Llegamos a ustedes gracias a:



Reportajes y análisis

4 beneficios clave de la integración de NOC/SOC

Y consejos para que funcione

[03/06/2020] Para reducir costos, optimizar recursos y mejorar la velocidad y la eficacia de la respuesta a incidentes y las funciones de seguridad relacionadas, las empresas están tomando medidas para unificar sus centros de operaciones de red (NOC, por sus siglas en inglés) y sus centros de operaciones de seguridad (SOC,por sus siglas en inglés).

La integración SOC/NOC es fácil de entender conceptualmente, pero puede ser difícil de implementar. Brett Wahlin, CISO en Amazon Prime Video -y que ha ocupado puestos similares en HPE, McAfee, Sony y Staples-, afirma que investigó la integración SOC/NOC más de una vez en el transcurso de su carrera, pero se vio obstaculizado por la falta de conjuntos de datos comunes y conjuntos de herramientas, una considerable brecha de habilidades y una diferencia fundamental en la mentalidad entre los dos grupos.

Los equipos de red se centran en la conectividad y el tiempo de actividad. Responden a tickets de problemas, cortes de energía y degradación del rendimiento. Los equipos del SOC se preocupan por las alertas, respuesta a incidentes y análisis de ciberataques. Los equipos de la red analizan los flujos de paquetes. Los equipos del SOC intentan meterse en la mente de un atacante. Como afirma Wahlin, "usan dos lentes diferentes en lo que parece ser el mismo problema.

"Existen muchos desafíos para hacer que esto funcione, agrega Shamus McGillicuddy, analista senior de Enterprise Management Associates (EMA). "El más importante es que los dos grupos tienen objetivos fundamentalmente diferentes. El grupo de red trata de conectar personas y crear una infraestructura de alto rendimiento. El grupo de seguridad consiste en bloquear los activos y evitar que las personas se conecten sin la autorización adecuada. Ese es el mayor obstáculo puertas afuera. Otros desafíos incluyen la falta de habilidades entre equipos, la falta de herramientas comunes e incluso la renuencia a compartir datos por temor a que puedan ser manejados incorrectamente o malinterpretados, afirmaMcGillicuddy.

A pesar de estos desafíos, las ventajas de romper los silos entre los equipos de seguridad y de red son demasiado atractivas como para que las empresas se resistan. "La integración SOC/NOC está comenzando a ganar fuerza, afirma el investigador del Instituto SANS, Nelson Hernández, en un reciente informe sobre el tema. "En muchas organizaciones, la integración de ambos grupos, en la primera línea de defensa, podría ser la mejor manera de reducir costos, aumentar la eficiencia y optimizar los recursos, agrega.

Beneficios de la integración SOC/NOC

Los cuatro beneficios clave de la integración SOC/NOC son:

Mejor seguridad:Los equipos de redes a menudo reciben alertas relativas a problemas de desempeño que, en investigaciones posteriores, resultan ser un problema relacionado con la seguridad, como un ataque de denegación de servicio. Cuando los equipos trabajan juntos, se fortalece la posición de seguridad de la organización.

Mejora en el desempeño de la red:La otra cara de esa ecuación es que los problemas relacionados con la seguridad, a veces pueden ser la causa principal de los problemas en el desempeño de la red. Por ejemplo, una nueva regla del firewall que, inadvertidamente, termina bloqueando el tráfico legítimo. Al trabajar juntos, los equipos pueden llegar al fondo de un problema de desempeño de la red y solucionarlo rápidamente.

Mejora en los tiempos de respuesta:En un contexto de SOC/NOC integrado, los equipos combinados pueden reducir el tiempo que les toma a los profesionales de la seguridad responder a un incidente o ataque. Cuando se trata de detener el sangrado durante una emergencia, lograr un tiempo de respuesta más rápido se traduce en la reducción del impacto financiero de una irrupción.

Mejora de la eficiencia operativa y de costos: La colaboración SOC/NOC puede eliminar la redundancia en el uso de las herramientas, lo que reduce los costos. La eficiencia operativa reduce el tiempo dedicado a los procesos de rutina, liberando tiempo de los profesionales de la seguridad para que participen en actividades más estratégicas.

Según una encuesta de EMA a 350 profesionales de TI, las empresas han recibido el mensaje. Casi el 90% de las empresas reportaron una mayor colaboración entre los equipos de seguridad y operaciones en los últimos dos años, y el 63% de las empresas han formalizado la colaboración entre los equipos de redes y seguridad, en lugar de hacerlo de manera ad hoc.

McGillicuddy define la colaboración formal como compartir o integrar herramientas, establecer procesos de colaboración y compartir mejores prácticas. El Management Megatrends 2020 Study de EMA también reveló que las organizaciones que han establecido una fuerte colaboración entre los dos grupos tienen más éxito en sus esfuerzos generales de seguridad y redes.

La integración SOC/NOC es un viaje

La integración SOC/NOC es un proceso que puede comenzar con algo tan simple como crear un canal de Slack para compartir información, hasta llegar a la integración total, que menos de un tercio de las empresas en Norteamérica han logrado, según McGillicuddy.

