in

Las 5 habilidades más importantes que los equipos SOC modernos necesitan para tener éxito



La seguridad está cambiando rápidamente, y asegurarse de que los equipos tengan las habilidades para proteger la infraestructura y los datos confidenciales de su organización nunca ha sido más importante. Pero, en general, las empresas subestiman la ciberseguridad. Los equipos del Centro de operaciones de seguridad (SOC) a menudo carecen de personal, están sobrecargados de trabajo y carecen de transparencia. A medida que el panorama de las amenazas continúa evolucionando, se requieren nuevas habilidades para estar un paso por delante de los adversarios cibernéticos.

Estas son las cinco habilidades principales que un equipo de SOC moderno necesita para prosperar en el futuro de la detección y respuesta a gran escala.

1. Codificación básica
Todo como código, un término utilizado para describir la práctica de extender la idea de cómo las aplicaciones se tratan como código para incluir sistemas operativos, configuraciones de red y canalizaciones, ha cambiado drásticamente la forma en que trabajan los equipos de seguridad y las habilidades que necesitan. . Donde antes trabajar en un SOC no requería ninguna habilidad de programación, hoy son esenciales.

Detección como código, una forma moderna y sistemática de escribir detecciones utilizando principios de ingeniería de software, significa que los equipos deben ser capaces de crear reglas a medida que se prueben, versionen y administren adecuadamente mediante programación en el control de versiones. La flexibilidad y la solidez de los lenguajes de programación completos permiten a los equipos ver comportamientos tanto simples como avanzados, además de obtener contexto, enriquecer y contar la historia completa de lo que sucedió.

Los equipos de seguridad deben invertir en aprender los conceptos básicos del desarrollo de software resolviendo los problemas del mundo real que enfrentan, como: B. el análisis de grandes cantidades de datos brutos. Primero debe escribir código que funcione y luego volver a aprender las mejores prácticas, pruebas unitarias y otras técnicas que ayuden a que el buen código sea sostenible. Los equipos de seguridad también pueden aprender de los miembros de varios equipos de software dentro de su organización para ayudar en los cursos de capacitación. Comience con lenguajes interpretados como Python o Ruby, que tienen una sintaxis fácil de seguir con un rendimiento deficiente.

2. Tecnología en la nube
Probablemente todas las empresas de tecnología moderna se basan en servicios en la nube como Amazon Web Services o Google Cloud. Los servicios en la nube se están moviendo continuamente hacia arriba en la pila de infraestructura para simplificar conceptos complejos. Durante este turno, los equipos de seguridad deben asegurarse continuamente de que están recopilando los registros adecuados para mantenerse actualizados y deben implementar controles estrictos para evitar una explosión accidental de datos o del sistema.

Los profesionales de la seguridad deben aprender servicios básicos como almacenamiento en la nube, informática, administración de identidades y accesos, y más primero. Al igual que con la codificación, comience resolviendo problemas del mundo real como: Almacene, procese y retenga datos de seguridad o trabaje para fortalecer la infraestructura existente de la empresa. También hay muchas arquitecturas de referencia que pueden servir como modelos de aprendizaje útiles.

3. Canalizaciones de registro de seguridad
Cada equipo utiliza software como servicio en lugar de soluciones locales que se encuentran detrás de un firewall, lo que significa que los datos de seguridad se distribuyen a través de múltiples servicios con un control mucho menos centralizado. La llegada de herramientas como Google Workspaces, Auth0, Okta, Duo, Jamf y muchas más significa que estos datos deben centralizarse. El desafío es que los protocolos tienen diferentes formatos, API y métodos para autenticar y recopilar los datos.

Los equipos deben recopilar la mayor cantidad de datos posible para mantenerse informados y a la defensiva. Necesita crear canalizaciones de registro internas con herramientas como rsyslog, vector, fluentd o logstash. Los equipos de seguridad deben estar familiarizados con la forma en que estas herramientas están configuradas, escalables y conectables a otros sistemas, como el almacenamiento en la nube y los SIEM.

4. TTP del atacante
Una buena comprensión de las técnicas, tácticas y procedimientos (TTP) actuales de los atacantes puede ayudar a los equipos a desarrollar un conjunto sólido de detecciones que gestionen múltiples vectores en su entorno. Al mantenerse al tanto de las últimas brechas de seguridad, pueden comprender los modelos y técnicas de amenazas modernas que podrían poner en riesgo su negocio. Un buen ejemplo es el aumento de los ataques de ransomware. Las detecciones deben ser lo suficientemente detalladas como para no generar demasiadas alertas, y el uso de lenguajes de programación permite a los equipos probar y expresar ataques más complejos.

5. Búsqueda de amenazas
A medida que los adversarios cibernéticos se vuelven más sofisticados, los equipos de seguridad deben adoptar un enfoque más proactivo para identificar amenazas previamente desconocidas o persistentes y sin resolver en la infraestructura de nube de su organización. Dado que las amenazas persistentes avanzadas complejas pueden acechar durante semanas o incluso meses, los equipos de SOC modernos necesitan capacitación para aumentar los sistemas automatizados y buscar malware o atacantes ocultos mediante la búsqueda de patrones de actividad sospechosa.

Los equipos de seguridad suelen ser pequeños, con poco personal y, en general, sin experiencia en DevOps o desarrollo de software. Pero la vigilancia a gran escala requiere estas habilidades. Además, los profesionales de la seguridad deben comprender cómo utilizar la instrumentación del sistema para obtener los datos que necesitan y crear canales de procesamiento de datos confiables, tolerantes a fallas y elásticos para procesar esos datos.

Desde aprender los conceptos básicos de la programación hasta comprender la infraestructura de la nube, los profesionales de la seguridad deben mejorar sus habilidades. Los atacantes que están listos para atacar sus sistemas son realmente impresionantes, pero las herramientas modernas y el personal de seguridad altamente calificado pueden enfrentar los desafíos de la protección.

What do you think?

Written by Alan Kim

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

GIPHY App Key not set. Please check settings

Un nuevo grupo de piratería informática APT para las industrias de combustibles, energía y aeroespacial

Para un regreso seguro y exitoso a la oficina: 5 consejos para los oficiales de seguridad