Cómo evaluar a los proveedores de SOC-as-a-Service

[15/04/2022] Si actualmente no cuenta con su propio centro de operaciones de seguridad (SOC), tiene dos formas de conseguirlo: crear uno o usar algún conjunto de servicios gestionados. En años anteriores, las dos alternativas eran distintas y era relativamente fácil tomar la decisión en función de los costos y las habilidades del personal.

[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]

Ahora, la industria de SOC-as-a-Service (SOCaaS) ha madurado hasta el punto en que el término está cayendo en desuso, ya que los proveedores de servicios gestionados se han convertido en una parte más integral de la práctica. A medida que las herramientas de seguridad basadas en la nube han mejorado, los centros de datos y las aplicaciones también han migrado ahí. Algunos de los servicios mencionados aquí se autodenominan SOCaaS, mientras que los demás utilizan otras designaciones de servicios gestionados.

Una medida de esta madurez es que el mercado ha visto muchas fusiones y adquisiciones en los últimos años, comenzando con la compra de AlienLabs por parte de AT&T hace varios años. Después de ello, CrowdStrike adquirió Humio, luego eSentire adquirió CyFIR, Sophos adquirió Braintrace, Rapid7 adquirió IntSights, HelpSystems adquirió AlertLogic y Google anunció la adquisición de Mandiant (después de que la empresa se separara de FireEye). Estas fusiones ilustran que se ha producido una "difuminación en el mercado de servicios de seguridad, y la línea entre MSS, MDR y SOCaaS puede ser bastante confusa”, como escribe Martha Vazquez de IDC en esta publicación y explica la evolución de los servicios de seguridad gestionados y las siglas asociadas.

Se puede encontrar más evidencia de esta evolución con otro acrónimo: borde de servicio de acceso seguro (SASE). Ese término generalmente se refiere a herramientas de seguridad consolidadas a medida que los entornos de nube híbrida se han afianzado. No nos perdamos en toda la diferenciación de herramientas. La clave es la capacidad de utilizar todas estas herramientas en un conjunto integrado, y no quedar enterrado o atascado en las diversas alertas. Contar con un SOCaaS puede ayudar a llenar los vacíos entre las herramientas, y presentar una visión integrada de su panorama de seguridad.

Para complicar más las cosas, cada proveedor tiene una historia de origen diferente basada en un negocio enfocado en una especialización de seguridad particular. Ellos llevan ese linaje hasta sus herramientas, su marketing y la forma en que empaquetan los detalles. Algunos proveedores comienzan como proveedores de eventos de seguridad gestionada (AlertLogic), otros como proveedores de detección gestionada (Network Technology Partners, ahora fusionados con Business System Solutions) o proveedores de seguridad de punto final gestionada (Symantec, ahora parte de Broadcom, y Trustwave). Algunos han desarrollado sus propias consolas tipo SOC para gestionar sus productos, y luego las han convertido en utilidades más generales que pueden conectarse a una gama más amplia de herramientas (Critical Start usa una aplicación móvil, por ejemplo, mientras que Arctic Wolf y DigitalHands han desarrollado sus propias herramientas). Algunos provienen de las divisiones de servicios de los grandes fabricantes de computadoras (IBM, Dell y HP). Otros comenzaron ejecutando sus propios centros de operaciones de red gestionados (NOC) y luego se ramifican hacia la seguridad (AccountabilIT).

