Libera tu mente y alcanza tus metas
Evolución de los AV, XDR, SIEM, SOAR al SOC 3.0 moderno
herramientas opinión
Evolución de los AV, XDR, SIEM, SOAR al SOC 3.0 moderno
Por Shahar Ben Hador (*) En la actualidad, las organizaciones se enfrentan a incesantes ataques, y las infracciones de alto perfil ocupan los titulares casi a diario. Si reflexionamos sobre una larga trayectoria en el campo de la seguridad, qu...
herramientas opinión

Evolución de los AV, XDR, SIEM, SOAR al SOC 3.0 moderno

Por Shahar Ben Hador (*)

En la actualidad, las organizaciones se enfrentan a incesantes ataques, y las infracciones de alto perfil ocupan los titulares casi a diario. Si reflexionamos sobre una larga trayectoria en el campo de la seguridad, queda claro que no se trata solo de un problema humano, sino de un problema matemático. Hay demasiadas amenazas y tareas de seguridad para que cualquier SOC las gestione manualmente en un plazo razonable.

Sin embargo, existe una solución. Muchos se refieren a ella como SOC 3.0, un entorno mejorado con IA que finalmente permite a los analistas hacer más con menos y cambia las operaciones de seguridad de una postura reactiva a una fuerza proactiva. Sin embargo, para apreciar este avance, es importante comprender cómo evolucionó el SOC con el tiempo y por qué los pasos que llevaron al SOC 3.0 prepararon el terreno para una nueva era de operaciones de seguridad.

Una breve historia del SOC

Durante décadas, el Centro de Operaciones de Seguridad (SOC) ha sido la primera línea de defensa de las organizaciones contra las amenazas cibernéticas. A medida que las amenazas se vuelven más rápidas y sofisticadas, el SOC debe evolucionar. Personalmente, he sido testigo de tres fases distintas de la evolución del SOC. Me gusta referirme a ellas como SOC 1.0 (SOC tradicional), SOC 2.0 (el SOC actual, parcialmente automatizado) y SOC 3.0 (el SOC moderno, impulsado por IA).

En este artículo, proporciono una descripción general de cada fase, centrándome en cuatro funciones principales:

  1. Triaje y remediación de alertas
  2. Detección y correlación
  3. Investigación de amenazas
  4. Procesamiento de datos

SOC 1.0: el SOC manual tradicional

Veamos cómo los primeros SOC manejaban el triaje y la remediación de alertas, la detección y correlación, la investigación de amenazas y el procesamiento de datos.

Manejo de alertas ruidosas con triaje y remediación manual

En los primeros días, dedicamos una cantidad excesiva de tiempo al triaje simple. Los ingenieros de seguridad creaban o configuraban alertas y el equipo del SOC luchaba contra un aluvión de ruido interminable. Abundaban los falsos positivos.

Por ejemplo, si se disparaba una alerta cada vez que un servidor de prueba se conectaba a un dominio que no era de producción, el SOC se daba cuenta rápidamente de que se trataba de ruido inofensivo. Excluíamos la infraestructura de prueba conocida o de baja gravedad del registro o la generación de alertas. Este ir y venir —"¡Ajusta estas alertas!" o "¡Excluye este servidor!"— se convirtió en la norma. Los recursos del SOC se invertían más en gestionar la fatiga de alertas que en abordar problemas de seguridad reales.

La remediación también era completamente manual. La mayoría de las organizaciones tenían un procedimiento operativo estándar (SOP) almacenado en una Wiki o SharePoint. Después de que una alerta se consideraba válida, un analista lo repasaba:

  • "Identificar el sistema afectado"
  • "Aislar el host"
  • "Restablecer credenciales"
  • "Recopilar registros para análisis forense", etc.

Estos SOP se almacenaban principalmente en documentos estáticos y requerían intervención manual en cada paso. Las principales herramientas en este proceso fueron el SIEM (a menudo una plataforma como QRadar, OpenText/ArcSight, Elastic o Splunk) combinado con plataformas de colaboración como SharePoint para la documentación del conocimiento.

Desafíos iniciales de SIEM y correlación

Durante la fase SOC 1.0, la detección y correlación implicaban principalmente consultas y reglas escritas manualmente. Los SIEM (Security Information and Events Management) requerían experiencia avanzada para crear búsquedas de correlación. Los ingenieros de SOC o los especialistas de SIEM escribían una lógica de consulta compleja para conectar los puntos entre registros, eventos e indicadores de compromiso (IOC) conocidos.

