En la actualidad, se espera que las empresas cuenten con al menos 6 a 8 herramientas de detección, ya que la detección se considera una inversión estándar y la primera línea de defensa. Sin embargo, los líderes de seguridad se esfuerzan por justificar que dediquen recursos a sus superiores en una fase más avanzada del ciclo de vida de las alertas.

Como resultado, las inversiones en seguridad de la mayoría de las organizaciones son herramientas de detección sólidas y asimétricas combinadas con un SOC con pocos recursos, su última línea de defensa.

Un reciente estudio de caso demuestra cómo las empresas con un SOC estandarizado evitaron un sofisticado ataque de suplantación de identidad que pasaba por alto las principales herramientas de seguridad del correo electrónico. En este caso práctico, se llevó a cabo una campaña de suplantación de identidad entre empresas dirigida a altos ejecutivos de varias empresas. Ocho herramientas diferentes de seguridad del correo electrónico de estas organizaciones no lograron detectar el ataque, y los correos electrónicos de suplantación de identidad llegaron a las bandejas de entrada de los ejecutivos. Sin embargo, el equipo de SOC de cada organización detectó el ataque inmediatamente después de que los empleados denunciaran los correos electrónicos sospechosos.

¿Por qué fallaron las ocho herramientas de detección de forma idéntica cuando el SOC tuvo éxito?

Lo que todas estas organizaciones tienen en común es una inversión equilibrada a lo largo del ciclo de vida de las alertas, sin descuidar su SOC.

Este artículo examina cómo la inversión en el SOC es indispensable para las organizaciones que ya han asignado importantes recursos a las herramientas de detección. Además, una inversión equilibrada en el SOC es crucial para maximizar el valor de sus inversiones de detección actuales.

Las herramientas de detección y el SOC funcionan en universos paralelos

La comprensión de esta desconexión fundamental explica cómo surgen las brechas de seguridad:

Las herramientas de detección funcionan en milisegundos. Deben tomar decisiones instantáneas sobre millones de señales todos los días. No tienen tiempo para matices; la velocidad es esencial. Sin ella, las redes se paralizarían, ya que todos los correos electrónicos, archivos y solicitudes de conexión se retrasarían para su análisis.

Las herramientas de detección se acercan. Son los primeros en identificar y aislar las posibles amenazas, pero no comprenden el panorama general. Mientras tanto, los equipos de SOC operan con una visión de 30 000 pies. Cuando las alertas llegan a los analistas, tienen algo de lo que carecen las herramientas de detección: tiempo y contexto.

En consecuencia, el SOC aborda las alertas desde una perspectiva diferente:

  1. Pueden analizar patrones de comportamiento, por ejemplo, por qué un ejecutivo inicia sesión de repente desde la dirección IP de un centro de datos cuando normalmente trabaja desde Londres.
  2. Pueden unir datos entre herramientas. Pueden ver un dominio de correo electrónico con una reputación limpia junto con los intentos de autenticación posteriores y los informes de los usuarios.
  3. Pueden identificar patrones que solo tienen sentido cuando se consideran en conjunto, como la segmentación exclusiva de los ejecutivos de finanzas combinada con un calendario que se alinea con los ciclos de nómina.

Tres riesgos críticos de un SOC con fondos insuficientes

En primer lugar, puede dificultar que los líderes ejecutivos identifiquen la raíz del problema. Los CISO y los responsables del presupuesto de las organizaciones que implementan diversas herramientas de detección suelen dar por sentado que sus inversiones garantizarán su seguridad. Mientras tanto, el SOC vive esta situación de manera diferente, ya que se ve abrumado por el ruido y carece de los recursos para investigar adecuadamente las amenazas reales. Como el gasto en detección es evidente, mientras que las dificultades del SOC se producen a puerta cerrada, los responsables de seguridad encuentran difícil demostrar la necesidad de invertir más en su SOC.

En segundo lugar, la asimetría supera la última línea de defensa. Las importantes inversiones en múltiples herramientas de detección producen miles de alertas que inundan el SOC todos los días. Con los SOC con fondos insuficientes, los analistas se convierten en porteros que se enfrentan a cientos de tiros a la vez y se ven obligados a tomar decisiones en una fracción de segundo bajo una enorme presión.

En tercer lugar, socava la capacidad de identificar amenazas matizadas. Cuando el SOC se ve abrumado por las alertas, se pierde la capacidad de realizar un trabajo de investigación detallado. Las amenazas que escapan a la detección son aquellas que las herramientas de detección nunca detectarían en primer lugar.

