CENTRO DE OPERACIONES DE SEGURIDAD: definición, tipos, analista, salario y marco

Los datos de la infraestructura, las redes, los servicios en la nube y los dispositivos de una organización están correlacionados por un centro de operaciones de seguridad (SOC). La gestión de la postura de seguridad general de una empresa y proporcionar conocimiento de la situación es responsabilidad de un SOC, que es un grupo cooperativo de especialistas en seguridad de la información. Obtenga más información sobre el trabajo de analista en un centro de operaciones de seguridad. Los enfoques de estrategia de defensa de los centros de operaciones de seguridad (SOC) están estandarizados por los marcos SOC. Ayuda a minimizar los riesgos de ciberseguridad y a mejorar constantemente las operaciones. 

Centro de Operaciones de Seguridad

Los objetivos de las actividades de SOC son reconocer, monitorear, rastrear, analizar, presentar y responder a amenazas reales y potenciales para la empresa. La gestión diaria de la seguridad de una red y de la infraestructura dentro de una organización es responsabilidad de un equipo del centro de operaciones de seguridad (SOC). Encontrar incidentes y amenazas de seguridad, analizarlos y luego tomar las medidas adecuadas son los objetivos principales del equipo SOC. 

Las prácticas, los procedimientos y la respuesta de seguridad de una organización a los incidentes de seguridad están unificados y coordinados por un SOC, que es la principal ventaja de ejecutar uno internamente o subcontratarlo. Las políticas de seguridad mejoradas y las medidas preventivas, la detección de amenazas más rápida y las respuestas más rápidas, más efectivas y más asequibles a las amenazas de seguridad son los resultados típicos de esto. Además, un SOC puede aumentar la confianza del cliente y agilizar y fortalecer el cumplimiento de las normas de privacidad regionales, nacionales e internacionales por parte de una organización.

Lea también: SISTEMA DE SEGURIDAD EMPRESARIAL: De Qué Se Trata, Tipos y Costo

Empleos en Centro de operaciones de seguridad (SOC)

#1. Planificación de respuesta a incidentes

El SOC está a cargo de crear el plan de respuesta a incidentes de la organización, que describe las actividades, roles y responsabilidades en el caso de una amenaza o incidente, así como las métricas mediante las cuales se evaluará la efectividad de cualquier respuesta a incidentes. 

#2. Mantenerse actualizado

El SOC se mantiene al tanto de las innovaciones y herramientas de seguridad más recientes, así como de la inteligencia de amenazas más reciente, que son noticias y detalles sobre ataques cibernéticos y los piratas informáticos que los llevan a cabo que se obtienen de las redes sociales, fuentes comerciales y la web oscura. .

#3. Pruebas periódicas

El equipo SOC realiza evaluaciones de vulnerabilidad, evaluaciones en profundidad que identifican la susceptibilidad de cada recurso a los peligros potenciales y los costos correspondientes. Además, realiza pruebas de penetración que imitan ataques particulares en sistemas adicionales. Según los resultados de estas pruebas, el equipo corrige o mejora las aplicaciones, las pautas de seguridad, las mejores prácticas y los planes de respuesta a incidentes.

#4. Preparación y mantenimiento de rutina

 El SOC realiza un mantenimiento preventivo, como la aplicación de parches y actualizaciones de software y la actualización rutinaria de firewalls, listas blancas y negras, políticas y procedimientos de seguridad para maximizar la eficiencia de las herramientas y medidas de seguridad implementadas. El SOC también puede crear copias de seguridad del sistema o ayudar a desarrollar políticas o procedimientos de copia de seguridad para garantizar la continuidad del negocio en caso de una violación de datos, un ataque de ransomware u otros incidentes de ciberseguridad.

#5. Detección de amenazas

El equipo del SOC separa las señales del ruido, separando las indicaciones de amenazas cibernéticas reales y exploits de piratas informáticos de los falsos positivos, antes de clasificar las amenazas según su gravedad. La inteligencia artificial (IA) es un componente de las soluciones SIEM contemporáneas que automatiza estos procedimientos y mejora gradualmente la identificación de actividades sospechosas al "aprender" de los datos.