Un solo "OR" faltante o una unión incorrecta en una consulta de búsqueda podía generar innumerables falsos negativos o falsos positivos. La complejidad era tan alta que solo un pequeño subconjunto de personas expertas en la organización podía mantener estos conjuntos de reglas de manera efectiva, lo que generaba cuellos de botella y tiempos de respuesta lentos.

"OnlyExperts" para la investigación de amenazas L2 y L3

Las investigaciones de amenazas requerían analistas de seguridad altamente capacitados (y costosos). Debido a que todo era manual, cada evento sospechoso exigía que un analista senior realizara inmersiones profundas en los registros, ejecutara consultas y uniera la historia a partir de múltiples fuentes de datos. No había una escalabilidad real; cada equipo solo podía manejar un cierto volumen de alertas. Los analistas junior a menudo se quedaban estancados en el Nivel 1 de clasificación y derivaban la mayoría de los incidentes al personal de mayor jerarquía debido a la falta de herramientas y procesos eficientes.

Procesamiento manual de datos

Con el big data surgieron grandes problemas, como la ingesta y el análisis manual de datos. Cada fuente de registro necesitaba su propia integración, con reglas de análisis específicas y configuración de indexación. Si cambiaba de proveedor o añadía nuevas soluciones, dedicaba meses o incluso varios trimestres a la integración.

En el caso de SIEM como QRadar, los administradores tenían que configurar nuevas tablas de base de datos, campos de datos y reglas de indexación para cada nuevo tipo de registro. Esto era lento, frágil y propenso a errores humanos. Por último, muchas organizaciones utilizaban canales separados para enviar registros a diferentes destinos. Esto también se configuraba manualmente y era probable que se rompiera cuando cambiaban las fuentes.

En resumen, SOC 1.0 se caracterizó por los altos costos, el gran esfuerzo manual y un enfoque en "mantener las luces encendidas" en lugar de en la verdadera innovación en seguridad.

SOC 2.0: El SOC actual, parcialmente automatizado

Los desafíos del SOC 1.0 impulsaron la innovación. La industria respondió con plataformas y enfoques que automatizaron (hasta cierto punto) los flujos de trabajo clave.

Alertas enriquecidas y manuales automatizados

Con la llegada de SOAR (Security Orchestration, Automation, and Response), las alertas en el SIEM se podían enriquecer automáticamente. Por ejemplo, una dirección IP en una alerta se podía comparar con fuentes de inteligencia de amenazas y servicios de geolocalización.

Un nombre de host se podía correlacionar con un inventario de activos o una base de datos de gestión de vulnerabilidades. Este contexto adicional permitió a los analistas decidir más rápido si una alerta es creíble. Los procedimientos operativos estándar automatizados fueron otra gran mejora. Las herramientas SOAR permitieron a los analistas codificar algunas de sus tareas repetitivas y ejecutar "manuales" automáticamente. En lugar de hacer referencia a una página Wiki paso a paso, el SOC podía confiar en scripts automatizados para realizar partes de la remediación, como aislar un host o bloquear una IP.

Sin embargo, la parte de la toma de decisiones entre el enriquecimiento y la acción automatizada siguió siendo altamente manual. Los analistas podían tener un mejor contexto, pero aún tenían que pensar qué hacer a continuación. Y para empeorar las cosas, las propias herramientas SOAR (por ejemplo, Torq, Tines, BlinkOps, Cortex XSOAR, Swimlane) necesitaban una configuración y un mantenimiento exhaustivos.

Los ingenieros de seguridad expertos tenían que crear y actualizar constantemente los playbooks. Si cambiaba una sola API externa, podían fallar flujos de trabajo enteros. Simplemente reemplazar a su proveedor de endpoints desencadenaría semanas de puesta al día en una plataforma SOAR. La sobrecarga de crear y mantener estas automatizaciones no es exactamente trivial.

SIEM actualizado: detección y XDR listos para usar

En SOC 2.0, la detección y correlación experimentaron avances clave en contenido listo para usar. Las plataformas SIEM modernas y las soluciones XDR (detección y respuesta extendidas) ofrecen bibliotecas de reglas de detección predefinidas adaptadas a amenazas comunes, lo que ahorra tiempo a los analistas de SOC que antes tenían que escribir todo desde cero. Herramientas como Exabeam, Securonix, Gurucul y Hunters tienen como objetivo correlacionar datos de múltiples fuentes (puntos finales, cargas de trabajo en la nube, tráfico de red, proveedores de identidad) de manera más fluida. Proveedores como Anvilogic o Panther Labs ofrecen bibliotecas de conjuntos de reglas integrales para varias fuentes, lo que reduce significativamente la complejidad de escribir consultas.

