Por Shahar Ben Hador (*)
En la actualidad, las organizaciones se enfrentan a incesantes ataques, y las
infracciones de alto perfil ocupan los titulares casi a diario. Si
reflexionamos sobre una larga trayectoria en el campo de la seguridad, queda
claro que no se trata solo de un problema humano, sino de un problema
matemático. Hay demasiadas amenazas y tareas de seguridad para que cualquier
SOC las gestione manualmente en un plazo razonable.
Sin embargo, existe una solución. Muchos se refieren a ella como SOC 3.0,
un entorno mejorado con IA que finalmente permite a los analistas hacer más
con menos y cambia las operaciones de seguridad de una postura reactiva a
una fuerza proactiva. Sin embargo, para apreciar este avance, es importante comprender cómo
evolucionó el SOC con el tiempo y por qué los pasos que llevaron al SOC 3.0
prepararon el terreno para una nueva era de operaciones de seguridad.
Una breve historia del SOC
Durante décadas, el Centro de Operaciones de Seguridad (SOC) ha sido la
primera línea de defensa de las organizaciones contra las amenazas
cibernéticas. A medida que las amenazas se vuelven más rápidas y sofisticadas,
el SOC debe evolucionar. Personalmente, he sido testigo de tres fases
distintas de la evolución del SOC. Me gusta referirme a ellas como SOC 1.0
(SOC tradicional), SOC 2.0 (el SOC actual, parcialmente automatizado) y SOC
3.0 (el SOC moderno, impulsado por IA).
En este artículo, proporciono una descripción general de cada fase,
centrándome en cuatro funciones principales:
- Triaje y remediación de alertas
- Detección y correlación
- Investigación de amenazas
- Procesamiento de datos
SOC 1.0: el SOC manual tradicional
Veamos cómo los primeros SOC manejaban el triaje y la remediación de alertas,
la detección y correlación, la investigación de amenazas y el procesamiento de
datos.
Manejo de alertas ruidosas con triaje y remediación manual
En los primeros días, dedicamos una cantidad excesiva de tiempo al triaje
simple. Los ingenieros de seguridad creaban o configuraban alertas y el equipo
del SOC luchaba contra un aluvión de ruido interminable. Abundaban los falsos
positivos.
Por ejemplo, si se disparaba una alerta cada vez que un servidor de prueba se
conectaba a un dominio que no era de producción, el SOC se daba cuenta
rápidamente de que se trataba de ruido inofensivo. Excluíamos la
infraestructura de prueba conocida o de baja gravedad del registro o la
generación de alertas. Este ir y venir
—»¡Ajusta estas alertas!» o «¡Excluye este servidor!»— se convirtió en
la norma. Los recursos del SOC se invertían más en gestionar la fatiga de
alertas que en abordar problemas de seguridad reales.
La remediación también era completamente manual. La mayoría de las
organizaciones tenían un procedimiento operativo estándar (SOP) almacenado en
una Wiki o SharePoint. Después de que una alerta se consideraba válida, un
analista lo repasaba:
- «Identificar el sistema afectado»
- «Aislar el host»
- «Restablecer credenciales»
- «Recopilar registros para análisis forense», etc.
Estos SOP se almacenaban principalmente en documentos estáticos y requerían
intervención manual en cada paso. Las principales herramientas en este proceso
fueron el SIEM (a menudo una plataforma como
QRadar,
OpenText/ArcSight, Elastic
o Splunk)
combinado con plataformas de colaboración como SharePoint para la
documentación del conocimiento.
Desafíos iniciales de SIEM y correlación
Durante la fase SOC 1.0, la detección y correlación implicaban principalmente
consultas y reglas escritas manualmente. Los
SIEM (Security Information and Events Management)
requerían experiencia avanzada para crear búsquedas de correlación. Los
ingenieros de SOC o los especialistas de SIEM escribían una lógica de consulta
compleja para conectar los puntos entre registros, eventos e indicadores de
compromiso (IOC) conocidos.
Un solo «OR» faltante o una unión incorrecta en una consulta de búsqueda podía
generar innumerables falsos negativos o falsos positivos. La complejidad era
tan alta que solo un pequeño subconjunto de personas expertas en la
organización podía mantener estos conjuntos de reglas de manera efectiva, lo
que generaba cuellos de botella y tiempos de respuesta lentos.
