A fondo: ¿Cómo funcionan los SOC?

Los Centros de Operaciones de Seguridad (SOC) son un elemento esencial en un mundo hiperconectado y cada vez más expuesto a ataques globales capaces de paralizar la actividad empresarial. ¿Qué roles debe incorporar un SOC?

La ciberseguridad se ha convertido en una prioridad para todo tipo de empresas. En los últimos meses estamos viendo ataques a escala planetaria, capaces de afectar a compañías a las que se presupone un elevado nivel de seguridad, como ya sucedió con WannaCry, por ejemplo.

Por eso, cada vez hay más corporaciones que deciden contar con un Centro de Operaciones de Seguridad (SOC, en sus siglas en inglés). “Dado que la digitalización de la economía es creciente, el número de empresas que disponen de SOC también crece, ya sea externo o interno. Hay analistas que indican que para 2020 el 80% de las compañías contarán con un SOC propio o se apoyarán en un tercero”, afirma David Fernández Granado, director de BT Security para España y Portugal.

¿Y qué profesionales conforman los SOC?  Según el informe ‘Future SOC: SANS 2017 Securit Operations Centers Survey’, elaborado por SANS Institute’, los encuestados se describen con mayor frecuencia como profesionales técnicos (50%), con roles como desarrollador, arquitecto, analista, administrador u operador de algún tipo. Y el 40% de los consultados se emplaza en la categoría de managers (manager, director, officer o C-Level -ejecutivos de nivel C).

Carmen Dufur, directora de Estrategia de Ciberseguridad de Capgemini, hace hincapié en que “es muy importante que existan distintos perfiles y que el equipo esté en constante formación, ya que los vectores de amenaza están continuamente cambiando”. Podemos hacer una clasificación básica en tres niveles.

Nivel 1: monitorización y análisis

Dufur especifica que “el primer nivel suele estar formado por uno o varios analistas, que monitorizan de formas constante las alertas y las amenazas que puedan existir en la compañía. Hacen un triaje basándose en la información que son capaces de recopilar e investigar para determinar si estas alertas y amenazas se pueden convertir en un incidente de seguridad o si son ‘falsos positivos’”.

Asimismo, el informe ‘Building a World-Class Security Operations Center: A Roadmap’, elaborado también por SANS Institute, señala que este nivel se encarga de monitorizar continuamente la cola de alertas y realizar su triaje y recopilar datos y generar el contexto necesario antes de pasar al nivel 2. De este modo, los empleados en estas tareas deben contar con formación en el procedimiento de triaje y la detección de intrusos o de actividades sospechosas que amenacen los sistemas de la empresa.

Miguel Ángel Pérez Acevedo, gerente de Marketing de Producto Línea de Seguridad de Telefónica, indica que “los dos skills más relevantes en el ámbito de monitorización son ingeniero de sistemas, responsable de implantar configuraciones y auditoría en los sistemas de su responsabilidad, a fin de permitir rastrear lo que ocurre en una instalación; y experto en monitorización, responsable de agregar trazas de múltiples fuentes identificando comportamientos fuera de lo común o no autorizados”.

Por su parte, Auxi Ureña, gerente de negocio de Servicios Gestionados de Ingenia, apunta que en este nivel nos encontramos con los operadores de seguridad. “Son los encargados del seguimiento de los eventos de seguridad, de su primer análisis y del registro y la clasificación de los incidentes”, aclara.

Nivel 2: análisis profundo y respuesta

El siguiente nivel se encarga de responder al incidente tras el triaje inicial. “Ese nivel 2 tiene un nivel de ‘expertise’ mayor. A través de una metodología y unos procedimientos definidos, se realiza un análisis del incidente, cotejando información de distintas fuentes, determinando si afecta a sistemas críticos y revisando qué conjunto de datos se han visto impactados. También recomienda qué remedio se puede aplicar y proporciona soporte para realizar un análisis de este incidente. Es muy importante que tenga como fuente de información una inteligencia bien construida, creada tanto por el histórico disponible como por pertenecer a una red de SOC global en la que se comparta información de estas amenazas. Además, debe contar con una analítica avanzada”, señala la responsable de Capgemini.

Asimismo, Pérez puntualiza que “en el ámbito de la respuesta, el rol más relevante es el de analistas expertos en seguridad con la capacidad de identificar a través de trazas en los sistemas cómo tuvo lugar un compromiso, identificando el alcance, la metodología utilizada y, a partir de ahí, las contramedidas que pueden implantarse, realizando investigaciones con el fin de identificar el atacante y sus motivaciones”.

Y Ureña indica que en este nivel están los técnicos de seguridad, “expertos en diferentes materias”. “Son los encargados de la gestión de los incidentes de seguridad, de la configuración y el mantenimiento de las herramientas y del análisis y la gestión de vulnerabilidades”, añade.

En el informe de SANS Institute se indica que la formación de estos profesionales debe contemplar el análisis forense de redes avanzadas, procedimientos de respuesta al incidente, revisiones de registro, evaluación básica de malware e inteligencia de amenazas.

Nivel 3: expertos y ‘hunters’

“Es un nivel de ‘expertise’ muy alto. A veces se les llama ‘hunters’. Se pasa a este nivel si se necesita un ‘expertise’ muy alto para la resolución o mitigación de los incidentes. Pero también se encarga de ir ‘a la caza’ de posibles incidentes. No esperan a recibirlos, sino que van a buscarlos”, comenta Dufur.