Desde soluciones temporales hasta operaciones de SOC sostenibles

Cuando las herramientas de detección generan cientos de alertas a diario, añadir algunos analistas de SOC más es tan eficaz como intentar salvar un barco que se hunde con un balde. La alternativa tradicional ha sido subcontratación a MSSP o MDR y asignar equipos externos para gestionar el exceso de personal.

Sin embargo, para muchos, las desventajas siguen siendo excesivas: altos costos continuos, investigaciones superficiales de los analistas que no están familiarizados con su entorno, retrasos en la coordinación y problemas de comunicación. La subcontratación no corrige el desequilibrio; simplemente transfiere la carga a otra persona.

Hoy en día, las plataformas SOC de IA se están convirtiendo en la opción preferida para las organizaciones con equipos de SOC ajustados que buscan una solución eficiente, rentable y escalable. Las plataformas SOC basadas en la IA funcionan en la capa de investigación, donde se lleva a cabo el razonamiento contextual, automatizan la clasificación de alertas y solo muestran los incidentes de alta fidelidad después de asignarles un contexto.

Con la ayuda de AI SOC, los analistas ahorran cientos de horas cada mes, ya que las tasas de falsos positivos suelen caer más de un 90%. Esta cobertura automatizada permite a los equipos internos pequeños brindar cobertura las 24 horas del día, los 7 días de la semana, sin necesidad de personal adicional ni subcontratación. Las empresas que aparecen en este estudio de caso invirtieron en este enfoque a través de Radiant Security, una plataforma SOC basada en inteligencia artificial para agencias.

Dos formas en las que la inversión en SOC vale la pena, ahora y más adelante

  1. Las inversiones en SOC hacen que el costo de las herramientas de detección valga la pena. Sus herramientas de detección son tan eficaces como su capacidad para investigar sus alertas. Cuando el 40% de las alertas no se investigan, no puedes aprovechar al máximo todas las herramientas de detección que tienes. Sin una capacidad de SOC suficiente, está pagando por capacidades de detección que no puede aprovechar al máximo.
  2. La perspectiva única de la última línea será cada vez más crítica. El SOC será cada vez más esencial a medida que las herramientas de detección fallen con más frecuencia. A medida que los ataques se vuelvan más sofisticados, la detección necesitará más contexto. La perspectiva del SOC significará que solo ellos podrán conectar estos puntos y ver el panorama completo.

Tres preguntas para guiar su próximo presupuesto de seguridad

  1. ¿Su inversión en seguridad es simétrica? Comience por evaluar su asignación de recursos para determinar si está desequilibrada. El primer indicio de una seguridad asimétrica es tener más alertas de las que su SOC puede gestionar. Si sus analistas se ven abrumados por las alertas, significa que su primera línea supera a la de atrás.
  2. ¿Su SOC es una red de seguridad calificada? Todos los líderes del SOC deben preguntarse: si la detección falla, ¿está el SOC preparado para detectar lo que pasa? Muchas organizaciones nunca se lo preguntan porque no consideran que la detección sea responsabilidad del SOC. Sin embargo, cuando las herramientas de detección fallan, las responsabilidades cambian.
  3. ¿Está infrautilizando las herramientas existentes? Muchas organizaciones descubren que sus herramientas de detección producen señales valiosas que nadie tiene tiempo de investigar. La asimetría significa no tener la capacidad de actuar sobre la base de lo que ya se posee.

Conclusiones clave de Radiant Security

La mayoría de los equipos de seguridad tienen la oportunidad de asignar recursos para maximizar el ROI de sus inversiones actuales en detección, respaldar el crecimiento futuro y mejorar la protección. Las organizaciones que invierten en herramientas de detección pero descuidan su SOC crean puntos ciegos y se agotan.

Seguridad radiante , la plataforma SOC de IA para agencias destacada en el estudio de caso, muestra el éxito a través de una inversión en seguridad equilibrada. Radiant trabaja en el nivel de investigación del SOC: clasifica automáticamente cada alerta, reduce los falsos positivos en aproximadamente un 90% y analiza las amenazas a la velocidad de una máquina, como lo haría un analista experto. Con más de 100 integraciones con las herramientas de seguridad existentes y funciones de respuesta con un solo clic, Radiant ayuda a los equipos de seguridad eficientes a investigar cualquier alerta, conocida o desconocida, sin necesidad de aumentar el personal de forma imposible. Radiant Security pone las capacidades de SOC de nivel empresarial a disposición de organizaciones de cualquier tamaño.

¿Te ha parecido interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.