Security Operations Center (SOC): qué es y cómo implementarlo con Lutech

La sigla SOC puede significar Service Operations Center, es decir, un centro operativo desde el cual gestionar todos los servicios aplicativos de la empresa, pero también Security Operations Center, es decir, un centro de servicios de gestión de la seguridad, que también representa una parte importante de los servicios que presta un Service Operations Center.

Un Security Operations Center (SOC) es un equipo de profesionales de la seguridad de TI interno de la empresa o externalizado que monitoriza toda la infraestructura de TI de una organización, 24 horas al día, 7 días a la semana, para detectar los eventos de seguridad informática en tiempo real y afrontarlos lo más rápida y eficazmente posible.

Un Security Operations Center es un centro de mando desde el cual se gestiona y monitoriza la arquitectura informática de una empresa. Originalmente, los SOC surgieron en las empresas, que los implantaban en sus propios centros de datos.

Junto con la difusión del «as-a-service» de las aplicaciones, con el desarrollo de la nube se trasladó el mismo modelo a los entornos físicos. El cloud fue primero público y ofrecido por los hyperscalers o privado, para extender el paradigma a las estructuras locales, pero acabó convirtiéndose en una combinación de diferentes entornos (híbrido y multicloud), es decir: distribuido.

La estructura informática distribuida y el aumento de las cargas de trabajo empresariales que se realizan fuera del perímetro empresarial impusieron un nuevo modelo de protección para entornos heterogéneos, que puede suministrarse únicamente a través de un centro unificado de control externalizado. Además, ponerse en manos de un Security Operations Center “on top” de la infraestructura distribuida permite que incluso las pequeñas empresas se beneficien de una protección de categoría empresarial, porque los clientes pagan una cuota fija calculada en función de su arquitectura y objetivos empresariales.

De este modo, los recursos de gestión y monitorización de la protección se ponen a disposición de todas las empresas “democráticamente”, sin reparar en la dimensión ni la capacidad de gasto. Precisamente las economías de escala y el indudable ahorro de costes (basta pensar en el TCO y el ROI que supone la realización completa de un centro interno) impulsan el mercado a la elección de un SOC externo gestionado por un socio de TI.

En un centro operativo para la protección coexisten plataformas de seguridad y servicios aplicativos complementarios destinados a:

• Realizar un estándar de protección proactiva
• Garantizar la monitorización de la infraestructura 24x7
• Reaccionar inmediatamente ante las alertas y los incidentes
• Restablecer la operatividad de la infraestructura tras un bloqueo
• Adecuar los datos y las aplicaciones para garantizar el cumplimiento normativo
• Proporcionar servicios de protección siempre actualizados

Tras un profundo análisis preliminar de la infraestructura del cliente, las cargas de trabajo, los nodos de acceso a la red empresarial y, sobre todo, las prioridades de la protección de datos y aplicaciones en función de las exigencias de negocio, el socio de IT y la empresa cliente están preparadas para estipular contratos de prestación de servicios personalizados mediante SLA (Service Level Agreements).

Cabe especificar asimismo que la elección de un Security Operations Center requiere una cierta atención. Es fundamental contar con garantías sobre las competencias, certificaciones, estructura, oferta y referencias del socio de IT, porque se está encomendando la protección de la propia empresa a una entidad externa.

Proteja su empresa

El equipo de un Security Operations Center está formado por varios profesionales, cada uno con funciones específicas, según la organización de la empresa. Por lo general, hay:

• Un SOC manager, que tiene la función de dirigir a los demás profesionales y generalmente responde al CISO (Chief Information Security Officer).
• Dependiendo de las necesidades y el tamaño del SOC, hay varios ingenieros y analistas de sistema que implementan y gestionan la arquitectura de seguridad, generan herramientas y tecnologías de monitorización de la ciberseguridad y colaboran estrechamente con los equipos de desarrollo.
• Los analistas de seguridad, llamados también investigadores o rescatadores, que se encargan de indicar, asignar la prioridad e intervenir tempestivamente en caso de amenazas o incidentes.  Identifican los hosts, los endpoints y los usuarios afectados y toman las medidas adecuadas para mitigar y contener el impacto de la amenaza o el incidente.
• Los “cazadores de amenazas” o analistas de seguridad expertos, que detectan y neutralizan las amenazas más avanzadas, es decir, las que lograron eludir los sistemas de defensa automatizados.

Un Security Operations Center puede incluir otros componentes, en función de las necesidades, el tamaño de la empresa y el sector. Las empresas más estructuradas pueden tener, por ejemplo, un Director de las respuestas a los incidentes, encargado de la comunicación y la coordinación de los recursos para la resolución de incidentes. Además, los SOC más estructurados tienen investigadores forenses, especializados en recuperar datos de los dispositivos dañados tras un incidente de ciberseguridad.

Lutech ha innovado el concepto de Security Operations Center con la creación del NG-SOC (Next-Generation Security Operations Center), uno de los más grandes y completos de Italia. El Next-Generation Security Operations Center es un centro operativo con un equipo de técnicos certificados y especializados que presta y gestiona un amplio catálogo de servicios modulares y flexibles 24x7, basado en procesos estándar reconocidos y en las mejores prácticas internacionales. Entre tales servicios, los de seguridad son sin duda los más importantes.

El Security Operations Center del Grupo Lutech garantiza un alto nivel de seguridad porque detecta y responde a los ataques en tiempo real, antes de que afecten gravemente a las redes, los datos y los servicios empresariales del cliente.