Mejoras incrementales en la investigación de amenazas

A pesar de los avances de XDR, el flujo de trabajo de investigación de amenazas real sigue siendo muy similar al de SOC 1.0. Las herramientas están mejor integradas y hay más datos disponibles de un vistazo, pero el proceso de análisis aún depende de la correlación manual y la experiencia de analistas experimentados. Si bien XDR puede detectar actividades sospechosas de manera más eficiente, no automatiza inherentemente las tareas forenses o de búsqueda de amenazas más profundas. Los analistas sénior siguen siendo cruciales para interpretar señales matizadas y vincular múltiples artefactos de amenazas.

Integraciones optimizadas y control de costos de datos

El procesamiento de datos en SOC 2.0 también ha mejorado con más integraciones y un mejor control sobre múltiples canales de datos. Por ejemplo, los SIEM como Microsoft Sentinel ofrecen análisis automático y esquemas integrados para fuentes de datos populares. Esto acelera la implementación y acorta el tiempo de generación de valor.

Soluciones como Cribl permiten a las organizaciones definir canales de datos una vez y enrutar registros a los destinos correctos en el formato correcto con los enriquecimientos correctos. Por ejemplo, una sola fuente de datos puede enriquecerse con etiquetas de inteligencia de amenazas y luego enviarse tanto a un SIEM para análisis de seguridad como a un lago de datos para almacenamiento a largo plazo.

Estas mejoras sin duda ayudan a reducir la carga en el SOC, pero mantener estas integraciones y canales aún puede ser complejo. Además, el costo de almacenar y consultar volúmenes masivos de datos en una plataforma SIEM o XDR basada en la nube sigue siendo un ítem importante del presupuesto.

En resumen, SOC 2.0 generó un progreso significativo en los manuales de enriquecimiento y remediación automatizados. Pero el trabajo pesado (pensamiento crítico, toma de decisiones contextual y análisis de amenazas sofisticado) sigue siendo manual y engorroso. Los equipos de SOC aún luchan por mantenerse al día con las nuevas amenazas, las nuevas fuentes de datos y la sobrecarga que implica mantener los marcos de automatización.

SOC 3.0: El SOC moderno impulsado por IA

Llega el SOC 3.0, donde la inteligencia artificial y los lagos de datos distribuidos prometen un salto cuántico en la eficiencia operativa y la detección de amenazas.

Triaje y remediación impulsados ​​por IA

Gracias a los avances en IA, el SOC ahora puede automatizar gran parte del proceso de triaje e investigación con IA. Los modelos de aprendizaje automático, entrenados en vastos conjuntos de datos de comportamiento normal y malicioso, pueden clasificar y priorizar alertas automáticamente con una mínima intervención humana. Los modelos de IA también están repletos de conocimiento de seguridad que ayuda a aumentar la capacidad de los analistas humanos para investigar y aplicar de manera eficiente nueva información a sus prácticas.

En lugar de crear manuales rígidos, la IA genera dinámicamente opciones de respuesta. Los analistas pueden revisar, modificar y ejecutar estas acciones con un solo clic. Una vez que un equipo del SOC gana confianza en las respuestas aumentadas por IA, puede dejar que el sistema remedie automáticamente, lo que reduce aún más los tiempos de respuesta.

Esto no elimina la supervisión humana, ya que los humanos revisan el razonamiento de triaje y las recomendaciones de respuesta de la IA, pero reduce drásticamente las tareas manuales y repetitivas que agobian a los analistas del SOC. Los analistas junior pueden centrarse en la validación y aprobación de alto nivel, mientras que la IA se encarga del trabajo pesado.

Detección y correlación adaptativas

La capa SIEM (y XDR) en el SOC 3.0 está mucho más automatizada con modelos de IA/ML, en lugar de expertos humanos, que crean y mantienen reglas de correlación. El sistema aprende continuamente de los datos del mundo real, ajustando las reglas para reducir los falsos positivos y detectar nuevos patrones de ataque.