Funciones de un centro de operaciones de seguridad

• Administración y mantenimiento: se rastrean y manejan las actualizaciones y los parches para las herramientas de seguridad.
• Monitoreo de registros de eventos para infraestructura, sistemas, dispositivos y redes para buscar actividad inusual o sospechosa.
• Recopilación de inteligencia, así como la detección y prevención de posibles amenazas y ataques.
• Análisis e investigación de incidentes: encontrar la causa de un evento o amenaza y determinar qué tan profundamente se ha infiltrado y dañado los sistemas de la empresa.
• Respuesta a amenazas o ataques: Coordinar un enfoque para manejar y contener de manera efectiva la amenaza o el incidente.
• La recuperación de datos perdidos o robados, el tratamiento de vulnerabilidades, la actualización de herramientas de alerta y la reevaluación de procedimientos son partes de la recuperación y la remediación. 

Un establecimiento utilizado para monitorear, detectar, investigar y reaccionar de manera centralizada a los ataques cibernéticos y otros incidentes de seguridad se conoce como Centro de Operaciones de Seguridad (SOC). Un centro de operaciones de seguridad (SOC) puede ser un espacio físico o virtual administrado por personal de seguridad interno o un proveedor de servicios de seguridad administrados (MSSP).

Tipos de un Centro de Operaciones de Seguridad

La mayoría de las empresas descubren que administrar la ciberseguridad de manera efectiva requiere mucho más de lo que su equipo de TI tradicional es capaz de hacer. Las organizaciones tienen la opción de crear un SOC internamente o contratar a un proveedor de SOC administrado para satisfacer esta necesidad en expansión.

#1. Dedicado o Autogestionado

Esta estrategia utiliza una instalación in situ y personal interno. Un SOC dedicado, que es un SOC centralizado, está compuesto por un equipo que se centra únicamente en la seguridad, así como en la infraestructura y los procedimientos. Según el tamaño de la organización, la tolerancia al riesgo y las necesidades de seguridad, el tamaño de un SOC dedicado varía. 

#2. SOC distribuido

Un centro de operaciones de seguridad administrado conjuntamente, también conocido como MSSP, está a cargo de un miembro del equipo interno que es contratado a tiempo parcial o completo para trabajar junto con un proveedor de servicios de seguridad administrados.

#3. SOC administrado

Este método implica que los MSSP proporcionen a una empresa todos los servicios SOC. Los socios de detección y respuesta administrada (MDR) son una categoría adicional.

#4. Comando SOC

Con la ayuda de esta estrategia, otros centros de operaciones de seguridad, que suelen estar dedicados, pueden acceder a información sobre amenazas y conocimientos de seguridad. Sólo participa en actividades relacionadas con la inteligencia y procedimientos relacionados con la seguridad. 

#5. SOC virtuales

Este es un equipo de seguridad comprometido que no se basa en la propiedad de una empresa. Tiene el mismo propósito que un SOC físico pero con personal remoto. No existe una infraestructura dedicada o una ubicación física para un SOC virtual (VSOC). Es un portal web construido con tecnologías de seguridad descentralizadas, que permite a los equipos trabajar de forma remota para monitorear eventos y abordar amenazas. 

#6. SOC cogestionado

El modelo SOC cogestionado emplea personal externo y herramientas de monitoreo en el sitio. Dado que combina componentes en el sitio y fuera del sitio, esta estrategia a veces también se denomina estrategia híbrida. La gestión conjunta es una opción flexible porque estos componentes pueden diferir significativamente entre varias organizaciones.

Beneficios de un Centro de Operaciones de Seguridad

Los siguientes son los beneficios del centro de operaciones de seguridad

• Procedimientos mejorados y tiempos de respuesta para incidentes.
• Reducciones en las brechas de MTTD (tiempo medio de detección) entre el momento del compromiso y la detección.
• Analizando y monitoreando actividad sospechosa continuamente colaboración y comunicación efectiva.
• Combinando recursos de hardware y software para crear una estrategia de seguridad más completa.
• Los clientes y empleados comparten más libremente la información confidencial.
• Rendición de cuentas y mando mejorados sobre las operaciones de seguridad.
• Una cadena de control de datos es necesaria si una empresa tiene la intención de emprender acciones legales contra los acusados ​​de cometer un delito cibernético.

Analista del Centro de Operaciones de Seguridad

Un analista del centro de operaciones de seguridad o analista SOC desempeña una parte esencial de la respuesta a los ataques de ciberseguridad. Un analista del centro de operaciones de seguridad es un miembro crucial del equipo de seguridad moderno que garantiza la continuidad del negocio para las organizaciones que reconocen la importancia de prevenir y responder a los ataques cibernéticos. 

Un analista del centro de operaciones de seguridad es un experto en tecnología a cargo de detectar y detener ataques cibernéticos en servidores corporativos y sistemas informáticos. Desarrollan y llevan a cabo protocolos para hacer frente a las amenazas y deben implementar los cambios necesarios para detener tales ocurrencias.

