Los piratas informáticos nunca duermen, entonces, ¿por qué se debe defender la empresa? Los actores de amenaza prefieren dirigirse a negocios fuera del horario comercial. Ahí es cuando pueden esperar menos sistemas de monitoreo de personal de seguridad y retrasar las respuestas y reparaciones.
Cuando el gigante minorista Marks & Spencer pasó por un evento de seguridad durante el fin de semana de Pascua, se vieron obligados a cerrar su negocio en línea.
La mayoría del personal está fuera del horario comercial y de vacaciones, por lo que lleva tiempo reunir un equipo de respuesta a incidentes y comenzar las contramedidas. Esto permite a los atacantes moverse de lado dentro de la red, aumentando el tiempo que lleva estragos antes de que reaccionen los equipos de seguridad.
Si bien no todas las organizaciones están listas para el personal de sus equipos internos durante todo el día, construir un SoC 24/7 es una de las formas más robustas y agresivas de proteger contra los ataques fuera de horas. El resto de esta publicación explora por qué la vigilancia 24/7 es tan importante, los desafíos de lograrla y seis pasos prácticos el éxito de SOC 24/7.
La importancia y los desafíos de los SOC 24/7
El SOC es el corazón de la defensa cibernética de una organización. Desempeña un papel clave en la detección, investigación y respuesta a posibles amenazas en torno al período de 24 horas, proporcionando detección y resolución de amenazas en tiempo real. Agregar automatización solo mejora, especialmente cuando todos celebran o se centran en las tareas de fin de semana.
Sin embargo, ejecutar un SoC 24/7 no es fácil. Requiere un equilibrio perfecto de procesos probados, herramientas avanzadas y profesionales calificados.
La planificación y la automatización adecuadas son importantes
Si los expertos en seguridad no pueden mantenerse al día con las demandas de cambio en la superficie del ataque, la IA puede marcar la diferencia. Junto con las personas y procesos adecuados, la IA permite la eficiencia al automatizar la detección de amenazas, los tiempos de respuesta más rápidos y mejora la actitud general de seguridad. Veamos dónde encaja la IA con la construcción del proceso correcto.
Un enfoque de 6 pasos para construir un SoC 24/7
Ejecutar un SOC exitoso son las siguientes seis medidas que su organización necesita para darse cuenta:
1. Construir una base específica de la organización
El establecimiento de un SoC robusto las 24 horas, los 7 días de la semana, comienza con la definición de una misión y un alcance claros que se alinea con sus objetivos comerciales generales. Tener una estrategia clara puede ayudarlo a determinar sus requisitos de cobertura de seguridad.
Un caso sólido de vigilancia de seguridad, 24/7, es importante ya que el presupuesto determina quién es contratado y qué herramientas de seguridad están integradas. Esto no debería ser difícil dados los ejemplos recientes de ataques cibernéticos con consecuencias devastadoras.
El mejor modelo SOC para su negocio depende de su perfil de riesgo, cumplimiento y requisitos de la industria, y los recursos disponibles. El alcance y el propósito de SOC también es específicos de los negocios y la industria. Por ejemplo, los proveedores de atención médica priorizan la protección de los datos de los pacientes para garantizar el cumplimiento de HIPAA, mientras que los minoristas se centran en PCI DSS.
Y si elige un modelo interno, híbrido o de subcontratación, los equipos de seguridad deben aprovechar la IA. Puede optimizar sus operaciones de seguridad y escalar su modelo para protegerlo de las amenazas en rápida evolución. Por ejemplo, los SOC híbridos con análisis SOC con IA son extremadamente eficientes.
2. Construya los equipos correctos y entrenarlos bien
Las organizaciones necesitan crear equipos que conduzcan a la tarea de enfrentar desafíos de seguridad. Como la diversidad ayuda a promover la colaboración, los gerentes de contratación deben centrarse en la combinación de analistas junior y respondedores veteranos.
