Ricardo Hernández, Country Manager Iberia de Vectra explicaba la visión de Vectra sobre la mejora del SOC.

La sala SecurityScorecard acogía el pasado 9 de junio la segunda Keynote de CISO DAY 2022. Una Keynote de Vectra titulada: (R)Evolucionando el SOC: Automatizando la Detección – Acelerando la Respuesta donde a través de Ricardo Hernández, Country Manager Iberia de Vectra conocíamos la visión de la compañía sobre la mejora del SOC.

Los SOC se crearon para gestionar el riesgo y garantizar un uso seguro de los recursos de la compañía. Estos SOC comprenden la prevención para evitar ataques y accesos o usos no autorizados y también la gestión del Riesgo Residual. Con el incremento de los ciberataques se están dando cambios en las formas de detección de las ciberamenazas así, según Hernández, “el Esquema Nacional de Seguridad en 2022 introduce ya el principio básico de Vigilancia continua porque cada día nos encontramos una nueva brecha de seguridad, un nuevo ataque que es exitoso independientemente del tamaño de la empresa”.

En esta vigilancia es clave la detención y respuesta. Dentro de esta detección para Ricardo “el tiempo es un elemento clave. Lo que vamos a tardar en detectar esa amenaza es realmente lo que tengo que minimizar. Cuanto menor sea ese tiempo, menos podrán profundizar dentro de la red, menor será esa afectación y podrá reducir el impacto”.

Según los últimos datos aportados por el experto, el tiempo medio de detección ha pasado a  66 a 48 días en el último año. “En esto estamos mejorando” pero “en el caso de ramsomware este es el último elemento del ataque. Así que el ciberdelincuente ha estado anteriormente ya atacando la empresa”. Cada ciberdelincuente utiliza diferentes opciones para ataques, pero “antes de detonar el ramsomware está ya atacando la organización entre 10 y 30 días”.  Con estos datos se muestra que algo falla en el SOC tradicional.

3 grandes limitaciones en el SOC tradicional

• Calidad de datos recopilados. Los SOC tradicionales se basan en logs. Asi existen Logs de diferentes plataformas, se hace imposible incluir todos los logs, la calidad de estos es desigual. Además de la posibilidad del borrado de logs por los atacantes. “Los logs no son una fuente fiable de información”.

• Correlaciones estáticas.  Para saber si hay un problema de seguridad se hace a través de correlaciones estáticas que detectan lo ya sucedido, es decir, reactivo. Si hay un ataque nuevo, no lo detectará a priori. Además, existe un importante coste de tiempo y recursos para mantener actualizados los casos de uso. “Lo que detecta una plataforma en un SOC son casos de usos”.

• Fatiga de alertas. Muchas alarmas sobre potenciales incidentes. Las alertas no hay contexto ni relación entre ellas y tampoco hay priorización inteligente. Todo ello hace que haya gran dependencia de las habilidades de los analistas.

Nuevo modelo de SOC: (R)evolucionando el SOC desde Vectra

Para resolver todos los problemas anteriores desde Vectra han establecido una serie de funciones como son:

• La calidad de los datos recopilados con la creación de metadatos de ciberseguridad de alto rendimiento a partir de tráfico en tiempo real. “Esta captura de datos no afecta a otras operaciones y se puede interactuar con otros servicios y soluciones” explica Ricardo Hernández, “tener la capacidad de obtener información en tiempo real y con esos metadatos puedo tener análisis más exhaustivos”, añade.

• Uso de Inteligencia Artificial. Vectra usa esta tecnología que detecta comportamiento del atacante a través del Kill Chain.

• En lo que se refiere a la Fatiga de Alertas se puede tener el contexto y la priorización de casos a través de un análisis automático por parte de la Inteligencia Artificial. Esto supone la sustitución a los analistas de primer y segundo nivel.

Tras la detección hay que dar respuesta a la amenaza “antes de que se convierta en una brecha”. Para ello hay que coordinar todas las soluciones de seguridad que las empresas ya tienen. En Vectra llevan a cabo una detección y respuesta ante amenazas guiada por Inteligencia artificial. Esto proporcionará una mejora de la Capacidad Operacional que conllevará a la reducción de los tiempos de respuesta.

CISO DAY 2022

CISO Day 2022 contó con el apoyo de los patrocinadores como Security Scorecard, Wallix, Darktrace, Vectra, Cloudfare, Recorded Future, MdTel, Kroll, One Identity, Lookout, ZTE, Tehtris, RedTrust, Nuub e Immmersive Labs,

Además, colaboraron en el evento: Women 4Cyber, BigData Magazine, Bussines+, Pomaikai, Ecommerce News, Centro  de Ciberseguridad Industrial, OpenExpo Europe, Vino Premier, wwwhat´s new.CISO DAY 2022 contó con el apoyo institucional del Centro Criptológico Nacional (CN-Cert).