Proveedores de servicios de seguridad gestionada

• AccountabillT MDR
• HelpSystems/AlertLogic MDR Essentials/Professional
• AlienLabs/AT&T MDR
• Arctic Wolf MDR
• Critial Start Mobile SOC
• CrowdStrike/Humio Log Management
• Dell Technologies MDR
• DigitalHands SOCaas
• eSentire MDR
• Google/Mandiant MDR
• HP Wolf Security Services XDR
• IBM Security QRadar SIEM y SOAR
• Network Technology Partners/Business System Solutions, MDR
• Rapid7/IntSights Threat Intelligence
• Sophos/Braintrace
• Symantec/Broadcom SOCaas
• Trustwave MDR

A nivel local, hemos encontrado a los siguientes:

• Electrodata
• Entel Perú
• GTD Perú
• Lumen Tecnologies
• Movistar Empresas
• Secure Soft
• Securitas Perú
• ThinkNetworks

Un modelo de centro de operaciones de seguridad moderno

Gartner ha tratado de poner orden y lleva años perfeccionando sus guías de "SOC Hybrid-Internal-Tiered model”, con el último informe del 2021. "Un SOC moderno es lo que el cliente necesita que sea”, escribieron. Tiene que ser flexible, incluyendo una variedad de herramientas de protección para examinar el fraude, las intrusiones físicas y basadas en la red, el monitoreo de eventos de seguridad, el análisis de registros, el escaneo de vulnerabilidades y la respuesta a incidentes. Lo que ha cambiado es que muchos administradores de TI "han pasado de pensar si deben subcontratar o no su seguridad, a darse cuenta de que no pueden mantenerse al día con las últimas amenazas y tecnologías”, señala Charlotte Baker, CEO de DigitalHands, un MSSP con sede en Tampa.

Gartner recomienda que cada empresa se plantee honestamente la pregunta: ¿Cuántas funciones de seguridad se pueden realizar internamente y de manera efectiva? Eso requiere averiguar dónde se encuentran los vacíos y si un posible proveedor de servicios gestionados puede cubrirlos. "No se puede satisfacer la demanda de profesionales con experiencia en seguridad de la información”, comenta Andrew Dutton, quien dirige su propia empresa de consultoría de seguridad en Tennessee. "Simplemente no se les puede pagar lo suficiente, especialmente si se trata de una empresa más pequeña”.

El objetivo debe ser lo que dice el whitepaper de Splunk, es decir, que una organización capacite a su personal de SOC para adelantarse a las amenazas, lo que significa que tienen que crecer y evolucionar a medida que cambia el panorama de amenazas. Splunk presenta un esquema de diez pasos que incluye la ingesta de datos, la detección de eventos de seguridad, la automatización y orquestación de la respuesta y la formulación de recomendaciones adicionales. Si eso parece abrumador, dados sus modelos actuales de dotación de personal, entonces debería optar por alguna forma de SOC gestionado.

En su Guía de mercado de 2021 para los Servicios de Detección y Respuesta Gestionados (MDR), Gartner recomienda que, en vez de centrarse en la recopilación de datos a gran escala, las empresas deben comenzar con la evaluación de sus riesgos y objetivos, y de cuáles deberían ser sus metas. Para el 2025, predicen que la mitad de las organizaciones usarán servicios MDR para funciones de monitoreo, detección y respuesta de amenazas que ofrezcan capacidades de contención y mitigación de estas. Además, presentan varias diferencias entre los proveedores de MDR y otros servicios de seguridad gestionados, incluyendo el contexto que utilizan los servicios para supervisar los registros de eventos, cómo gestionan los dispositivos de forma remota, si proporcionan un portal para su servicio y cómo manejan la respuesta a incidentes.

Diez preguntas para hacerle a un proveedor de SOC-as-a-Service

A la hora de elaborar sus solicitudes de propuestas (RFP) o cuestionarios, tome en cuenta estas preguntas pertinentes.

