y fuentes adicionales de información contextuales son necesarios para mejorar las capacidades de detección.

Una solución de operaciones de seguridad integrada

La creación de un SOC comienza con el conocimiento de su negocio, que incluye: ¿Cuáles son sus iniciativas corporativas actuales? ¿Qué tan crítica es cada una para el éxito de la empresa? ¿Qué debe medirse y monitorearse?, y ¿Cuáles son los objetivos para el rendimiento? ¿Qué iniciativas futuras se deben considerar y habilitar? ¿Qué riesgos actuales y futuros se deben monitorear y administrar? y ¿Cuál es el nivel de riesgo que la empresa está dispuesta a asumir para garantizar el éxito? En Fortinet, empezamos con Security FabricFortinet, un marco de trabajo de seguridad holística diseñado en un sistema operativo común y soluciones integradas, lo que le permite adaptarse dinámicamente a sus cambiantes necesidades de infraestructura de TI y defender su superficie de ataque impredecible y de rápida evolución. Security Fabric permite a las organizaciones segmentar y microsegmentar de manera inteligente y transparente sus redes e integrar protecciones avanzadas contra amenazas sofisticadas en el entorno distribuido. Dado que las herramientas de Fortinet y de sus socios se basan en un conjunto común de estándares abiertos, cada elemento de seguridad en la Fabric se reconoce entre sí, lo que les permite compartir e impulsar políticas, integrar inteligencia frente a amenazas, comprender la información del flujo de la aplicación y sincronizar automáticamente una respuesta coordinada frente a las amenazas que se detectan. Los componentes clave de las operaciones de seguridad de Fortinet incluyen:

FortiAnalyzer: proporciona un análisis de amenazas centralizado de los datos recopilados de dispositivos de red y seguridad distribuidos por la red, lo que permite una detección de amenazas mucho más rápida y precisa.

FortiManager: permite al SOC y al personal del centro de operaciones de red (NOC) iniciar y sincronizar una respuesta coordinada ante una amenaza detectada en todos los dispositivos de Fortinet, sin importar qué parte de la red se vea comprometida. Adicionalmente, una parte integral de este marco de trabajo de seguridad distribuido está integrado por un número creciente de socios tecnológicos de Fortinet. Inteligencia frente a amenazas

FortiGuard: agrega dinámicamente inteligencia frente a amenazas globales a su perfil de ataque para garantizar la detección actual y precisa de amenazas en tiempo real.

FortiSIEM: ofrece a los equipos del SOC la visibilidad centralizada que se necesita para administrar mejor una variedad de entornos de seguridad, rendimiento y cumplimiento que cambian rápidamente y las necesidades de la empresa. Proporciona tecnología de detección de amenazas patentada y líder en la industria que correlaciona de forma cruzada, en tiempo real, los análisis del NOC y SOC, permitiendo que cualquier implementación del SOC comprenda mejor el contexto más amplio de su entorno.

El formato de appliance virtual de FortiSIEM permite una implementación de soluciones simple y rápida que integra automáticamente cientos de operaciones y dispositivos de hardware de red y seguridad, que incluye aquellos fuera de la familia Fortinet. Su capacidad única para descubrir dispositivos conectados a la red y para autoaprender sus configuraciones le permite crear una base de datos de administración dinámica centralizada (CMDB). Puede entonces establecer el contexto del evento y analizar la inteligencia frente a amenazas recopilada con las integraciones tanto de la inteligencia frente a amenazas FortiGuard como de fuentes de inteligencia frente a amenazas de terceros. También proporciona informes precompilados para todas las necesidades comunes, incluidos los estándares de cumplimiento normativo y la administración de las aplicaciones de la empresa. FortiSIEM también admite una arquitectura multiinquilino para informar sobre segmentos de red y entornos virtuales y lógicos separados. Todo esto se puede administrar y controlar a través de su consola de panel único que reduce la complejidad y el tiempo que lleva detectar las amenazas. Además, su diseño altamente escalable asegura que las organizaciones puedan procesar su volumen cada vez mayor de datos de registro y eventos sin interrupción. Este conjunto de soluciones combinadas, entrelazadas en un Security Fabric dinámico y receptivo, integra el monitoreo y la administración de seguridad desde el endpoint, la capa de acceso, las aplicaciones, la red, el centro de datos y la nube en una única solución de seguridad cooperativa que brinda visibilidad adaptativa, control y el análisis requerido incluso por los entornos del SOC más desafiantes.