Introducción a las operaciones de seguridad

  • Artículo

Las operaciones de seguridad (SecOps) mantienen y restauran las garantías de seguridad del sistema como ataques de los adversarios en directo. El Marco de ciberseguridad del NIST describe bien las funciones SecOps de Detectar, Responder y Recuperar.

  • Detección: SecOps debe detectar la presencia de adversarios en el sistema, que pretenden permanecer ocultos en muchos casos, ya que esto les permite conseguir sus objetivos sin impedimentos. Para hacerlo, puede reaccionar ante una alerta de actividad sospechosa o buscar proactivamente eventos anómalos en los registros de actividad de la empresa.

  • Respuesta: si se detectan posibles acciones o campañas de adversarios, SecOps debe investigarlas rápidamente para identificar si se trata de un ataque real (verdadero positivo) o una falsa alarma (falso positivo) y, a continuación, mostrar el ámbito y el objetivo de la operación del adversario.

  • Recuperación: el objetivo final de SecOps es conservar o restaurar las garantías de seguridad (confidencialidad, integridad y disponibilidad) de los servicios empresariales durante un ataque y después de este.

Los riesgos de seguridad más importantes a los que se enfrentan las organizaciones proceden de operadores de ataque humanos (con distintos niveles de aptitud). El riesgo de ataques automatizados/repetidos se ha mitigado significativamente para la mayoría de las organizaciones gracias a los enfoques basados en firmas y aprendizaje automático incorporados al antimalware. Aunque debe tenerse en cuenta que hay excepciones notables como Wannacrypt y NotPetya, que se mueven más rápido que estas defensas).

Aunque los operadores de ataque humano son difíciles de afrontar debido a su adaptabilidad (frente a la lógica automatizada o repetida), funcionan con la misma "velocidad humana" que los defensores, lo que permite equilibrar la situación.

Las operaciones de seguridad (también denominadas Centro de operaciones de seguridad [SOC]) tienen un papel fundamental en la limitación del tiempo y el acceso que puede conseguir un atacante a sistemas y datos valiosos. Cada minuto que un atacante tiene en el entorno le permite seguir realizando operaciones de ataque y acceder a sistemas confidenciales y valiosos.