La detección se considera una inversión estándar y una primera línea de defensa, por lo que se espera que las empresas actuales tengan al menos de seis a ocho herramientas de detección. Sin embargo, a los líderes de seguridad les resulta difícil justificar la dedicación de recursos a sus superiores en etapas posteriores del ciclo de vida de la alerta.
Como resultado, las inversiones en seguridad de la mayoría de las organizaciones son herramientas de detección sólidas y asimétricas combinadas con una última línea de defensa: un SOC con recursos insuficientes.
Un estudio de caso reciente muestra cómo una empresa que utilizaba un SOC estandarizado evitó ataques de phishing sofisticados que evadieron las herramientas clave de seguridad del correo electrónico. Este estudio de caso involucró una campaña de phishing entre empresas dirigida a ejecutivos de varias empresas. Ocho herramientas de seguridad de correo electrónico diferentes de estas organizaciones no lograron detectar el ataque y el correo electrónico de phishing terminó en las bandejas de entrada de los ejecutivos. Sin embargo, el equipo SOC de cada organización detectó el ataque poco después de que un empleado informara sobre un correo electrónico sospechoso.
Mi SOC tuvo éxito, pero ¿por qué las ocho herramientas de detección fallaron de la misma manera?
Lo que todas estas organizaciones tienen en común es una inversión equilibrada a lo largo del ciclo de vida de la alerta que no ignora el SOC.
Este artículo examina cómo invertir en un SOC es esencial para las organizaciones que ya asignan importantes recursos a herramientas de descubrimiento. Además, las inversiones equilibradas en SOC son fundamentales para maximizar el valor de las inversiones en detección existentes.
Las herramientas de descubrimiento y SOC operan en mundos paralelos
Comprender esta desconexión fundamental explica cómo surgen las brechas de seguridad.
La herramienta de detección funciona en milisegundos. Deben tomar decisiones instantáneas sobre millones de señales cada día. No tienen tiempo para considerar matices. La velocidad es fundamental. Sin él, su red se caería ya que todos los correos electrónicos, archivos y solicitudes de conexión se retendrían para su análisis.
La herramienta de detección se expande. Inicialmente se identifican y aíslan las amenazas potenciales, pero no se logra comprender el panorama general. Mientras tanto, los equipos SOC operan con un campo de visión de 30.000 pies. Cuando una alerta llega a un analista, las herramientas de detección carecen de tiempo y contexto.
Como resultado, el SOC aborda las alertas desde una perspectiva diferente.
Se pueden analizar patrones de comportamiento, como por ejemplo por qué un ejecutivo que normalmente trabaja en Londres inicia sesión de repente desde la dirección IP del centro de datos. Puede unir datos entre herramientas. Puede ver dominios de correo electrónico de reputación limpia y los posteriores intentos de autenticación e informes de usuarios. Puede identificar patrones que sólo tienen sentido cuando se analizan colectivamente, como dirigirse únicamente a profesionales financieros y cronometrarlos según el ciclo de nómina.
Tres riesgos críticos de un SOC con financiación insuficiente
En primer lugar, puede resultar más difícil para los ejecutivos identificar la raíz del problema. Los CISO y los propietarios de presupuestos en organizaciones que implementan una variedad de herramientas de detección a menudo asumen que sus inversiones los mantendrán seguros. Los SOC, por otro lado, experimentan una situación diferente, ya que se ven abrumados por el ruido y carecen de recursos para investigar adecuadamente las amenazas reales. Si bien la lucha contra el SOC se libra a puerta cerrada, a los líderes de seguridad les resulta difícil demostrar la necesidad de una inversión adicional en SOC porque la detección es claramente costosa.
En segundo lugar, la asimetría abruma la última línea de defensa. Las grandes inversiones en múltiples herramientas de detección generan miles de alertas que inundan el SOC todos los días. Con la financiación del SOC agotándose, los analistas se convierten en porteros, enfrentando cientos de tiros a la vez y teniendo que tomar decisiones en fracciones de segundo bajo una inmensa presión.
En tercer lugar, se ve afectada la capacidad de identificar amenazas sutiles. Cuando un SOC se ve abrumado por las alertas, pierde su capacidad de realizar esfuerzos de investigación en profundidad. Las amenazas que evaden la detección son aquellas que las herramientas de detección no pueden detectar en primer lugar.