La responsable de Ingenia apunta que se trata de consultores técnicos, “muy especializados en las diferentes materias de seguridad, encargados de realizar las auditorías técnicas, proponer los planes de acción para la mejora y realizar algunos servicios especialmente complejos, como el análisis forense”.

SANS Institute precisa que los profesionales de este nivel poseen un conocimiento profundo de la red, de los sistemas endpoint, de inteligencia de amenazas, de forensia e ingeniería inversa de malware y del funcionamiento de aplicaciones y de la infraestructura TI subyacente. Además, remarca que están estrechamente implicados en el desarrollo, ajuste e implementación de la analítica de amenazas. Entre sus capacidades debe contar con entrenamiento avanzado en la detección de anomalías, formación específica en las herramientas de agregación y análisis de datos y en inteligencia de amenazas

El ‘cerebro’ del SOC

Además de estos tres niveles, el SOC debe contar con una coordinación. “El SOC manager es quien que gestiona el equipo y el presupuesto. Además, es el punto de comunicación para los incidentes críticos”, apunta la responsable de Capgemini. Y Ureña indica que el director del servicio es “el responsable máximo del SOC, encargado del diseño y la actualización del catálogo de servicios y del rendimiento del equipo”.

El informe de SANS Institute precisa que el SOC manager gestiona los recursos de personal, presupuesto, turnos y acuerdos de nivel de servicio (SLA, en sus siglas en inglés), lleva la dirección del SOC, se relaciona con la gerencia y sirve de enlace cuando se producen incidentes críticos. Por tanto, debe estar cualificado para la gestión de proyectos y la respuesta ante incidentes, además de contar con habilidades para la gestión de personas.

Otros roles

Como explica Dufur, los citados anteriormente “son los niveles básicos del core del SOC, aunque dentro del SOC puede haber también varios ‘expertises’”. Por ejemplo, la responsable de Ingenia se refiere a los gestores técnicos, “responsable de los procedimientos y de los diferentes equipos técnicos, que ejercen de jefes de proyecto para los diferentes clientes y son los encargados del reporte al cliente final y del seguimiento de los SLA”.

Además, señala que “el SOC se nutre de diferentes perfiles que, no siendo especialistas en seguridad, tienen mucho que aportar con sus conocimientos expertos a la correcta gestión de los eventos de seguridad como, por ejemplo, técnicos expertos en sistemas, comunicaciones y/o desarrollo”. E indica que “es especialmente importante la visión de los expertos en seguridad estratégica”. “Aunque no suelen formar parte de los equipos del SOC, sus conocimiento en seguridad legal y  normativa se hacen imprescindibles para diseñar y mantener el servicio de SOC”, explica.

El responsable de Telefónica, puntualiza que “los roles están muy vinculados a cada práctica en seguridad”. Además de los roles en las tareas de monitorización y respuesta, que ya hemos repasado, especifica que “el rol más importante en el ámbito de riesgos es el de consultor de riesgos y compliance, responsable de identificar riesgos tecnológicos o derivados de la aplicación de una normativa en el entorno TI del cliente”.  Asimismo, destaca “dos roles fundamentales” en el ámbito de protección: “arquitecto responsable de identificar tecnologías de seguridad y su disposición dentro del datacenter de cliente, y experto en implantación y operación de una tecnología de seguridad”.

En definitiva, Juan Carlos de Miguel, Associate Partner de IBM Security, explica que “un SOC es un ecosistema complejo, en el que colaboran estrechamente numerosos perfiles y roles, en función de los servicios que prestan: técnicos de nivel 1 (monitorización), nivel 2 (triage) y nivel 3 (respuesta), equipos de respuesta a incidentes, analistas de seguridad (sec analyst) y de datos (data scientists), expertos en ingeniería e integración (automatización, mejora continua, etc.), arquitectos y expertos en las tecnologías y soluciones de seguridad utilizadas por el SOC (SIEM, accesos, cifrado, forense, etc.), expertos en análisis de vulnerabilidades en sistemas y aplicaciones, responsables de cumplimiento y relación con las áreas de auditoría, comunicación y relaciones con terceros/clientes, etc.”.

Externalización de servicios

De Miguel comenta que “algunos de estos roles son comunes a otros ámbitos, pero otros son específicos y requieren skills y capacidades difíciles de desarrollar y de encontrar en el mercado, lo que lleva a algunas organizaciones a externalizar el servicio a un proveedor especializado”.

Según SANS Institute, la mayor parte de las tareas son manejadas internamente por los SOC, aunque hay algunas que se externalizan o que se afrontan contando con la colaboración de servicios ajenos. Las actividades para las que se suele recurrir a este apoyo externo son la búsqueda de amenazas (44% de las empresas), forensia digital (38%), monitorización de seguridad y detección (35%) y descubrimiento electrónico y recopilación de pruebas legales (33%).

Dimensión del SOC

SANS Institute desvela que el SOC suele contar con un equipo de entre dos y cinco empleados a tiempo completo en empresas con plantillas de menos de 10.000 trabajadores. A partir de ahí, los SOC son mayores, moviéndose en una horquilla de 11 a 25 personas.

Asimismo, el infome ‘Intelligent security operations: A staffing guide’, elaborado por Hewlett Packard Enterprise’, indica que con tres personas (manager, analista de nivel y y anañsta de nivel 2) es posible establecer un SOC 8×5, aunque exige una considerable automatización y métricas significativas. Y requerirá ayuda externa, especialmente para la monitorización fuera de ese horario. Con un equipo de 10 personas (manager, 6 analistas de nivel 1, dos analistas de nivel 2 y un ingeniero) ya sería posible afrontar un servicio 24×7.