Los equipos de SOC a menudo siguen una estructura de tres niveles de analistas de nivel 1 para el triaje de alerta. Analista de nivel 2 a cargo de investigaciones y respuestas. Analista de nivel 3 para estrategia, caza de amenazas avanzadas, detección agresiva y optimización de herramientas de IA. Un modelo de dos niveles también es efectivo cuando los recursos son limitados. El nivel 1 maneja el triaje y las investigaciones iniciales, mientras que el nivel 2 asume un análisis más profundo, respuesta y funciones estratégicas. Este enfoque puede implementar las herramientas y procesos adecuados para proporcionar una fuerte cobertura.
También es mejor contratarlos internamente tanto como sea posible. Desarrolle una tubería de talento interna y un presupuesto para la capacitación y certificación continua para aquellos que desean ir cuesta arriba. Por ejemplo, los miembros del equipo pueden aprender a usar herramientas de IA para superar los desafíos de la costosa administración de registros en SIEM y configuraciones complejas en SOAR.
3. Sea inteligente sobre las rotaciones de turnos para evitar el agotamiento
Se sabe que el equipo de SOC se agota rápidamente. Es importante desarrollar rotaciones de turnos sostenibles con turnos de 8 o 12 horas. Por ejemplo, los equipos de SOC pueden trabajar en un horario de 4-4 desactivados y prestar atención, mientras que las multinacionales pueden extender los cambios a las zonas horarias para reducir el riesgo de fatiga.
Contrata más analistas de los que crees que necesitas. A muchas personas se les paga por turno y tener un banco puede cambiar efectivamente, cubrir ausencias inesperadas y reducir la presión sobre el equipo central. Este enfoque proporciona flexibilidad sin una expansión excesiva.
Además, los expertos en seguridad necesitan diversidad para mantener las cosas interesantes y comprometidas. Por lo tanto, regularmente giramos las responsabilidades como el triaje de alerta, las revisiones de los libros de jugadas, la caza de amenazas y más.
Nota: Establezca un protocolo de transferencia claro para promover períodos de transferencia superpuestos. Esto ayuda a desarrollar un entorno de intercambio de contexto entre equipos.
Como la fatiga a menudo conduce al escape de personal, la automatización puede desempeñar un papel clave en el mantenimiento de los mejores talentos de seguridad. Use AI para reducir las cargas de trabajo del equipo y automatizar tareas recurrentes, como el análisis de registro y el triaje de phishing.
Los programas de bienestar también pueden proporcionar un gran impulso. Fomentar el equilibrio trabajo/vida y establecer canales de retroalimentación anónima para mejorar la retención. También programa el tiempo de inactividad y fomenta los descansos reales. Enfatice que no hay razón para pasar por un descanso programado a menos que haya un incidente positivo.
Finalmente, es importante recompensar a los miembros del equipo y reconocer la victoria. Estos ayudan a aumentar la satisfacción laboral y mantener el talento.
4. Elija la herramienta correcta
Investigamos y seleccionamos a fondo las herramientas de seguridad impulsadas por la IA que satisfacen sus necesidades comerciales específicas y requisitos de seguridad. También es esencial considerar una variedad de variables, como el costo y la complejidad, antes de conformarse con la herramienta.
Por ejemplo, se sabe que SIEM como Splunk tienen desafíos de escala y altos costos de gestión de registros. Esto es insostenible en un entorno múltiple. Se sabe que el descubrimiento de ataque de Elastic tiene muchos falsos positivos y se ve obligado a verificar manualmente el resultado con los analistas.
Si bien muchas herramientas con IA minimizan el esfuerzo manual, aún requieren una configuración importante, ajuste de reglas, información de datos y personalización del tablero. Algunas características pueden requerir un analista para configurar la fuente de datos e interpretar los resultados. Muchas herramientas SOC son estáticas y tienen modelos previamente capacitados para solo un puñado de casos de uso.
Si bien las oleadas existentes requieren una configuración y mantenimiento considerables, los libros de jugadas estáticos no pueden aprender de manera adaptativa a lidiar con nuevas amenazas.
