Durante la semana pasada, Andrea Fernández, gerente general para la región sur de Latinoamérica de Kaspersky, y su equipo estuvieron muy activos en Perú divulgando las acciones y novedades de la marca, así como relacionándose con el canal peruano y los clientes finales y corporativos. Uno de los mensajes fue la importancia de los SOC (Centro de Operaciones de Seguridad) en las organizaciones y cómo Kaspersky puede apoyarlos.
Para las grandes organizaciones, el establecimiento de un SOC es una respuesta coherente al creciente número y sofisticación de las ciberamenazas. Según una encuesta de Kaspersky, un tercio de las empresas crean un SOC para gestionar sus riesgos de ciberseguridad. Sin embargo, en el proceso, las organizaciones se enfrentan a menudo a numerosas barreras que ponen en peligro la productividad de sus operaciones de seguridad, entre las que se incluyen la escasez de profesionales cualificados, la insuficiente automatización e integración entre diversas herramientas, un elevado número de alertas y la falta de visibilidad y contexto.
Un estudio del Instituto SANS revela que los especialistas que trabajan en SOCs no están satisfechos con su desempeño, pero tampoco tienen una visión clara de cómo mejorarlo. Por ello, la nueva oferta integrada de Kaspersky para SOCs comienza con un análisis de las necesidades específicas de los clientes y los puntos débiles, con el fin de ofrecer los productos y servicios requeridos. Esto incluye el portafolio de Kaspersky EDR, Kaspersky Anti Targeted Attack, Kaspersky Threat Intelligence y Kaspersky Cybersecurity Training, junto con el soporte continuo de los equipos Threat Hunting y de respuesta a incidentes líderes mundiales.
Encontrar y eliminar debilidades
Los puntos más débiles de la protección de una empresa no siempre están en su infraestructura, sino que a menudo pueden estar en sus procesos. Estos van desde alertas con prioridades mal definidas, a problemas de comunicación, como cuando los analistas transmiten información sobre una alerta después de un retraso, o no en su totalidad. Debido a estos problemas, los ciberdelincuentes pueden pasar desapercibidos por más tiempo, lo que aumenta las posibilidades de éxito del ataque.
Por ello, Kaspersky, junto con el servicio Penetration Testing, incluye una evaluación personalizada de las operaciones de seguridad existentes – Red Teaming -, una simulación de ataques basados en inteligencia de amenazas. Los expertos de Kaspersky determinan cómo se comportan los atacantes según las características específicas del cliente, como el sector, la región y el mercado donde opera, e imitan sus acciones para evaluar el SOC y la preparación del equipo de respuesta a incidentes para detectar y prevenir ataques. La evaluación de las capacidades del equipo defensivo se completa con talleres de formación en los que se detallan las brechas en los procesos defensivos y recomendaciones sobre cómo mejorarlas.
Cerrar las brechas existentes en el SOC
La construcción y el mantenimiento de un SOC es un proceso a largo plazo, en el que pueden producirse varias brechas y dificultades. Kaspersky ayuda en la identificación de los problemas clave y ofrece soluciones y servicios integrales para resolverlos:
- Kaspersky Threat Intelligence proporciona a los equipos de los SOCs información sobre tácticas y técnicas que los atacantes de todo el mundo utilizan. Estos servicios incluyen Kaspersky Threat Data Feeds, Kaspersky APT Intelligence Reporting, Kaspersky Financial Threat Intelligence Reporting, Kaspersky Threat Intelligence Portal (una herramienta web que proporciona acceso a Cloud Sandbox y Threat Lookup – con la información más reciente e histórica sobre amenazas recopilada por la empresa) y Tailored Threat Intelligence Reporting, esbozando una imagen de amenazas específicas para el cliente.
- Kaspersky CyberTrace es una herramienta que combina el análisis con la inteligencia de amenazas y que mejora y acelera la priorización y la respuesta inicial a las alertas entrantes al hacer coincidir los registros enviados por un sistema de gestión de eventos e información de seguridad (SIEM) con cualquier fuente de inteligencia de amenazas utilizada en un SOC. La herramienta evalúa la efectividad de cada fuente y proporciona «conciencia de la situación» en tiempo real, lo que permite a los analistas tomar decisiones oportunas y mejor informadas.
- Los programas de formación Kaspersky Cybersecurity Training sobre análisis de malware, análisis forense digital, respuesta a incidentes y detección de amenazas ayudan a los SOC a aumentar su experiencia interna en estas áreas, lo que permite una respuesta rápida y eficaz a incidentes complejos.
- Con los servicios Kaspersky Managed Protection e Incident Response, los SOC pueden externalizar o complementar sus capacidades existentes de investigación de incidentes, respuesta y búsqueda de amenazas, si carecen de cierta experiencia o especialistas internos.
- Las soluciones avanzadas de defensa de Kaspersky se basan en una única plataforma tecnológica, Kaspersky Anti Targeted Attack y Kaspersky EDR. Están orientadas hacia las amenazas complejas y ayudan a fortalecer el SOC, permitiendo un análisis más profundo y una respuesta a incidentes más rápida. Las soluciones proporcionan automatización de los procesos de defensa, incluidos la identificación, análisis y respuesta de ataques, así como una visibilidad completa de la infraestructura, además de servir como fuentes de registros relevantes para un sistema SIEM, lo que ofrece a los analistas del SOC el tiempo y los recursos para buscar amenazas de manera proactiva y responder a incidentes más complejos.
- «La gestión de un SOC no se reduce a la implementación de un SIEM. Para ser eficaz, debe ir acompañado de los procesos, funciones y playbook relevantes. También debe estar equipado con conectores para fuentes de registros y eventos, reglas de correlación efectivas, y alimentado con inteligencia de amenazas procesable. Sin comprender las principales barreras, los CISO no pueden trazar una hoja de ruta para el desarrollo de un SOC. Por eso analizamos cuidadosamente las necesidades del cliente y los puntos débiles, evaluamos la madurez de los sistemas de ciberseguridad existentes e identificamos las lagunas que puedan tener para poder recomendar las soluciones y los paquetes de servicios óptimos», comenta Santiago Cortez, gerente de Ventas Enterprise, región SOLA, en Kaspersky.