«OnlyExperts» para la investigación de amenazas L2 y L3
Las investigaciones de amenazas requerían analistas de seguridad altamente
capacitados (y costosos). Debido a que todo era manual, cada evento sospechoso
exigía que un analista senior realizara inmersiones profundas en los
registros, ejecutara consultas y uniera la historia a partir de múltiples
fuentes de datos. No había una escalabilidad real; cada equipo solo podía
manejar un cierto volumen de alertas. Los analistas junior a menudo se
quedaban estancados en el Nivel 1 de clasificación y derivaban la mayoría de
los incidentes al personal de mayor jerarquía debido a la falta de
herramientas y procesos eficientes.
Procesamiento manual de datos
Con el big data surgieron grandes problemas, como la ingesta y el análisis
manual de datos. Cada fuente de registro necesitaba su propia integración, con
reglas de análisis específicas y configuración de indexación. Si cambiaba de
proveedor o añadía nuevas soluciones, dedicaba meses o incluso varios
trimestres a la integración.
En el caso de SIEM como QRadar, los administradores tenían que configurar
nuevas tablas de base de datos, campos de datos y reglas de indexación para
cada nuevo tipo de registro. Esto era lento, frágil y propenso a errores
humanos. Por último, muchas organizaciones utilizaban canales separados para
enviar registros a diferentes destinos. Esto también se configuraba
manualmente y era probable que se rompiera cuando cambiaban las fuentes.
En resumen, SOC 1.0 se caracterizó por los altos costos, el gran esfuerzo
manual y un enfoque en «mantener las luces encendidas» en lugar de en la
verdadera innovación en seguridad.
SOC 2.0: El SOC actual, parcialmente automatizado
Los desafíos del SOC 1.0 impulsaron la innovación. La industria respondió con
plataformas y enfoques que automatizaron (hasta cierto punto) los flujos de
trabajo clave.
Alertas enriquecidas y manuales automatizados
Con la llegada de
SOAR (Security Orchestration, Automation, and Response), las alertas en el SIEM se podían enriquecer automáticamente. Por ejemplo,
una dirección IP en una alerta se podía comparar con fuentes de inteligencia
de amenazas y servicios de geolocalización.
Un nombre de host se podía correlacionar con un inventario de activos o una
base de datos de gestión de vulnerabilidades. Este contexto adicional permitió
a los analistas decidir más rápido si una alerta es creíble. Los
procedimientos operativos estándar automatizados fueron otra gran mejora. Las
herramientas SOAR permitieron a los analistas codificar algunas de sus tareas
repetitivas y ejecutar «manuales» automáticamente. En lugar de hacer
referencia a una página Wiki paso a paso, el SOC podía confiar en
scripts automatizados para realizar partes de la remediación, como
aislar un host o bloquear una IP.
Sin embargo, la parte de la toma de decisiones entre el enriquecimiento y la
acción automatizada siguió siendo altamente manual. Los analistas podían tener
un mejor contexto, pero aún tenían que pensar qué hacer a continuación. Y para
empeorar las cosas, las propias herramientas SOAR (por ejemplo,
Torq,
Tines,
BlinkOps,
Cortex XSOAR,
Swimlane)
necesitaban una configuración y un mantenimiento exhaustivos.
Los ingenieros de seguridad expertos tenían que crear y actualizar
constantemente los playbooks. Si cambiaba una sola API externa, podían
fallar flujos de trabajo enteros. Simplemente reemplazar a su proveedor de
endpoints desencadenaría semanas de puesta al día en una plataforma SOAR. La
sobrecarga de crear y mantener estas automatizaciones no es exactamente
trivial.
SIEM actualizado: detección y XDR listos para usar
En SOC 2.0, la detección y correlación experimentaron avances clave en
contenido listo para usar. Las plataformas SIEM modernas y las soluciones XDR
(detección y respuesta extendidas) ofrecen bibliotecas de reglas de detección
predefinidas adaptadas a amenazas comunes, lo que ahorra tiempo a los
analistas de SOC que antes tenían que escribir todo desde cero. Herramientas
como
Exabeam,
Securonix, Gurucul y
Hunters
tienen como objetivo correlacionar datos de múltiples fuentes (puntos finales,
cargas de trabajo en la nube, tráfico de red, proveedores de identidad) de
manera más fluida. Proveedores como
Anvilogic
o
Panther Labs
ofrecen bibliotecas de conjuntos de reglas integrales para varias fuentes, lo
que reduce significativamente la complejidad de escribir consultas.