• ¿Cuál es su misión SOC y si coincide con sus objetivos empresariales generales para reducir el riesgo? ¿Su SOC está abordando su panorama actual de amenazas? "Se ha pasado de las características de un SOC o servicio gestionado, a la comprensión de los problemas que las empresas deben resolver”, señala Tom Gorup, vicepresidente de operaciones de seguridad de AlertLogic.
• ¿Cómo es que cualquier SOC gestionado aumentará su infraestructura de seguridad existente? Si ya dispone de un SOC físico en las instalaciones, ¿necesitará personal cuando su organización regrese a la oficina una vez que su SOC sea completamente virtual? ¿Necesita tecnologías adicionales para monitorear las amenazas que se originan en su colección de aplicaciones en la nube? ¿Cómo interactuarán con sus herramientas existentes para identificar y resolver estas amenazas? ¿Cómo definirá y controlará el comportamiento normal de la red mientras vigila el entorno de trabajo cambiante?
• ¿En qué difiere de un enfoque de servicios puramente supervisados? La respuesta debería ayudarle a comprender los matices del proveedor y cómo se diferencia. Por ejemplo, AlertLogic comenzó con un SIEM y luego agregó otras tecnologías de protección basadas en sus propios programas globales de monitoreo de amenazas y telemetría.
• ¿Cuántos SIEM y sistemas de mesa de servicio heredados admite? Algunos proveedores quieren que los clientes se trasladen a su propia solución interna. Otros (como DigitalHands) ofrecen un soporte más amplio para los sistemas heredados en ambas tecnologías, mientras que algunos (como Network Technology Partners) poseen su propio conjunto de API, en donde usted o ellos deben escribir programas para usar.
• ¿Qué agentes y servidores necesitan instalar los clientes en sus oficinas? La mayoría de los proveedores requieren dos elementos para monitorear su infraestructura: agentes y un servidor personalizado que recopile el tráfico y ejecute las aplicaciones propietarias del proveedor. Algunos requieren múltiples agentes para tareas particulares, como uno para monitoreo puro y otro para remediación.
• ¿Con qué frecuencia un proveedor reevalúa/escanea su infraestructura? El monitoreo varía entre escaneos continuos y trimestrales, y puede diferir entre los equipos en la nube y los locales. Es conveniente que la supervisión sea lo más frecuente posible, junto con las notificaciones asociadas, si es posible. Además, confirme que el SOC tendrá una visibilidad total de los datos en toda su empresa, incluyendo los datos de misión crítica y los que son importantes para el cliente.
• ¿Cómo va a realizar las auditorías de cumplimiento? Algunos proveedores incluyen auditorías dentro del precio, otros cobran un adicional, y algunos lo remiten a un tercero para que pueda obtener una visión completamente independiente de lo que están haciendo. Otros, como Bolton Labs, no ofrecen ningún servicio de cumplimiento. Hay buenas razones para cada enfoque; simplemente asegúrese de saber por qué está pagando.
• ¿Cuál es el tamaño objetivo típico de sus clientes? Algunos proveedores se centran más en el mercado mediano o incluso en empresas más pequeñas. Otros pueden crecer y escalar a redes muy grandes en muchos continentes. Averigüe cuál es su punto óptimo y sepa cuándo podría superarlo.
• ¿Quién está dotando de personal a su SOC? Querrá saber qué tipo de capacitación, certificaciones y otros niveles de habilidades tienen las personas que observan su red y sus puntos finales. Las personas suelen ser más importantes que el propio equipamiento. Después de todo, esa es la razón por la que contrata a un proveedor, para no necesitar personal propio.
• ¿Cuál es el precio? Parte del problema es que es posible que no sepa cuántos servidores, puntos finales o aplicaciones va a proteger, monitorear o colocar bajo el control de su proveedor. Muchas empresas comienzan de a pocos con pruebas de concepto con algunos puntos finales para ver cómo funciona el programa y qué tráfico capta el SOC antes de ampliar la implementación.

Intentamos obtener rangos de precios, pero la mayoría de los proveedores no cooperaron. AlertLogic venderá una licencia de 500 nodos de MDR Professional por nueve mil dólares al mes o una licencia de 250 nodos de MDR Essentials por 550 dólares al mes. DigitalHands ofrece paquetes mensuales de 2 mil a 250 mil dólares que incluyen una amplia colección de herramientas con paneles e informes integrados. Eso le brinda al menos un rango al que apuntar, dependiendo de las características y el nivel de capacidad de respuesta que necesita.

Basado en el artículo de David Strom (CSO) y editado por CIO Perú