• Analizar la susceptibilidad de la infraestructura de una empresa a las amenazas y otras tareas es parte de este trabajo.
• Mantenerse al día con los nuevos desarrollos en ciberseguridad
• Examinar y registrar posibles amenazas y problemas con la seguridad de la información.
• Evaluar la seguridad del nuevo hardware y software para reducir riesgos innecesarios
• Idealmente, crear planes formales de recuperación para desastres antes de que surjan preocupaciones. 

¿Cómo califico para convertirme en analista del centro de operaciones de seguridad?

La mayoría de los empleadores anticipan que los analistas de SOC tengan una licenciatura o un título de asociado en informática o ingeniería informática, así como habilidades adicionales de la experiencia del mundo real en roles de redes o tecnología de la información. 

Estas habilidades incluyen:

•  Excelentes habilidades de comunicación 
• Tener un conocimiento firme de Linux, Windows, IDS, SIEM, CISSP y Splunk
• Amplio conocimiento en seguridad de la información.
• Posibilidad de defender las redes asegurando el tráfico y detectando actividades sospechosas
• Comprensión de las pruebas de perpetración para identificar la vulnerabilidad de los sistemas, redes y aplicaciones.
• Detener y disminuir los efectos de las brechas de seguridad
• Recopilar, examinar y presentar información de seguridad para informática forense.
• El malware de ingeniería inversa incluye leer e identificar los parámetros del programa de software.

Los analistas de SOC suelen trabajar en equipo con otro personal de seguridad. Una organización debe considerar las opiniones del analista del centro de operaciones de seguridad. Sus sugerencias pueden mejorar la ciberseguridad y reducir el riesgo de pérdidas por infracciones de seguridad y otros sucesos.  

Certificación de analista del centro de operaciones de seguridad

Los analistas de SOC con frecuencia pasan por capacitación adicional y obtienen una licencia de Analista de centro de operaciones de seguridad certificado (CSA) para mejorar sus habilidades, además de tener una licenciatura en ingeniería informática, ciencias de la computación o un campo relacionado.

Las certificaciones pertinentes adicionales incluyen:

• Hacker ético certificado (CEH)
• Investigador forense de piratería informática (CHFI)
• Analista de seguridad certificado por el EC-Council (ECSA)
• Probador de penetración con licencia (LPT)
• CompTIA Security +
• Analista de ciberseguridad de CompTIA (CySA +)

Responsabilidad de un analista de operaciones de seguridad

Vigilancia de redes y sistemas dentro de una organización. El trabajo de un analista del centro de operaciones de seguridad es mantener bajo observación el sistema de TI de una organización. Esto implica estar atento a cualquier anomalía que pueda indicar una violación o un ataque utilizando sistemas, aplicaciones y redes de seguridad.

#1. Evaluación, identificación y mitigación de amenazas en tiempo real

El analista de SOC trabaja en estrecha colaboración con su equipo para determinar qué salió mal con el sistema y cómo solucionarlo después de detectar una amenaza.

#2. Respuesta e Investigación de Incidentes

Antes de informar a las autoridades policiales, si es necesario, el analista SOC colaborará con el resto del equipo para realizar una investigación adicional sobre el incidente.

Después de examinar minuciosamente cada incidente, también informarán cualquier información nueva que obtengan sobre las amenazas cibernéticas actuales o las vulnerabilidades de la red para, si es posible, prevenir incidentes futuros mediante la implementación inmediata de actualizaciones. 

#3. Trabaja en colaboración con otros miembros del equipo para poner en práctica los procedimientos de seguridad, las soluciones y las mejores prácticas

Para que la empresa continúe operando de manera segura, los analistas de SOC trabajan junto con otros miembros del equipo para asegurarse de que se implementen los protocolos adecuados. Esto incluye implementar nuevos sistemas y, según sea necesario, actualizar los que ya existen.

#4. Manténgase actualizado con las amenazas de seguridad más recientes

Los analistas de SOC deben mantenerse actualizados sobre las amenazas cibernéticas más recientes a la seguridad de su organización, ya sea aprendiendo sobre nuevas estafas de phishing o realizando un seguimiento de los malos actores que actualmente emplean herramientas de piratería. Esta información les permite tomar medidas rápidas sobre cualquier problema potencial antes de que causen problemas a su empresa.

Salario del analista del centro de operaciones de seguridad

Los expertos en seguridad se aseguran de que los miembros del personal reciban la capacitación necesaria y sigan todas las normas y reglamentos de la empresa.

