Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Las operaciones de seguridad (SecOps) mantienen y restauran las garantías de seguridad del sistema a medida que los adversarios activos lo atacan. El marco de ciberseguridad de NIST describe bien las funciones de SecOps de Detectar, Responder y Recuperar.
Detectar : SecOps debe detectar la presencia de adversarios en el sistema, que están incentivos para permanecer ocultos en la mayoría de los casos, lo que les permite alcanzar sus objetivos sin obstáculos. Esto puede adoptar la forma de reaccionar a una alerta de actividad sospechosa o buscar proactivamente eventos anómalos en los registros de actividad empresarial.
Responder : tras la detección de posibles acciones o campañas de adversario, SecOps debe investigar rápidamente para identificar si es un ataque real (verdadero positivo) o una alarma falsa (falso positivo) y, a continuación, enumerar el ámbito y el objetivo de la operación del adversario.
Recuperación : el objetivo final de SecOps es conservar o restaurar las garantías de seguridad (confidencialidad, integridad, disponibilidad) de los servicios empresariales durante y después de un ataque.
El riesgo de seguridad más significativo que enfrentan la mayoría de las organizaciones es de operadores de ataque humano (de distintos niveles de aptitud). El riesgo de ataques automatizados y repetidos se ha mitigado significativamente para la mayoría de las organizaciones mediante enfoques basados en firmas y aprendizaje automático integrados en antimalware. Aunque debe tenerse en cuenta que hay excepciones notables como Wannacrypt y NotPetya, que se mueven más rápido que estas defensas).
Aunque los operadores humanos de ataques son difíciles de enfrentar debido a su capacidad de adaptación frente a la lógica automatizada o repetitiva, trabajan a la misma "velocidad humana" que los defensores, lo que ayuda a igualar las condiciones.
SecOps (a veces denominado Security Operations Center (SOC) tiene un papel fundamental para limitar el tiempo y el acceso que un atacante puede obtener a sistemas y datos valiosos. Cada minuto que un atacante tiene en el entorno les permite seguir realizando operaciones de ataque y acceder a sistemas confidenciales o valiosos.