Los feeds de inteligencia de amenazas en curso, el análisis de comportamiento y el contexto de todo el entorno se unen casi en tiempo real. Esta inteligencia se integra automáticamente, por lo que el SOC puede adaptarse instantáneamente a nuevas amenazas sin esperar actualizaciones manuales de reglas.

Investigaciones automatizadas de amenazas en profundidad

Se podría decir que el cambio más transformador es la forma en que la IA permite realizar investigaciones casi instantáneas sin necesidad de codificación. En lugar de escribir un manual o un guión detallado para investigar cada tipo de amenaza, los motores de IA procesan y consultan grandes volúmenes de datos y producen rutas de investigación contextualmente ricas.

El análisis profundo a alta velocidad es una tarea cotidiana para la IA, ya que puede correlacionar miles de eventos y registros de fuentes de datos distribuidas en cuestión de minutos y, a menudo, en segundos, y sacar a la luz los conocimientos más relevantes para el analista.

Por último, SOC 3.0 empodera a los analistas junior, ya que incluso un analista de nivel 1 o 2 puede utilizar estas investigaciones impulsadas por IA para gestionar incidentes que tradicionalmente requerirían un miembro del personal de alto nivel. Los proveedores en este espacio incluyen empresas emergentes que ofrecen copilotos de seguridad basados ​​en IA y plataformas SOC automatizadas que acortan drásticamente el tiempo de investigación y el MTTR (Mean Time To Repair).

Lagos de datos distribuidos y gasto optimizado

A medida que crece el volumen de datos necesarios para impulsar la seguridad impulsada por IA, SOC 3.0 se basa en un enfoque más inteligente para el almacenamiento y la consulta de datos:

Lago de datos distribuido

Las herramientas basadas en IA no dependen necesariamente de un único almacén de datos monolítico. En cambio, pueden consultar los datos donde residen, ya sea un SIEM heredado, el almacenamiento de nivel gratuito de un proveedor o un depósito S3 de su propiedad.

Este enfoque es fundamental para la optimización de costos. Por ejemplo, algunos proveedores de EDR/XDR como CrowdStrike o SentinelOne ofrecen almacenamiento gratuito para datos propios, por lo que resulta económico mantener esos datos en su entorno nativo. Mientras tanto, otros registros se pueden almacenar en soluciones de almacenamiento en la nube más económicas.

Consultas flexibles a pedido

SOC 3.0 permite a las organizaciones "llevar la consulta a los datos" en lugar de forzar todos los registros a un único repositorio costoso. Esto significa que puede aprovechar un depósito S3 rentable para grandes volúmenes de datos, y al mismo tiempo poder consultarlos y enriquecerlos rápidamente casi en tiempo real.

Las preocupaciones sobre la residencia de los datos y el rendimiento también se abordan distribuyendo los datos en la ubicación más lógica: más cerca de la fuente, de conformidad con las regulaciones locales o en la geografía que sea mejor para lograr un equilibrio entre costo y rendimiento.

Cómo evitar la dependencia de un proveedor

En SOC 3.0, no está limitado al modelo de almacenamiento de una única plataforma. Si no puede permitirse almacenar o analizar todo en el SIEM de un proveedor, puede optar por mantenerlo en su propio entorno a una fracción del costo, pero aún así consultarlo a pedido cuando sea necesario.

Conclusión

Desde el punto de vista de un CISO, SOC 3.0 no es solo una palabra de moda. Es el siguiente paso natural en la ciberseguridad moderna, que permite a los equipos manejar más amenazas a un menor costo, con mayor precisión y velocidad.

Radiant Security ofrece una plataforma SOC impulsada por IA diseñada para equipos de seguridad de PYMES y empresas que buscan manejar por completo el 100 % de las alertas que reciben de múltiples herramientas y sensores.

Si bien la IA no reemplazará la necesidad de la experiencia humana, cambiará fundamentalmente el modelo operativo del SOC, lo que permitirá a los profesionales de seguridad hacer más con menos, concentrarse en iniciativas estratégicas y mantener una postura de seguridad más sólida frente al panorama de amenazas en rápida evolución de la actualidad.

(* )Shahar Ben Hador pasó casi una década en Imperva, convirtiéndose en su primer CISO. Luego pasó a ser CIO y luego vicepresidente de productos en Exabeam. Ver cómo los equipos de seguridad se ahogaban en alertas mientras las amenazas reales se filtraban lo impulsó a crear Radiant Security como cofundador y director ejecutivo.

Fuente: THN