Estos analistas de seguridad trabajan junto con el equipo de TI interno de la organización y los administradores comerciales para analizar y documentar los problemas de seguridad como parte de sus funciones. Los analistas de seguridad en los Estados Unidos ganan un promedio de $88,570 al año. (Recurso: Glassdoor).

La ubicación, la empresa, la experiencia, la educación y el título del trabajo son solo algunas de las variables que pueden afectar el potencial de ingresos.

Habilidades de los analistas de SOC 

Aunque puede haber cambios en las tendencias cibernéticas, un analista de SOC todavía necesita tener muchas de las mismas habilidades. Asegúrese de que los analistas de SOC tengan estas habilidades si desea aprovechar al máximo lo que pueden ofrecer a su empresa.

• Habilidades en programación
• Informática forense
• Piratería ética
• Ingeniería inversa
• Gestión del riesgo
• La resolución de problemas
• Pensamiento crítico 
• Comunicación efectiva 

Marco del centro de operaciones de seguridad

El marco SOC, que se describe en la arquitectura general, detalla los componentes del SOC y sus interacciones. Es fundamental establecer un marco de Centro de Operaciones de Seguridad construido sobre un sistema de seguimiento y registro de incidentes.

Un marco SOC es la arquitectura general que detalla los componentes que brindan la funcionalidad SOC y cómo interactúan entre sí. Para decirlo de otra manera, un marco SOC debe construirse sobre un sistema de monitoreo que realice un seguimiento y registre los eventos de seguridad.

Principios básicos de un marco SOC

#1. Supervisión

 La actividad de monitoreo es el servicio más fundamental que puede ofrecer un marco de centro de operaciones de seguridad funcional. Naturalmente, el objetivo de dicho seguimiento es determinar si se ha producido o se está produciendo una infracción. Sin embargo, los expertos en ciberseguridad deben estar al tanto de la situación para emitir ese juicio. Las herramientas SIEM, el análisis de amenazas de comportamiento y los agentes de seguridad de acceso a la nube son algunos ejemplos de herramientas y tecnologías automatizadas que pueden ayudar en el monitoreo. Aunque no siempre, estas herramientas pueden hacer uso de tecnologías de inteligencia artificial y aprendizaje automático.

#2. Análisis

El análisis debe ser el próximo servicio que ofrece un SOC. El propósito del análisis es determinar si se ha producido una vulnerabilidad o infracción basada en la actividad de la empresa. Los analistas de SOC examinan las alarmas y alertas enviadas por el sistema de monitoreo como parte de la función de examen para ver si coinciden con patrones de ataque o vulnerabilidades detectadas anteriormente.

#3. Respuesta y Contención de Incidentes

El siguiente servicio proporcionado por el marco del centro de operaciones de seguridad es una respuesta a incidentes; cómo se hace esto depende del tipo, el alcance y la gravedad del incidente, así como si el SOC es interno o si la empresa tiene un contrato con un proveedor de SOC subcontratado que requiere asistencia más allá de la notificación de alerta.

#4. Auditoría y registro

Como se mencionó, el SOC tiene un papel esencial, pero frecuentemente ignorado, que desempeñar en el registro y la auditoría: confirmar el cumplimiento y registrar la respuesta a los incidentes de seguridad que pueden usarse como parte de un análisis post-mortem. Muchas herramientas SOC contienen una cantidad asombrosa de documentación con marca de tiempo que los expertos en cumplimiento y los analistas de ciberseguridad pueden encontrar útil.

#5. Caza de amenazas

Los analistas de SOC aún tienen otras tareas que realizar, incluso cuando los sistemas funcionan con normalidad, lo que significa que no hay incidentes importantes en el entorno. Revisan los servicios de inteligencia de amenazas para monitorear y evaluar amenazas externas, y si son terceros con múltiples clientes, escanean y analizan datos de clientes cruzados para identificar patrones de ataques y vulnerabilidades. Los proveedores de SOC, ya sean internos o externos, pueden estar un paso por delante de los atacantes mediante la búsqueda activa de amenazas. También pueden tomar medidas preventivas si se produce un ataque.

Finalmente, un marco de centro de operaciones de seguridad bien diseñado debe ser capaz de manejar mucho más que solo monitorear alarmas y alertas. El SOC puede ayudar a contener incidentes si se configura y administra correctamente. Además, puede ofrecer información valiosa sobre las autopsias de incidentes y ofrecer seguridad preventiva. 