Mejoras incrementales en la investigación de amenazas
A pesar de los avances de XDR, el flujo de trabajo de investigación de
amenazas real sigue siendo muy similar al de SOC 1.0. Las herramientas están
mejor integradas y hay más datos disponibles de un vistazo, pero el proceso de
análisis aún depende de la correlación manual y la experiencia de analistas
experimentados. Si bien XDR puede detectar actividades sospechosas de manera
más eficiente, no automatiza inherentemente las tareas forenses o de búsqueda
de amenazas más profundas. Los analistas sénior siguen siendo cruciales para
interpretar señales matizadas y vincular múltiples artefactos de amenazas.
Integraciones optimizadas y control de costos de datos
El procesamiento de datos en SOC 2.0 también ha mejorado con más integraciones
y un mejor control sobre múltiples canales de datos. Por ejemplo, los SIEM
como Microsoft Sentinel ofrecen análisis automático y esquemas integrados para
fuentes de datos populares. Esto acelera la implementación y acorta el tiempo
de generación de valor.
Soluciones como
Cribl permiten
a las organizaciones definir canales de datos una vez y enrutar registros a
los destinos correctos en el formato correcto con los enriquecimientos
correctos. Por ejemplo, una sola fuente de datos puede enriquecerse con
etiquetas de inteligencia de amenazas y luego enviarse tanto a un SIEM para
análisis de seguridad como a un lago de datos para almacenamiento a largo
plazo.
Estas mejoras sin duda ayudan a reducir la carga en el SOC, pero mantener
estas integraciones y canales aún puede ser complejo. Además, el costo de
almacenar y consultar volúmenes masivos de datos en una plataforma SIEM o XDR
basada en la nube sigue siendo un ítem importante del presupuesto.
En resumen, SOC 2.0 generó un progreso significativo en los manuales de
enriquecimiento y remediación automatizados. Pero el trabajo pesado
(pensamiento crítico, toma de decisiones contextual y análisis de amenazas
sofisticado) sigue siendo manual y engorroso. Los equipos de SOC aún luchan
por mantenerse al día con las nuevas amenazas, las nuevas fuentes de datos y
la sobrecarga que implica mantener los marcos de automatización.
SOC 3.0: El SOC moderno impulsado por IA
Llega el SOC 3.0, donde la inteligencia artificial y los lagos de datos
distribuidos prometen un salto cuántico en la eficiencia operativa y la
detección de amenazas.
Triaje y remediación impulsados por IA
Gracias a los avances en IA, el SOC ahora puede automatizar gran parte del
proceso de triaje e investigación con IA. Los modelos de aprendizaje
automático, entrenados en vastos conjuntos de datos de comportamiento normal y
malicioso, pueden clasificar y priorizar alertas automáticamente con una
mínima intervención humana. Los modelos de IA también están repletos de
conocimiento de seguridad que ayuda a aumentar la capacidad de los analistas
humanos para investigar y aplicar de manera eficiente nueva información a sus
prácticas.
En lugar de crear manuales rígidos, la IA genera dinámicamente opciones de
respuesta. Los analistas pueden revisar, modificar y ejecutar estas acciones
con un solo clic. Una vez que un equipo del SOC gana confianza en las
respuestas aumentadas por IA, puede dejar que el sistema remedie
automáticamente, lo que reduce aún más los tiempos de respuesta.
Esto no elimina la supervisión humana, ya que los humanos revisan el
razonamiento de triaje y las recomendaciones de respuesta de la IA, pero
reduce drásticamente las tareas manuales y repetitivas que agobian a los
analistas del SOC. Los analistas junior pueden centrarse en la validación y
aprobación de alto nivel, mientras que la IA se encarga del trabajo pesado.
Detección y correlación adaptativas
La capa SIEM (y XDR) en el SOC 3.0 está mucho más automatizada con modelos de
IA/ML, en lugar de expertos humanos, que crean y mantienen reglas de
correlación. El sistema aprende continuamente de los datos del mundo real,
ajustando las reglas para reducir los falsos positivos y detectar nuevos
patrones de ataque.
Los feeds de inteligencia de amenazas en curso, el análisis de comportamiento
y el contexto de todo el entorno se unen casi en tiempo real. Esta
inteligencia se integra automáticamente, por lo que el SOC puede adaptarse
instantáneamente a nuevas amenazas sin esperar actualizaciones manuales de
reglas.
