http://www.netmedia.mx/b-secure/que-nada-se-escape-del-ojo-humano-el-secreto-de-un-soc-impulsado-por-inteligencia-accionable/
B:Secure

Que nada se escape del ojo humano: el secreto de un SOC impulsado por inteligencia accionable

En 20 años todo podrá ser automatizado, hoy en día vemos los pininos de los automóviles autónomos; entrega de paquetes a través de drones, y otros ejemplos se irán sumando. Entonces ¿por qué no automatizar las investigaciones cibernéticas? Cuestionó Fernando Fontao, gerente comercial de Ciberseguridad de Verint a los asistentes de la 14° b:Secure Conference en Ciudad de México.

La automatización de la seguridad permitirá identificar y contar las evidencias necesarias para reaccionar. “Del ojo humano es fácil que escapen amenazas y por ello automatizar al analista mejoraría la detección y visibilidad; una mayor precisión, cobertura y clasificación; reducir el tiempo de respuesta y facilitar a la par de agilizar la labor de los analistas”, aseguro el especialista.

El promedio de detección de ataques es de 146 días, ello demuestra que existen “lagunas en los Centros de Operación de Seguridad (SOC) y la manera de cambiar esta perspectiva es dotar de inteligencia al SOC”.

Si bien el SIEM es importante, explicó Fontao, tiene límites; ya que únicamente permite administrar y manejar los LOG. Es solo una capa de seguridad y depende directamente de los analistas.

Un SOC diseñado e impulsado por inteligencia debe contar con las siguientes características:

1) Utilizar inteligencia de amenazas de múltiples fuentes estratégica y tácticamente.
2) Utilizar análisis avanzados para poner en acción la inteligencia de la seguridad.
3) Automatizar siempre que sea factible.
4) Adoptar una arquitectura de seguridad adaptativa.
5) Proactivamente cazar e investigar.

Entre las ventajas de contar con un SOC de nueva generación, según Gartner, es no depender de nadie (colecciona el tráfico directamente desde los puntos de entrada y salida de la red; tiene presencia propia en todos los endpoints y analiza la comunicación con servidores de comando y control en internet); automatización (evitas focalizar los esfuerzos en alarmas y si en incidentes fundados, y el analista humano tendrá todas las evidencias del ataque en sus manos); aprendizaje (permite añadir al análisis humano conclusiones adicionales sobre el incidente y expandir la búsqueda basada en evidencias); integración (acelera el proceso de respuesta al incidente) y unificación (una única plataforma para recolección de datos, análisis automático de alertas, gestión de incidentes y respuesta a incidentes; sin depender de plataformas terceras).

En general, concluyó Fontao los análisis forenses con “inteligencia” permite simplificar los tiempos de respuesta –de meses a minutos-, superar las barreras de habilidad del analista humano y reducir la complejidad de estos análisis.

Netmedia es mucha más que noticias. suscríbase y reciba lo mejor

Te recomendamos

Que nada se escape del ojo humano: el secreto de un SOC impulsado por inteligencia accionable