La radiación es una opción. Cuando una alerta se considera un verdadero positivo, su plataforma adaptativa AI SoC ingerirá, clasificará y aumentará. Luego responda rápidamente a las amenazas reales y una variedad de casos de uso de seguridad.
Además de ser rentable y sin mantenimiento, Radiant se integra en el entorno del cliente para un solo clic o una reparación totalmente automática (si su equipo de SOC confía en las recomendaciones de Radiant). Además, no requiere auditoría o reentrenamiento para mantenerse al tanto del último malware.
5. Cultive una cultura de aprendizaje continuo
El liderazgo de seguridad debe fomentar las cosas póstumo, pero debe evitar asignar la condena. Cada evento de seguridad necesita enseñar mucho, y las organizaciones deben almacenar activamente esta información en su base de conocimiento.
El aprendizaje continuo es un boleto para mantenerse por delante de la amenaza. Por lo tanto, proporcione un acceso perfecto a la investigación y la capacitación, y las certificaciones de patrocinador, como la certificación de analista de intrusos GIAC (GCIA) y el profesional de la certificación de seguridad de ataque (OSCP).
Cree una cultura de equipo donde los miembros puedan distribuir conocimiento y generar confianza. Mantenga sesiones informativas regulares de amenazas y simulacros de seguridad (por ejemplo, simulaciones de equipo rojo y equipo azul) para identificar las brechas de procesos y mejorar las rutas de escalada.
Estos simulacros ayudan a cada miembro del equipo a actuar rápidamente si una organización es atacada. También es importante practicar la coordinación con los equipos legales, de relaciones públicas y de TI. Los ejercicios de mesa ejecutivos, que prueban los procesos de toma de decisiones bajo presión, también es una gran idea.
6. Gobierno, métricas e informes
Define las métricas de éxito, incluidas MTTD/MTTR, precisión de IA y tasas de falsos positivos. La detección más rápida limita el daño, y la respuesta más rápida minimiza el impacto de un incidente. Si la IA es muy precisa, puede ayudarlo a generar confianza en la automatización. Al mismo tiempo, los bajos falsos positivos reducen la carga de trabajo del analista.
Una distribución de carga de trabajo justa y un volumen de alerta a través del cambio de SOC aseguran el equilibrio y reducen el riesgo de agotamiento. El seguimiento de las estadísticas de incidentes no es suficiente. También debe ser monitoreado continuamente para el bienestar de los empleados. Un equipo de SOC saludable significa una alta moral y un rendimiento consistente.
Se requiere un tablero en tiempo real y una revisión mensual para todo lo anterior. Proporcione la mayor cantidad de visual posible e incluya inmersiones profundas en el líder de su equipo. Los gerentes de SOC y los analistas de T3 necesitan información integral para optimizar sus herramientas, mejorar el cumplimiento y los riesgos comerciales, y administrar la salud del equipo.
Conclusión
La sinergia del personal calificado, los procesos simplificados, la IA avanzada y las herramientas integradas es el poder fundamental para mantener los nombres de las empresas fuera de sus encabezados.
Impulsado por AI, 24/7, SOCS protege a las organizaciones de amenazas altamente avanzadas y sostenidas. Le ayuda a abordar con éxito las limitaciones de los copilotos de SIEM, SIEM, SOAS, EDRS y SOC a través de la integración perfecta de la automatización, las personas, los procesos y las herramientas.
La única plataforma adaptativa de AI SOC de Radiant agiliza los procesos y empodera a los analistas, cazadores de amenazas y especialistas en seguridad. La automatización no releña de la plataforma y la precisión por encima del 95% ayudan a los equipos de SOC a superar varios obstáculos. Alcance limitado de EDR, co-piloto de analista dependiente de analistas, la costosa complejidad de SIEM, el libro de jugadas manual de SOAR.
Además, la amplia gama de integración la hace escalable y rentable.
Si desea ver a Radiant funcionando, simplemente haga clic. Reserve una demostración hoy.
Source link
