Un centro de operaciones de seguridad, o SOC, ayuda a las organizaciones a evitar ataques al identificar, investigar y solucionar las amenazas.
Después de leer este artículo podrás:
Contenido relacionado
Seguridad de los puntos de conexión
Información sobre amenazas
Vector de ataque
Seguridad de la red
Privacidad de los datos
Suscríbete a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.
Copiar el enlace del artículo
Un centro de operaciones de seguridad (SOC), también llamado centro de operaciones de seguridad de la información (ISOC), es una instalación dedicada en la que los profesionales de la seguridad supervisan, analizan y mitigan las posibles ciberamenazas. Debido a la naturaleza distribuida de las organizaciones modernas, se suele utilizar "SOC" para describir al equipo de ingenieros y analistas de seguridad que lleva a cabo estas funciones.
Aunque la arquitectura de un SOC varía de una organización a otra, cumple varias funciones clave:
Lo habitual es que una organización dependa de un único SOC interno para gestionar y solucionar las amenazas, pero las grandes empresas pueden mantener varios SOC en distintos países (a veces conocido como centro global de operaciones de seguridad, o GSOC) u optar por contratar a un grupo externo de analistas e ingenieros de seguridad.
Un SOC se puede configurar de muchas formas distintas, y es probable que cambie en función de las necesidades y capacidades de una organización. En general, sus responsabilidades se dividen en tres categorías:
Inventario de activos: para proteger a una organización de las amenazas e identificar las brechas de seguridad, un SOC necesita una visibilidad total de sus sistemas, aplicaciones y datos, así como de las herramientas de seguridad que los protegen. Se puede usar una herramienta de descubrimiento de activos para realizar el proceso de inventario.
Evaluación de vulnerabilidades: para medir el potencial impacto de un ataque, un SOC puede realizar pruebas periódicas en el hardware y el software de una organización, y usar esos resultados para actualizar sus políticas de seguridad o desarrollar un plan de respuesta a incidentes.
Mantenimiento preventivo: una vez que un SOC ha detectado vulnerabilidades en la infraestructura de una organización, puede tomar medidas para reforzar su postura de seguridad. Entre ellas, actualizar los firewalls, mantener listas de permitidos y listas de bloqueados, aplicar parches al software y pulir los protocolos y procedimientos de seguridad.
Recopilación y análisis de registros: un SOC recopila datos de registro generados por eventos en la red de una organización (como aquellos documentados por firewalls, sistemas de prevención y detección de intrusos, etc.), y luego analiza esos registros para detectar cualquier anomalía o actividad sospechosa. En función del tamaño y la complejidad de la infraestructura de una organización, puede ser un proceso que requiera muchos recursos, y se puede llevar a cabo con una herramienta automatizada.
Supervisión de amenazas: un SOC usa datos de registro para crear alertas de actividades sospechosas y otros indicadores de riesgo (IOC). Los IOC son anomalías en los datos (irregularidades en el tráfico de red, cambios inesperados en los archivos del sistema, uso no autorizado de aplicaciones, solicitudes DNS extrañas u otros comportamientos) que indican que es probable que se vaya a producir una fuga u otro suceso malicioso.
Administración de eventos e información de seguridad (SIEM): un SOC suele trabajar con una solución SIEM para automatizar la protección y la solución de amenazas. Entre las funciones habituales de un SIEM se incluyen:
Respuesta a incidentes y solución: cuando se produce un ataque, un SOC suele tomar varias medidas para mitigar los daños y restaurar los sistemas afectados. Como aislar los dispositivos infectados, eliminar los archivos en riesgo, ejecutar software antimalware y llevar a cabo una investigación de la raíz del problema. Los SOC pueden usar estos resultados para mejorar las políticas de seguridad existentes.
Informes de cumplimiento: después de un ataque, un SOC ayuda a las organizaciones a seguir cumpliendo la normativa sobre privacidad de datos (por ejemplo, el RGPD) al notificar a las autoridades competentes el volumen y tipo de datos protegidos que se han puesto en riesgo.
Al crear un SOC, las organizaciones tienen varias opciones. Las categorías más habituales de SOC son:
Un centro de operaciones de red, o NOC, supervisa la actividad de la red y las amenazas. Un equipo de NOC es responsable de supervisar el estado de la red de una organización, anticiparse y prevenir las interrupciones, defenderse de los ataques y realizar comprobaciones rutinarias de mantenimiento de los diversos sistemas y el software.
A diferencia de un SOC, que rastrea y mitiga la actividad maliciosa en toda la infraestructura de una organización, un NOC se centra únicamente en el rendimiento y la seguridad de la red.
El Centro como servicio de operaciones de seguridad de Cloudflare combina funciones de detección y supervisión con tecnologías de seguridad clave, como un firewall de aplicaciones web (WAF), una solución de gestión de bots y prevención de ataques DDoS. Al descargar las responsabilidades del SOC en Cloudflare, las organizaciones pueden mantener la visibilidad de su infraestructura, rastrear y mitigar las próximas amenazas y reducir los costes de seguridad.