El mundo real de los centros de operaciones de seguridad [VIDEO](SOC) no podría estar más alejado de esta #ficción de pantalla plateada. Los hackers de hoy (que son los malos, por cierto) no tienen tiempo para hackear un sistema personalizado y jugar al #gato y el #ratón con profesionales de la seguridad. En su lugar, crean cada vez más una caja de herramientas de scripts #automatizados y, al mismo tiempo, llegan a centenares de objetivos utilizando, digamos, una vulnerabilidad [VIDEO]de día cero recientemente descubierta e intentan aprovecharla al máximo antes de parchearla.

No te pierdas las últimas noticias Sigue el canal Videojuegos

Existe una gran cantidad de ataques

Los #analistas de #seguridad que trabajan en un SOC están cada vez más sobrecargados y abrumados por la gran cantidad de ataques que tienen que #procesar.

Sin embargo, a pesar de las promesas de Automatización, a menudo todavía usan procesos manuales para contrarrestar estos ataques. La lucha contra los ataques automatizados con acciones manuales es como luchar contra una armadura mecanizada con caballos: inútil.

Sin embargo, ese es el estado actual de las operaciones en el mundo de seguridad, pero como V.Jay LaRosa, el VP de #Arquitectura de #Seguridad #Global de la empresa de nómina y RRHH ADP me explicó: "La industria, en general desde una perspectiva de operaciones SOC, está a punto de pasar por una revolución masiva".

Esa revolución es automatización

Muchas #compañías han afirmado que están llevando el aprendizaje automático y la #inteligencia #artificial a las operaciones de seguridad, y la palabra de moda ha sido un pilar de las #plataformas de lanzamiento de seguridad en algunas ocasiones.

Los resultados en muchos casos han sido poco menos que deslucidos en el mejor de los casos. Pero una nueva generación de nuevas empresas está #reemplazando las crecientes demandas por ciencia dura, y centrándose en el lento fruto del trabajo del analista de seguridad.

Una de esas compañías, como veremos en breve, es JASK. La #compañía, que tiene su sede en San Francisco y Austin, quiere #crear un nuevo mercado para lo que llama el "centro autónomo de operaciones de seguridad". Nuestro #objetivo es comprender el terreno actual para los SOC, y cómo una plataforma así podría encajar en el futuro de la ciberseguridad.

Regateo de datos y el desafío de automatizar la seguridad

El centro de operaciones de seguridad es el sistema nervioso central de los departamentos de #seguridad corporativa de hoy. Tomando prestados los conceptos del diseño #organizacional militar, el SOC moderno está diseñado para fusionar flujos de datos en un solo lugar, brindando a los #analistas de seguridad una visión general completa de los sistemas de una compañía.

Esas fuentes de datos suelen incluir registros de red, un sistema de respuesta y detección de incidentes, datos de firewall de #aplicaciones web, informes internos, antivirus y muchos más. Las grandes empresas pueden tener fácilmente docenas de fuentes de datos.

Una vez que se ha ingerido toda esa información, corresponde a un equipo de analistas de seguridad evaluar esos datos y comenzar a "conectar los puntos". Estos profesionales suelen estar #sobrecargados ya que el crecimiento del equipo de seguridad generalmente es reactivo al entorno de #amenazas. Las Startups pueden comenzar con un único profesional de seguridad y expandir lentamente ese equipo a medida que se descubren nuevas amenazas para el negocio.

¿Toma mucho tiempo?

Dada la escala y la complejidad de los datos, #investigar una sola alerta de #seguridad puede llevar un tiempo considerable. Un analista puede pasar 50 minutos simplemente tirando y limpiando los datos necesarios para poder #evaluar la probabilidad de una amenaza para la #empresa. Peor aún, las alertas son lo suficientemente variables como para que el analista a menudo tenga que realizar repetidamente este trabajo de limpieza para cada alerta.

La disputa de datos es uno de los problemas más fundamentales que enfrenta cada SOC. Todos esos flujos de datos deben gestionarse constantemente para #garantizar que se procesen correctamente. Los desafíos de las disputas de datos no son exclusivos de la #seguridad: los equipos de toda la empresa luchan por diseñar #soluciones automatizadas. No obstante, solo obtener los datos correctos a la persona adecuada es un desafío increíble. Muchos equipos de seguridad siguen monitoreando manualmente las secuencias de datos, e incluso pueden escribir sus propias secuencias de comandos de procesamiento por lotes ad-hoc para preparar los datos para el análisis.