Los resultados de la encuesta EMA son similares a un informe reciente del Instituto SANS, que encontró que el 12% de los encuestados tenía un SOC/NOC integrado con paneles de control, APIs y flujos de trabajo integrados. Otro 20% afirmó que el equipo de NOC es una parte integral de la detección y respuesta, pero la colaboración es más ad hoc. Por otro lado, el 12% afirmó que el SOC y el NOC tienen muy poca comunicación, y otro 21% afirmó que los equipos solo trabajan juntos en una emergencia.

En un extremo del espectro está Michael Cantor, CIO de Park Place Technologies, quien afirma que su equipo de redes alimenta los datos del evento al sistema SIEM del equipo de seguridad, pero la integración total no está en su agenda. "Mi objetivo es lograr que los dos grupos hablen más entre ellos.

En el otro extremo está Neustar, una empresa de servicios de información y tecnología, que ha integrado con éxito su NOC y SOC en lo que Matt Wilson, director senior de gestión de productos, describe como un "centro de fusión.

Wilson afirma que, hace menos de un año, el NOC de la compañía y su brazo de seguridad estaban completamente separados, pero bajo el fuerte liderazgo del ex CIO, los dos equipos se unieron. "Casi todo va en un centro que es responsable de administrar todo lo que hacemos desde la perspectiva de la red, la red corporativa, los servicios que están disponibles, los centros de datos corporativos, incluida la seguridad, todos se administran y se ejecutan a través de un grupo con muchísimas herramientas diferentes.

Wilson afirma que la medida fue parte de un impulso más amplio en toda la compañía para crear una nueva cultura de colaboración, reducir la burocracia y unificar diferentes grupos para reducir la redundancia y mejorar la eficiencia. Por ejemplo, los equipos descubrieron que ambos estaban pagando por una licencia de Splunk.

Al eliminar la superposición en los conjuntos de herramientas, Neustar pudo reducir los costos de licencia, pero un beneficio más importante fue lograr que ambos equipos cambiaran sus arraigados procesos de pensamiento, y trabajaran juntos para asegurarse de que cada decisión de seguridad tuviera en cuenta el aspecto de la red y viceversa.

El esfuerzo de integración SOC/NOC fue impulsado por "el deseo de mejorar el panorama general de la seguridad, así como para evitar la falta de comunicación y señalarse con el dedo entre los grupos.

En cuanto a las lecciones aprendidas durante el proceso, Wilson afirma: "Primero que nada, uno debe abordar la cultura y lograr que todos acepten el concepto. No se puede aislar. Esto debe ser un esfuerzo de colaboración con equipos interfuncionales que trabajan hacia un objetivo común. Históricamente, eso ha sido algo desafiante.

Wilson equipara la fusión de los equipos de seguridad y redes con la tendencia a integrar desarrolladores de aplicaciones y grupos de operaciones en DevOps. "Si desea trabajar de manera eficiente y reaccionar rápidamente ante las nuevas amenazas y problemas que van a surgir, debe adoptar un enfoque de reducción similar.

Agrega que ha notado una mejora significativa en la velocidad y la eficiencia del equipo combinado cuando se trata de responder a tickets de problemas, alertas o incidentes relacionados con la seguridad. Los equipos usan un canal de Slack para mejorar la comunicación en tiempo real, de modo que cuando el equipo de la red, por ejemplo, se enfrenta a un problema complicado, pueden derivarlo a una sala compartida de SOC/NOC, donde los equipos pueden compartir datos e ideas entre ambos.

Wilson afirma que el viaje no tiene fin. "Está en proceso continuo. No veo un estado final en esto, donde podamos afirmar que hemos terminado. Surgirán nuevas amenazas que impulsarán la necesidad de nuevos y diferentes conjuntos de herramientas y colaboración.

Cuando integrar seguridad y operaciones de red

En el caso de Neustar, había una directiva de arriba hacia abajo para aumentar la colaboración y romper los silos entre los equipos. En muchas empresas, un cambio en la estrategia de TI o un ciclo de actualización podría desencadenar la integración SOC/NOC.

Por ejemplo, si la compañía ha decidido construir una nube privada y el equipo de red necesita ahora reconfigurar los flujos de tráfico para acomodar este nuevo enfoque, ese es el momento perfecto para que el equipo de seguridad descubra la mejor manera de proteger las máquinas virtuales. Tal vez sea hora de implementar firewalls distribuidos o de adoptar la microsegmentación. Tal vez sea hora de comenzar una conversación sobre el modelo de confianza cero.

La integración SOC/NOC no se detiene en el ticket de problemas/nivel de respuesta a incidentes. Al reunir a los equipos al principio del proceso, pueden colaborar en la adquisición de productos, en formas de comprar herramientas que ambos equipos pueden usar juntos. Luego, cuando se implementan las herramientas, los equipos pueden comenzar a colaborar en la gestión y el monitoreo.

Hernández lo resume de esta manera: "El CTO/CIO, y los directores de seguridad de la información, estarán bien informados para comprender lo que una integración de esfuerzo eficiente y colaborativa potencial ofrece, frente a tener dos equipos separados con muy pocas coincidencias, excepto en las reuniones de lecciones aprendidas posteriores a la acción. La exploración de la integración NOC/SOC es algo que toda organización debería considerar.