Marcos SOC comunes

#1. NIST

El Instituto Nacional de Estándares y Tecnología (NIST) de los Estados Unidos publica el marco de ciberseguridad del NIST, que ofrece estándares y pautas para la gestión del ciclo de vida de las amenazas para ayudar a las organizaciones a desarrollar planes de seguridad y optimizar los indicadores clave de rendimiento. Las siguientes son las cinco mejores prácticas recomendadas por el NIST:

• Identificar
• Proteger
• Detectar
• Responder
• Recuperar

#2. MITRE ATT&CK

Tácticas adversarias, técnicas y conocimiento común es la abreviatura de esta frase. Este marco, desarrollado por Mitre Corporation y publicado en 2013, se centra en analizar el comportamiento adversario para desarrollar respuestas y nuevas estrategias defensivas. Ayuda con la inteligencia de amenazas, la detección y el análisis de amenazas, la formación de equipos rojos y la emulación de adversarios, así como con la ingeniería y la evaluación.   

#3. Cadena de matanza cibernética

Este marco, creado por Lockheed Martin, se basa en la idea militar de organizar un ataque en respuesta a las tácticas y puntos débiles de su adversario. La cadena de muerte sirve como un arquetipo básico al basar sus acciones en las de un actor de amenazas típico. Cyber ​​Kill Chain es una estrategia por etapas que incluye los siguientes pasos:

• Reconocimiento
• Intrusión
• Explotación
• Escalada de privilegios
• Movimiento lateral
• Ofuscación
• Denegación de servicio
• exfiltración

#4. Cadena de muerte unificada

Para ofrecer un método más completo para comprender al adversario y clasificar los riesgos, este marco combina los marcos MITRE ATT&CK y Cyber ​​Kill Chain. Hace uso de las fortalezas de cada marco para ayudar a cerrar las brechas comunes. Al agregar 18 fases adicionales, este marco extiende la cadena de ataque.

¿Qué hace un centro de operaciones de seguridad?

La capacidad de una organización para identificar amenazas, responder a ellas y prevenir daños mayores se ve reforzada por un centro de operaciones de seguridad, que unifica y coordina todas las tecnologías y operaciones de ciberseguridad.

¿Qué son un NOC y un SOC? 

Mientras que los Centros de Operaciones de Seguridad (SOC) se encargan de proteger a la empresa contra las amenazas en línea, los Centros de Operaciones de Red (NOC) se encargan de mantener la infraestructura técnica del sistema informático de una empresa.

Un centro de operaciones de red (NOC) mantiene el rendimiento efectivo de la red, y un centro de operaciones de seguridad (SOC) identifica, investiga y trata las amenazas y los ataques cibernéticos.

¿Cuál es la diferencia entre un SOC y un SIEM? 

La distinción principal entre un SIEM y un SOC es que el primero recopila datos de varias fuentes y los correlaciona, mientras que el segundo recopila datos de varias fuentes y los envía a un SIEM. 

¿Qué significa NOC en seguridad?

Los centros de operaciones de red (NOC) son ubicaciones centralizadas donde los sistemas informáticos, de telecomunicaciones o de redes satelitales se monitorean y administran las XNUMX horas del día, todos los días de la semana. En caso de fallas en la red, sirve como primera línea de defensa.

¿Cuáles son los tres tipos de SOC? 

• SOC cogestionado
• SOC virtuales
• SOC dedicado

¿Qué son los TopSOC? 

• Redes del lobo ártico
• red palo alto
• Netsurión
• IBM
• CISCO

Conclusión  

Un centro de operaciones de seguridad, o SOC, es importante porque las empresas están poniendo más énfasis en la ciberseguridad. La principal entidad encargada de defenderse de las amenazas cibernéticas a su negocio es su SOC. Al reunir todas las operaciones y tecnologías de ciberseguridad bajo un mismo techo, un centro de operaciones de seguridad mejora la capacidad de una organización para la detección, respuesta y prevención de amenazas.

Artículos Relacionados

1. GESTIÓN DE INCIDENTES: Guía del proceso y mejores prácticas
2. INTELIGENCIA DE AMENAZAS CIBERNÉTICAS: significado, herramientas, analista y salario
3. GESTIÓN DEL RIESGO DE CIBERSEGURIDAD: Marco, Plan y Servicios
4. Descripción del trabajo del centro de llamadas: guía completa (
5. CENTRO DE LLAMADAS: Significado, Servicios, Software y Capacitación

Referencias 

• ciberseguridadforme.com
• IBM
• CompTIA