Los servicios de nuestro Next-Generation SOC abarcan todas las etapas de gestión de un posible ciberataque:

PREVER - Comprender el riesgo

• Evaluación de la ciberseguridad
• Hacking ético
• Inteligencia contra ciberamenazas
• Validación continua de la seguridad

PREVENIR - Proteger contra ataques

• Gestión avanzada de dispositivos

DETECTAR- Detectar amenazas graves

• Supervisión de dispositivos en tiempo real
• Identificación y notificación de incidentes
• Alertas y avisos precoces

RESPONDER - Respuesta a los incidentes

• Análisis y clasificación de incidentes
• Contención de incidentes y relativa respuesta

Especialmente en la fase de análisis inicial, con el Cyber Security Assessment se lleva a cabo un análisis proactivo de la seguridad de la empresa, para evaluar la seguridad de las aplicaciones, bases de datos, redes y ordenadores, mediante herramientas como la prueba de penetración. Gracias a estas pruebas se pueden estimar los riesgos de seguridad y comprobar el cumplimiento normativo (p. ej., del RGPD), previniendo daños a la reputación y económicos y evitando que se paralice el trabajo.
Obviamente, es crucial la fase de identificación y monitorización, para detectar anomalías en los flujos de datos entre el exterior y el interior de la empresa, que se realiza mediante una SIEM (Security Information and Event Management).

Mientras que, en la fase de respuesta al incidente, gestionada a través del SOAR (Security Orchestration, Automation and Response), se gestionan operativamente los incidentes.

El Grupo Lutech cuenta con diferentes soluciones dentro de su SOC de Cinisello Balsamo (MI). De hecho, no conviene confiar en una única plataforma omnicomprensiva para la gestión de la seguridad. Para garantizar la máxima calidad a sus clientes, el Grupo Lutech ha individuado una amplia cartera integrable de servicios aplicativos de entre los mejores de su clase, en la que cada uno cumple excelsamente una tarea específica.

En un Security Operations Center, son tres los componentes de servicio esenciales: SIEM, SOAR y XDR, cada uno con una finalidad especial. Aunque en un SOC no hay solo servicios SIEM, SOAR y XDR, no cabe duda de que sin ellos no puede existir un SOC.

Aunque una solución SIEM es el fundamento del servicio de un Security Operations Center, puede que no sea suficiente para garantizar una protección completa. También porque una solución SIEM requiere operaciones periódicas de puesta a punto y ajuste preciso. En este escenario resulta indispensable un SOAR, la solución que ofrece una gestión, automatización y orquestación innovadora de los eventos de seguridad. Se trata, una vez más, de una herramienta diseñada para facilitar la vida de los especialistas, que ayuda a unificar las operaciones y a reducir los tiempos de gestión de las alertas, el cambio dinámico de los entornos y el tiempo medio necesario para responder a los incidentes.

Otra ventaja de una solución SOAR es que agrupa y aisla las alertas procedentes de diferentes activos de IT. De este modo, y también gracias a los modelos predeterminados (playbook) puestos a disposición, los expertos en seguridad del Grupo Lutech tienen todo el tiempo necesario para analizar y valorar las alertas con una visión unificada y mediante un proceso automatizado.

Aunque una solución SIEM es el fundamento del servicio de un Security Operations Center, puede que no sea suficiente para garantizar una protección completa. También porque una solución SIEM requiere operaciones periódicas de puesta a punto y ajuste preciso. En este escenario resulta indispensable un SOAR, la solución que ofrece una gestión, automatización y orquestación innovadora de los eventos de seguridad. Se trata, una vez más, de una herramienta diseñada para facilitar la vida a los especialistas, que ayuda a unificar las operaciones y a reducir los tiempos de gestión de las alertas, el cambio dinámico de los entornos y el tiempo medio necesario para responder a los incidentes.

Otra ventaja de una solución SOAR es que agrupa y aisla las alertas procedentes de diferentes activos de TI. De este modo, y también gracias a los modelos predeterminados (playbook) puestos a disposición, los expertos en seguridad del Grupo Lutech tienen todo el tiempo necesario para analizar y valorar las alertas con una visión unificada y mediante un proceso automatizado.

El ultimo elemento esencial del equipamiento básico de un Security Operations Center es la herramienta de detección y respuesta multinivel. XDR es la extensión del concepto de EDR –herramienta de detección y respuesta diseñada para endpoints– a toda la infraestructura de TI del cliente.

Es una herramienta adicional que proporciona una capa de control adicional a las proporcionadas por SIEM y SOAR. En este caso se trabaja en la correlación automática de diferentes niveles de seguridad (endpoints, correo electrónico, servidor, carga de trabajo en la nube y red), es decir, en la identificación de un riesgo potencial que puede pasar desapercibido porque se manifestaría solo en relación con un evento relacionado con otro silo de datos.

En definitiva, los servicios de gestión y la monitorización de las actividades de aplicaciones e infraestructuras prestados por un SOC requieren un conjunto de soluciones específicas para interpretar y agregar la información procedente de los registros de los distintos activos de TI. Estas soluciones surgieron para simplificar el trabajo de los expertos en seguridad del socio de TI y, gracias a los algoritmos de las máquinas de aprendizaje automático y de automatización y a las plantillas de gestión predeterminadas, pueden proporcionar respuestas tempestivas y coherentes a las cuestiones de seguridad que emergen de los distintos registros generados por los componentes de la infraestructura de la TI.