Investigaciones automatizadas de amenazas en profundidad
Se podría decir que el cambio más transformador es la forma en que la IA
permite realizar investigaciones casi instantáneas sin necesidad de
codificación. En lugar de escribir un manual o un guión detallado para
investigar cada tipo de amenaza, los motores de IA procesan y consultan
grandes volúmenes de datos y producen rutas de investigación contextualmente
ricas.
El análisis profundo a alta velocidad es una tarea cotidiana para la IA, ya
que puede correlacionar miles de eventos y registros de fuentes de datos
distribuidas en cuestión de minutos y, a menudo, en segundos, y sacar a la luz
los conocimientos más relevantes para el analista.
Por último, SOC 3.0 empodera a los analistas junior, ya que incluso un
analista de nivel 1 o 2 puede utilizar estas investigaciones impulsadas por IA
para gestionar incidentes que tradicionalmente requerirían un miembro del
personal de alto nivel. Los proveedores en este espacio incluyen empresas
emergentes que ofrecen copilotos de seguridad basados en IA y plataformas
SOC automatizadas que acortan drásticamente el tiempo de investigación y el
MTTR (Mean Time To Repair).
Lagos de datos distribuidos y gasto optimizado
A medida que crece el volumen de datos necesarios para impulsar la seguridad
impulsada por IA, SOC 3.0 se basa en un enfoque más inteligente para el
almacenamiento y la consulta de datos:
Lago de datos distribuido
Las herramientas basadas en IA no dependen necesariamente de un único almacén
de datos monolítico. En cambio, pueden consultar los datos donde residen, ya
sea un SIEM heredado, el almacenamiento de nivel gratuito de un proveedor o un
depósito S3 de su propiedad.
Este enfoque es fundamental para la optimización de costos. Por ejemplo,
algunos proveedores de EDR/XDR como CrowdStrike o SentinelOne ofrecen
almacenamiento gratuito para datos propios, por lo que resulta económico
mantener esos datos en su entorno nativo. Mientras tanto, otros registros se
pueden almacenar en soluciones de almacenamiento en la nube más económicas.
Consultas flexibles a pedido
SOC 3.0 permite a las organizaciones «llevar la consulta a los datos» en lugar
de forzar todos los registros a un único repositorio costoso. Esto significa
que puede aprovechar un depósito S3 rentable para grandes volúmenes de datos,
y al mismo tiempo poder consultarlos y enriquecerlos rápidamente casi en
tiempo real.
Las preocupaciones sobre la residencia de los datos y el rendimiento también
se abordan distribuyendo los datos en la ubicación más lógica: más cerca de la
fuente, de conformidad con las regulaciones locales o en la geografía que sea
mejor para lograr un equilibrio entre costo y rendimiento.
Cómo evitar la dependencia de un proveedor
En SOC 3.0, no está limitado al modelo de almacenamiento de una única
plataforma. Si no puede permitirse almacenar o analizar todo en el SIEM de un
proveedor, puede optar por mantenerlo en su propio entorno a una fracción del
costo, pero aún así consultarlo a pedido cuando sea necesario.
Conclusión
Desde el punto de vista de un CISO, SOC 3.0 no es solo una palabra de moda. Es
el siguiente paso natural en la ciberseguridad moderna, que permite a los
equipos manejar más amenazas a un menor costo, con mayor precisión y
velocidad.
Radiant Security
ofrece una plataforma SOC impulsada por IA diseñada para equipos de seguridad
de PYMES y empresas que buscan manejar por completo el 100 % de las alertas
que reciben de múltiples herramientas y sensores.
Si bien la IA no reemplazará la necesidad de la experiencia humana, cambiará
fundamentalmente el modelo operativo del SOC, lo que permitirá a los
profesionales de seguridad hacer más con menos, concentrarse en iniciativas
estratégicas y mantener una postura de seguridad más sólida frente al panorama
de amenazas en rápida evolución de la actualidad.
(* )Shahar Ben Hador pasó casi una década en Imperva, convirtiéndose en su
primer CISO. Luego pasó a ser CIO y luego vicepresidente de productos en
Exabeam. Ver cómo los equipos de seguridad se ahogaban en alertas mientras
las amenazas reales se filtraban lo impulsó a crear Radiant Security como
cofundador y director ejecutivo.
Fuente:
THN