Eficiencia y Eficacia en un CSOC: Una perspectiva para la tecnología SOAR
Mientras estaba en la generación de documentos para un gran proyecto de ciberseguridad, una situación retumbaba en mi mente. Una situación, que muchos equipos de operaciones de seguridad, (que comúnmente se conoce como Blue Team) enfrenta recurrentemente.
Para este proyecto, tuvimos interacción con el Blue Team en diversas ocasiones para solicitar cierta información de la infraestructura. Sus respuestas siempre tenían las mismas características: se confirmaba el apoyo, tenían la actitud de escuchar la necesidad, y siempre accedían a mandar la información. Sin embargo, en la mayoría de las ocasiones no se cumplían los tiempos de entrega.
El asunto, es que el Blue Team, siempre está agobiado con inmensa cantidad de incidencias de seguridad que atienden y a los que dan seguimiento. Esto es normal para ellos, ya que están a cargo de diversas tecnologías de ciberseguridad en una organización determinada, y la gran mayoría de las tareas que realizan, son repetitivas, tal como recibir la alerta de un evento, verificar que no sea un falso positivo, documentar el evento, validar que no sea un incidente, validar contra algunas herramientas, obtener información relacionada al evento, hacer bloqueos de ciertas IP origen o destino, o hacer algún ajuste en alguna plataforma de seguridad, así como validar que las acciones fueron efectivas, terminar la documentación del evento en los sistemas de reporteo y ejecutar las notificaciones correspondientes.
Desde este punto de vista pareciera ser algo común en un CSOC, sin embargo, por estar inmensos en estas tareas, el equipo pierde de vista los objetivos relevantes para el negocio sobre los ciberataques, dejando de lado actividades como la cacería o la inteligencia de amenazas. Aquí es donde toma relevancia la tecnología conocida como SOAR (Security Orquestration Automation and Response). Gracias a este tipo de tecnologías, es posible automatizar los flujos o procesos rutinarios en la operación, ayudando a reducir el tiempo de atención hasta en un 85% sin la necesidad de intervención de los especialistas.
Esta tecnología toma el control desde la aparición de un evento, incluyendo notificaciones, documentación, validación de escenarios con diversas herramientas, y el ajuste necesario en la plataforma definida concluyendo con más notificaciones y documentación. El apoyo de estas herramientas brinda al Blue Team la posibilidad de enfocarse en tareas más relevantes para el negocio y adelantarse de forma proactiva a fortalecer la defensa de los activos de la organización.
Estoy convencido de que la evolución de las operaciones de seguridad llevará a muchos equipos de ciberseguridad a utilizar esta clase de tecnología, la cual tiene un impacto directo en beneficios para el negocio de las organizaciones que la adopte.
En Ikusi podemos acompañarte para mejorar la eficacia y eficiencia de las operaciones de ciberseguridad logrando un impacto positivo en el negocio de tu organización, conoce cómo lo hacemos aquí.