Existen demasiadas herramientas y, a lo largo de los años, numerosos intentos de consolidar la visibilidad en un “panel único de vidrio” han fallado. Esto se ha producido -entre otros motivos- por:
• Fatiga por altas tasas de falsos positivos, demasiados datos, demasiadas alertas, sin darse cuenta de que la superficie de ataque ha cambiado de manera profunda.
• Nuevas tecnologías como Data Lakes, Inteligencia Artificial (IA), Machine Learning (ML), Cloud, Edge Computing, Internet de las Cosas (IoT), entre otras, han llevado al crecimiento exponencial de la superficie de ataque.
• Insuficiencia de talento capacitado en ciberseguridad para poder hacer frente a dicha cantidad creciente de eventos en modelos 7×24 y con tecnologías cambiantes.
Estos y otros temas se vuelven críticos en la carrera por el análisis y recopilación de datos para la toma de decisiones en ciberseguridad. Este crecimiento continuará al mismo ritmo y probablemente se acelerará en los próximos años, lo que presentará desafíos que se deberán superar.
Los desafíos que enfrentan los SOC
Los centros de monitoreo actualmente se enfrentan a la complejidad en dos frentes: la expansión tecnológica que continúa borrando el perímetro, y la proliferación de amenazas y actores que buscan tomar ventaja de eso. El enfoque inicial sería consumir tantos registros como sea posible y crear cantidades de casos de uso con diversas complejidades, que significaría más alertas para los analistas de SOC. Parece simple, pero la experiencia nos mostró que más registros no equivalen a más seguridad y en realidad éstos pueden obstaculizar a los analistas cuando se proporcionan sin un contexto.
Los SOC tienen que hacer frente a la proliferación tecnológica. Las organizaciones exitosas deben enfocarse en varios aspectos para asegurar y controlar su superficie de ataque en constante expansión, tales como: estrecha colaboración entre el Centro de Monitoreo y las operaciones del Negocio, para poder estar monitoreando y protegiendo las “joyas de la corona” del negocio y no casos estándares que no agregan valor y aumentan la fatiga sobre el SOC; diseñar su infraestructura con la velocidad y escalabilidad adecuada, para procesar grandes volúmenes de datos de un conjunto diverso de dispositivos de seguridad; y sobre todo actualmente, identificar oportunidades para incorporar Inteligencia Artificial (IA) y Machine Learning (ML) para desarrollar alertas basadas en anomalías de comportamiento, y poder optimizar las tareas del personal permitiéndoles focalizarse en las amenazas críticas detectadas.
La mayoría de las empresas tienen demasiadas herramientas y, a menudo, no son utilizadas a su máxima capacidad o no se encuentran completamente integradas entre sí. Aun así, la tecnología necesita ingerir grandes tipos de datos, ya que los SIEM tradicionales luchan por manejarlos bien. Dicha telemetría debe estar correlacionada y alertada en más que simples correlaciones de reglas básicas, se necesita más inteligencia de amenazas para enriquecer la información y poder tomar decisiones más certeras. Herramientas como SOAR que unifican y organizan otras herramientas a formar un colectivo inteligente surge como una necesidad central en el SOC, junto con SIEM y otras herramientas de análisis de telemetría.
Asimismo, en capacidad de talento todavía queda mucho trabajo por hacer para las operaciones del SOC, como organizaciones individuales y como comunidad, para resolver algunos de los desafíos mencionados. La necesidad cada vez más imperante de poder compartir información de indicadores de ataque, en tiempo y con reputación entre las organizaciones de Chile permitirá que los SOC y sus organizaciones tengan una mayor velocidad de reacción, aunque el número de personas que tienen la visión, experiencia y habilidades para abordarlos no está creciendo lo suficientemente rápido. La escasez de talento es uno de los desafíos más críticos que enfrenta el mundo de la ciberseguridad en la actualidad.
Todo esto nos lleva a decir que la seguridad actualmente parece vivir en la era del “más”: más activos de TI para estar seguro, más datos de telemetría, más herramientas de seguridad, más alertas y, lamentablemente, más amenazas. En este escenario, la respuesta que aparece inmediatamente es la automatización y la inteligencia artificial, pero hay que considerar que la reciente fascinación por el aprendizaje automático para la detección de amenazas agregó una nueva categoría de señales matemáticamente anómalas, pero operacionalmente irrelevante, abrumando a los SOC. Mientras no son técnicamente falsos, no son de ayuda para el SOC sobrecargado y que, a menudo, requieren actividades elaboradas de clasificación para validar.
Los seres humanos son y serán necesarios para entrenar a estos nuevos algoritmos, realizar la clasificación en las señales de seguridad más relevantes (similar a los SOC convencionales Nivel 3+) y para llevar a cabo la caza de amenazas (Hunting) a partir de indicadores, movimientos o TTP (Tácticas, Técnicas y Procedimientos) conocidos. Por lo tanto, el futuro dependerá de los humanos impulsados por la automatización no sólo para enriquecer los datos, sino también para tomar mejores y más rápidas decisiones con respecto a las señales de seguridad observadas y poder ir cerrando la brecha entre que un atacante ingresa de forma no autorizada y su detección.
¿Cómo pueden los SOC existentes prepararse para el futuro?
Mientras muchos dirán que la automatización es la respuesta, la automatización del SOC hoy se ha centrado predominantemente en las tareas rutinarias, así como orquestar algunas acciones de remediación.
El siglo XXI debe conquistar la próxima frontera de la automatización. Si bien algunas soluciones tecnológicas ya prometen esto, la realidad operativa del SOC actual no respalda dicha afirmación. Por lo tanto, el alivio puede provenir del siguiente nivel de automatización: el de las decisiones, y de los humanos que mantienen su enfoque en las tareas más difíciles.
Un buen SOC implementa procesos bien organizados, pero no suprime la creatividad de sus analistas. El SOAR, junto a nuevas tecnologías de orquestación y el análisis de datos, están pavimentando el camino para la automatización en la toma de decisiones a los efectos que los analistas puedan profundizar su análisis sobre las amenazas prioritarias. SOAR permite que los procesos sean consistentes y rápidos, pero necesitan existir y ser definidos primero, para luego poder incorporar la decisión orquestada y automatizada, luego de haber demostrado su efectividad en el tiempo por humanos.