De soluciones temporales a operaciones SOC sostenibles
Cuando sus herramientas de detección generan cientos de alertas todos los días, agregar algunos analistas de SOC más es tan efectivo como intentar salvar un barco que se hunde con baldes. La alternativa tradicional ha sido subcontratar a un MSSP o MDR y asignar un equipo externo para manejar el desbordamiento.
Pero para muchos, las compensaciones siguen siendo demasiado grandes, incluidos altos costos continuos, investigaciones superficiales realizadas por analistas no familiarizados con el entorno, retrasos en la coordinación y fallas en la comunicación. La subcontratación no soluciona el desequilibrio. Simplemente estás pasando la carga a otra persona.
Hoy en día, las plataformas AI SOC se están convirtiendo en la opción preferida para las organizaciones con equipos SOC eficientes que buscan soluciones eficientes, rentables y escalables. Las plataformas AI SOC operan en una capa de investigación donde ocurre el razonamiento contextual, automatizando la clasificación de alertas y mostrando solo incidentes de alta fidelidad después de asignar el contexto.
Con la ayuda de un AI SOC, las tasas de falsos positivos a menudo se reducen en más del 90 %, lo que ahorra a los analistas cientos de horas cada mes. Esta cobertura automatizada permite a pequeños equipos internos brindar cobertura las 24 horas del día, los 7 días de la semana, sin personal adicional ni subcontratación. La empresa que aparece en este estudio de caso invirtió en este enfoque a través de Radiant Security, una plataforma AI SOC basada en agentes.
Dos formas en las que su inversión en SOC dará sus frutos, ahora y en el futuro
Invertir en un SOC hace que valga la pena el coste de las herramientas de descubrimiento. La eficacia de una herramienta de detección depende de su capacidad para investigar alertas. Si el 40 % de sus alertas no se investigan, no obtendrá el máximo valor de todas las herramientas de detección que tiene. Sin suficiente capacidad de SOC, terminará pagando por capacidades de descubrimiento infrautilizadas. La perspectiva única de la línea final se vuelve cada vez más importante. El SOC se vuelve cada vez más importante a medida que las herramientas de detección fallan con mayor frecuencia. A medida que los ataques se vuelven más sofisticados, la detección requiere más contexto. La perspectiva del SOC significa que sólo el SOC puede conectar estos puntos y ver el panorama general.
Tres preguntas que debe hacerse al determinar su próximo presupuesto de seguridad
¿Son simétricas sus inversiones en seguridad? Primero, evaluar el desequilibrio en la asignación de recursos. La primera señal de seguridad asimétrica es que su SOC recibe más alertas de las que puede manejar. Si los analistas están abrumados con alertas, significa que la línea del frente está superando a la línea de fondo. ¿Es su SOC una red de seguridad certificada? Todo líder del SOC debería preguntarse si el SOC está preparado para capturar lo que pasa a través de él si la detección falla. Muchas organizaciones no preguntan esto porque no creen que el descubrimiento sea responsabilidad del SOC. Pero cuando falla una herramienta de detección, la responsabilidad cambia. ¿Está subutilizando sus herramientas existentes? Muchas organizaciones descubren que sus herramientas de detección generan señales valiosas que nadie tiene tiempo de investigar. La asimetría significa falta de capacidad para actuar sobre lo que ya se tiene.
Conclusiones clave de Radiant Security
La mayoría de los equipos de seguridad tienen la oportunidad de asignar recursos para maximizar el retorno de la inversión de las inversiones actuales en detección, respaldar el crecimiento futuro y fortalecer la protección. Las organizaciones que invierten en herramientas de descubrimiento pero ignoran su SOC crean puntos ciegos y agotamiento.
Radiant Security, la plataforma SOC de IA basada en agentes que se presenta en el estudio de caso, ha logrado el éxito gracias a inversiones equilibradas en seguridad. Radiant opera en la capa de investigación de SOC, clasificando automáticamente todas las alertas, reduciendo los falsos positivos en aproximadamente un 90 % y analizando las amenazas a la velocidad de la máquina como un analista superior. Con más de 100 integraciones con herramientas de seguridad existentes y capacidades de respuesta con un solo clic, Radiant ayuda a los equipos de seguridad eficientes a investigar alertas conocidas y desconocidas sin agregar personal redundante. Una seguridad sólida hace que las capacidades SOC de nivel empresarial estén disponibles para organizaciones de todos los tamaños.
Source link
