La mayoría de los SOC luchan con su misión fundamental: la detección y la respuesta
Según la Encuesta de Seguridad de Forrester, 2022, el desafío de seguridad de la información más citado entre los responsables de la toma de decisiones de seguridad es la naturaleza cambiante y evolutiva de las amenazas de TI. El papel del centro de operaciones de seguridad (SOC, por sus siglas en inglés), y de los analistas que operan en él, es fundamental para este esfuerzo: detectar y detener los ataques que superan la prevención. Sin embargo, muchos equipos de operaciones de seguridad (SecOps) tienen dificultades, ya que pasaron de ser una necesidad (responder a alertas que señalan un posible ataque) a una disciplina mal estructurada.
Forrester define las operaciones de seguridad como:
La práctica dentro de una empresa dedicada a la búsqueda, detección, investigación y respuesta a ataques cibernéticos.
En todas las organizaciones, excepto en las más grandes, el SOC sigue siendo un equipo ad hoc de profesionales de TI que están incursionando en la cibernética. Los equipos de SecOps suelen hacer lo siguiente:
- Están abrumados por el tiempo y la energía que gastan en cerrar alertas. Según los datos de Forrester de 2022, una cuarta parte de los responsables de la toma de decisiones de seguridad de las empresas que se adaptan al futuro identifican que las actividades tácticas cotidianas que ocupan demasiado tiempo son uno de los mayores retos de seguridad de la información/TI de su organización. El SOC no es ajeno a esto. Matt Peters, director de producto de Expel, señala: «El SOC promedio es un mal lugar para trabajar porque es básicamente una fábrica de clics». El SOC dedica tanto tiempo a abordar la amenaza actual que no logra elaborar una estrategia contra los próximos quinientos. Además, este trabajo solo aumenta a medida que las empresas se adentran en el mundo centrado en el desarrollador de la infraestructura en la nube, el desarrollo de aplicaciones nativas de la nube y la cantidad cada vez mayor de datos procedentes de fuentes de telemetría y registro a escala de la nube.
- No tienen el personal, el proceso o la capacidad para crear reglas de forma continua. Contratar al personal para ejecutar una función de ingeniería de detección (la capacidad centrada en la ingeniería responsable de crear nuevas reglas de detección) es un desafío. Los ingenieros de detección, los cazadores de amenazas y los administradores de inteligencia de amenazas son difíciles de encontrar y más difíciles de retener. Según Keith McCammon, director de seguridad de Red Canary: «Superar el obstáculo de la cobertura de detección que sale de la caja con la tecnología que compra para obtener la cobertura de detección que desea es un trabajo duro. Es difícil y nunca se detiene: la vigilancia del panorama de amenazas, el mantenimiento de la cobertura de detección y la validación de que el sistema seguirá funcionando cuando sea necesario. Es similar a una rueda de hámster, y tienes que seguir funcionando indefinidamente».
Muchas herramientas proporcionan detecciones listas para usar; Sin embargo, rara vez existen procesos para garantizar la detección, la creación de reglas y el ajuste continuos. La obsolescencia de las detecciones debido a condiciones cambiantes, como la evolución de las amenazas, la infraestructura o el cambio en el comportamiento de los usuarios, rara vez se realiza debido a la falta de proceso, disciplina y personal.
- Cree una canalización de agotamiento del talento en lugar de una canalización de crecimiento del talento. Según la investigación de Forrester, uno de los factores clave en el agotamiento de los empleados es la falta de satisfacción personal y el enriquecimiento del propio trabajo. En la mayoría de los SOC, los analistas de nivel uno (L1) clasifican las alertas y, a continuación, transfieren la investigación más profunda y la respuesta a los analistas de nivel dos (L2) y superiores. Esto limita cuánto puede aprender un analista de L1 y cuánta satisfacción obtiene en su función. Sin obtener la exposición necesaria a un análisis más profundo y acciones de respuesta, es difícil para los analistas de L1 alcanzar el siguiente nivel en sus carreras. Tampoco sienten una verdadera sensación de logro sin haber seguido una alerta a lo largo de su ciclo de vida, desde el triaje, la investigación y la respuesta hasta el cierre.
Esta estructura también conduce a la promoción por certificación, lo que obliga a los analistas a gastar dinero y estudiar para las pruebas fuera del horario laboral para llegar al siguiente paso en su carrera, lo que aumenta su falta de satisfacción y conexión con la organización. Los empleados que no pueden crecer en su organización se irán a otras empresas o proveedores de seguridad o abandonarán la industria por completo. - Priorice el dominio del producto por encima de los principios básicos de seguridad. Según los datos de Forrester de 2022, de los responsables de la toma de decisiones de seguridad global que indicaron que la falta de disponibilidad de empleados de seguridad con las habilidades adecuadas era un desafío para su organización, el 52% señaló que su organización de seguridad carece más de habilidades técnicas (ver Figura 1). Incluso aquellos que tienen las habilidades técnicas a menudo se capacitan en productos, no en principios. Se les entrena para usar Splunk, CrowdStrike o QRadar, pero rara vez se les capacita sobre cómo crear detecciones, investigar y responder a incidentes de seguridad, lo que con frecuencia es conocimiento tribal. El sucio secreto del SOC es que esperamos que el talento de nivel inicial (analistas de seguridad) practique los principios de seguridad sin enseñarles nunca qué son o cómo hacerlo.
Las habilidades de seguridad que más faltan en las operaciones de seguridad
Transforme el SOC adoptando enfoques de desarrollador con DR-DLC
El SOC ha alcanzado el mismo punto de inflexión al que se enfrentó el desarrollo de software hace muchos años: está lidiando con demasiados datos (big data y gestión de registros), luchando por innovar y actualizar software monolítico (detecciones y procesos de respuesta a incidentes) y careciendo de propiedad más allá de la implementación inicial (gestión de contenido). Una vez que el mundo del software llegó a este punto, pasó de construir software monolítico basado en una metodología en cascada a microservicios y ágil. El SOC puede aprovechar estas mismas lecciones y aplicarlas a la ingeniería de detección y respuesta, la capacidad centrada en la ingeniería responsable de crear nuevos flujos de trabajo de detección y automatización de respuestas (consulte la Figura 2). La ingeniería de detección y respuesta sigue tres principios básicos: seguir un ciclo de vida de desarrollo, aprovechar la agilidad y adoptar la detección como código.
Ingeniería de detección aplicada a la experiencia del analista (AX)
Aplicar los principios del software Desarrollo De Ingeniería De Detección Y Respuesta
Los marcos de desarrollo de software, como el ciclo de vida de desarrollo de software (SDLC) y el modelo de entrega de aplicaciones modernas (MAD) de Forrester, proporcionan una base para la mejora y diferenciación del desarrollo, con un núcleo central centrado en el valor empresarial. Estos modelos se pueden aplicar a la ingeniería de detección y respuesta para acelerar la creación, el ajuste y la obsolescencia de reglas y análisis. Para aprovechar las ventajas del SDLC, cree el programa de ingeniería de detección y respuesta para seguir el ciclo de vida de desarrollo de detección y respuesta (DR-DLC) (consulte la figura 3). El DR-DLC se basa en el SDLC aplicado a la ingeniería de detección y respuesta. Prioriza el valor empresarial a través de un proceso de ciclo ajustado para el desarrollo, desde la ideación hasta la entrega y las pruebas continuas.
Según Keith McCammon, director de seguridad de Red Canary: «Concéntrese primero en la detección y la respuesta. Ponga en práctica la inteligencia de amenazas a través de la detección basada en ingeniería que es repetible, escalable y comprobable. Las pruebas son fundamentales y, a menudo, se pasan por alto: debe probar y medir todo lo que pueda, desde su canalización de datos hasta la respuesta de su equipo». Este marco ayuda a su equipo a establecer un proceso de compilación coherente y oportuno que incorpore la ideación, el diseño, la compilación, las pruebas, la versión y la supervisión continua.
El ciclo de vida de desarrollo de detección y respuesta
Combine el DR-DLC con Agile For Ágil + SecOps
Mantenerse al día con las tácticas, técnicas y procedimientos (TTP) de los atacantes en constante cambio; infraestructura empresarial; y los procesos internos requieren un conjunto de principios que permitan la innovación, la capacidad de respuesta y la flexibilidad: ágiles. Agile es un conjunto de valores para evaluar, entregar y cambiar el trabajo de forma incremental, con un enfoque en el producto sobre la propiedad del proyecto y del equipo. Estos valores son ciclos de planificación cortos e iterativos; entrega incremental; una mejor alineación del negocio; cambios frecuentes; y ceremonias específicas como stand-ups para la colaboración. Cuando se combina con marcos de desarrollo de software, es la estructura la que permite cambios e impactos frecuentes. Agile + SecOps es el sistema en torno al DR-DLC que permite la evolución constante de los procesos de respuesta a incidentes y las detecciones (consulte la Figura 4). Según Niall Browne, vicepresidente sénior de CISO de Palo Alto Networks, «El SOC tiene que ver con la mejora, y si tienes que crear un equipo separado para hacer la mejora, no va a funcionar».
Creación de una nueva detección neta con DR-DLC y metodologías ágiles
Adopte la detección como código
La detección como código es la detección de amenazas basada en software. En lugar de crear detecciones individuales a través de la interfaz gráfica de usuario de un proveedor, que nunca se actualizarán ni modificarán de nuevo, los equipos de seguridad aprovechan los procesos de desarrollo de software para convertir la gestión de contenido en una práctica de ingeniería de detección. La detección como código ofrece a su equipo la capacidad de codificar reglas que se van a reutilizar o heredar, capturar cambios e identificar diferencias en las versiones (consulte la figura 5). También ofrece la posibilidad de auditar para un manejo adecuado a través del control de versiones, simplificar y automatizar aspectos de las pruebas y ofrecer un medio de supervisión para la revisión por pares. Los equipos de seguridad estandarizan las reglas de Sigma para su flexibilidad y convertidores prediseñados, Git para el control de versiones y GitLab y scripts personalizados para crear una canalización de CI/CD. Aquí es donde tu equipo puede experimentar. Una canalización de CI/CD empresarial completa puede estar fuera del alcance de su equipo, pero extraer aspectos de ella, como la capacidad de administrar el control de versiones de detección y automatizar aspectos de las pruebas, ayuda a crear detecciones más rápidas y precisas.
Ejemplo de regla Sigma para encontrar excepciones SQL en Python
Mejore la ingeniería de detección con Agile + SecOps
El cambio al enfoque Agile + SecOps requiere que los equipos de SecOps unifiquen a las personas (experiencia de los analistas), los procesos (prácticas ágiles) y la tecnología (ingeniería de detección) en un sistema de mejora (consulte la Figura 6). A medida que la infraestructura empresarial avanza hacia una mentalidad de desarrollador, también debe hacerlo el SOC, si quiere mantenerse al día con las amenazas en evolución. Para avanzar con una mentalidad de desarrollador en el SOC:
- Defina y realice un seguimiento de las métricas para equilibrar la velocidad con el valor. Realice un seguimiento de métricas como la calidad de la detección, el tiempo medio de detección, el tiempo medio de respuesta, el tiempo medio de investigación, la opinión de los empleados, el valor empresarial y otras. Cualquier métrica rastreada debe incorporarse al proceso de ingeniería de detección y ayudar a los ingenieros de detección a mejorar los procedimientos de detección y respuesta.
- Incorporar prácticas ágiles gobernadas por un coach ágil. Para ayudar a su equipo a iterar más rápido, introduzca procesos ágiles para guiar su función de ingeniería de detección. Responsabilice a su equipo con sprints coherentes para crear, cambiar y dejar de lado las detecciones con sesiones quincenales para revisar y actualizar los procedimientos de respuesta a incidentes, realizar un seguimiento de las métricas y asignar analistas para la próxima reunión. Un coach ágil es responsable de mantener el sistema en marcha, que puede ser una entidad independiente o puede incorporarse a un rol de equipo como gerente de SOC.
- Desmantele el sistema de análisis por niveles y reemplácelo con ingenieros de detección. Priorice la detección y la respuesta como una práctica, en lugar de cerrar las alertas como una tarea. Abolir los analistas de seguridad tal y como los hemos entendido (L1, L2, L3) y sustituirlos por ingenieros de detección. Los ingenieros de detección realizan la investigación y la respuesta de principio a fin y son responsables de todo el ciclo de vida de la detección: desarrollar, ajustar y dejar de usar la ingeniería de detección y respuesta. El personal sénior puede guiar al nuevo personal a lo largo del proceso, pero en última instancia, incluso el analista más ecológico debe esforzarse. Les ayuda a acelerar la velocidad, mejora la retención y libera al personal sénior para que sea estratégico y mentor.
Según Ben Brigida, director de operaciones de seguridad de Expel: «Cuanto más segmente un SOC con una estructura de L1 a L3, más analistas de L1 serán siempre analistas de L1. Si los asciendes, de repente ya no son buenos en su trabajo, porque nunca lo han hecho, así que cuanto más podamos difuminar esas líneas y que realmente sea un equipo, más puede funcionar el sueño».
- Dé espacio para que los analistas aprendan. Introducir tiempo y espacio (Forrester recomienda al menos el 15 % del tiempo de un analista) para que los analistas amplíen su conjunto de habilidades, ya sea para la ingeniería de detección, la búsqueda de amenazas, la respuesta a incidentes, la seguridad de las aplicaciones u otras funciones. Esta es tu fuente de talento; No lo pierdas por la picadora de carne alerta. Según Joe Moles, vicepresidente sénior de productos y operaciones de Red Canary: «Les da a todos la oportunidad de flexionar sus habilidades, y creas esta mente de colmena. Tenemos gente en el equipo que prácticamente acaba de salir de la escuela secundaria y que está aportando ideas interesantes. También tenemos personas que han estado haciendo esto durante 20 años en grandes empresas de software, y todos están trabajando hombro con hombro, codo con codo, aprendiendo unos de otros. Nos hace grandes».
- Aproveche la detección como código después de que se establezcan los procesos. Configurar el proceso para la ingeniería de detección es vital para crear e iterar en las detecciones; Solo esto ayudará a su equipo a mantenerse al día con las amenazas en evolución y garantizará la mejora continua. Sin embargo, para amplificar estos esfuerzos, enseñe a sus ingenieros de detección cómo crear detecciones como código. Salir del enfoque low-code/no-code ayudará a su equipo a crear funciones repetibles, alterar y mejorar las detecciones más rápido y probar las detecciones de forma más fácil y automatizada. También ayuda a sus analistas a aprender nuevas habilidades para hacer crecer sus carreras. Establezca oportunidades de tutoría con equipos de desarrollo en otras áreas de la empresa y obtenga acceso a cursos que destaquen la detección como código de SANS y otros.
Operaciones de seguridad como práctica de ingeniería de detección