![\"SOC](\"https:\/\/itconnect.lat\/portal\/wp-content\/uploads\/2024\/03\/Default_datacenter_security_2-e1710717043407.webp\" "\\"\\"")
<\/a>En un panorama donde la ciberseguridad se vuelve cada vez m\u00e1s compleja y desafiante, la necesidad de una respuesta \u00e1gil y efectiva ante los incidentes es primordial.<\/p>\n
Con este objetivo en mente, John Tuckner y el equipo de la reconocida plataforma de automatizaci\u00f3n y flujo de trabajo, Tines, han lanzado la SOC Automation Capability Matrix (SOC ACM).<\/p>\n
Esta novedosa matriz de capacidades de automatizaci\u00f3n no solo representa un hito significativo en la evoluci\u00f3n de la seguridad cibern\u00e9tica, sino que tambi\u00e9n ofrece un enfoque estructurado y completo para comprender y mejorar las capacidades de automatizaci\u00f3n en los equipos de operaciones de seguridad (SOC).<\/p>\n
\u00bfQu\u00e9 es SOC ACM?<\/h3>\n
La SOC Automation Capability Matrix es mucho m\u00e1s que una herramienta; es un marco estrat\u00e9gico dise\u00f1ado meticulosamente para empoderar a los equipos de seguridad con el conocimiento y las capacidades necesarias para enfrentar los desaf\u00edos de seguridad m\u00e1s exigentes.<\/p>\n
\u00bfC\u00f3mo funciona?<\/h3>\n
Al centrarse en la evaluaci\u00f3n de las capacidades de automatizaci\u00f3n, SOC ACM permite a los equipos de operaciones de seguridad identificar \u00e1reas de mejora y optimizaci\u00f3n en su infraestructura de seguridad.<\/p>\n
Utilizando un enfoque sistem\u00e1tico, los profesionales pueden analizar sus procesos de automatizaci\u00f3n existentes, identificar brechas y definir objetivos claros para mejorar la eficiencia y la eficacia de sus operaciones.<\/p>\n
Beneficios clave:<\/h3>\n
Comprensi\u00f3n profunda de las capacidades de automatizaci\u00f3n: SOC ACM proporciona una visi\u00f3n detallada de las capacidades de automatizaci\u00f3n de un SOC, lo que permite una evaluaci\u00f3n precisa de su madurez y efectividad.<\/p>\n
Optimizaci\u00f3n de recursos:<\/strong> Al identificar \u00e1reas de mejora, los equipos pueden asignar recursos de manera m\u00e1s efectiva, maximizando el impacto de la automatizaci\u00f3n en la respuesta a incidentes.<\/p>\n Mejora continua:<\/strong> SOC ACM no solo es una herramienta est\u00e1tica, sino un marco din\u00e1mico que facilita la mejora continua. Los equipos pueden establecer objetivos de mejora y realizar un seguimiento de su progreso a lo largo del tiempo.<\/p>\n La SOC Automation Capability Matrix representa un paso adelante en el campo de la seguridad cibern\u00e9tica, pero tambi\u00e9n es un indicador de las tendencias futuras.<\/p>\n Con la creciente sofisticaci\u00f3n de las amenazas cibern\u00e9ticas, la automatizaci\u00f3n se vuelve no solo deseable, sino indispensable.<\/p>\n SOC ACM marca el comienzo de una era en la que la respuesta a incidentes de seguridad se basa en la inteligencia, la agilidad y la eficiencia.<\/p>\n SOC ACM es m\u00e1s que una herramienta; es un catalizador para la transformaci\u00f3n en la seguridad cibern\u00e9tica.<\/p>\n Con su enfoque estructurado y su capacidad para impulsar la mejora continua, esta innovaci\u00f3n promete llevar la seguridad cibern\u00e9tica a nuevas alturas, fortaleciendo la resiliencia de las organizaciones en un mundo digitalmente interconectado.<\/p>\n Desde su lanzamiento en enero de 2023, la SOC Automation Capability Matrix (SOC ACM) ha estado en el centro de atenci\u00f3n de la comunidad de seguridad cibern\u00e9tica.<\/p>\n Esta herramienta personalizable e independiente del proveedor ha sido elogiada y compartida por destacados profesionales de la industria, incluyendo al ingeniero de Airbnb, Allyn Stott, durante su charla en BSides y Black Hat, titulada “C\u00f3mo aprend\u00ed a detenerme a preocuparme y construir un programa moderno de detecci\u00f3n y respuesta”.<\/p>\n Comparada con marcos establecidos como MITRE ATT&CK y RE&CT, la SOC ACM ha ganado reconocimiento por su enfoque \u00fanico en la automatizaci\u00f3n de seguridad.<\/p>\n Un usuario la describi\u00f3 como un posible est\u00e1ndar para la clasificaci\u00f3n de automatizaciones SOAR, similar al marco RE&CT pero con un enfoque m\u00e1s espec\u00edfico en la automatizaci\u00f3n.<\/p>\n Lo que hace que la SOC ACM sea especialmente notable es su versatilidad y adaptabilidad. Ha sido adoptada por una variedad de organizaciones, desde empresas de tecnolog\u00eda financiera hasta proveedores de seguridad en la nube, como base para evaluar y optimizar sus programas de automatizaci\u00f3n de seguridad.<\/p>\n Su capacidad para identificar oportunidades de automatizaci\u00f3n y ofrecer una visi\u00f3n clara de las capacidades del equipo de operaciones de seguridad ha demostrado ser invaluable en un entorno de amenazas cada vez m\u00e1s complejo.<\/p>\n Con el respaldo de l\u00edderes de la industria y la confianza de empresas l\u00edderes en tecnolog\u00eda, la SOC Automation Capability Matrix est\u00e1 estableciendo un nuevo est\u00e1ndar en la automatizaci\u00f3n de seguridad cibern\u00e9tica.<\/p>\n Su impacto ya se est\u00e1 sintiendo en la comunidad de seguridad, donde est\u00e1 allanando el camino hacia programas de detecci\u00f3n y respuesta m\u00e1s efectivos y adaptativos en un mundo digital en constante evoluci\u00f3n.<\/p>\n La Matriz de Capacidades de Automatizaci\u00f3n del SOC (SOC ACM) es una herramienta esencial para los equipos de operaciones de seguridad que desean fortalecer su capacidad de respuesta ante incidentes de ciberseguridad de manera proactiva.<\/p>\n A diferencia de simplemente ofrecer una lista est\u00e1tica de casos de uso espec\u00edficos relacionados con un producto o servicio en particular, la SOC ACM adopta un enfoque m\u00e1s amplio y estrat\u00e9gico.<\/p>\n En su n\u00facleo, la SOC ACM es un conjunto interactivo de t\u00e9cnicas dise\u00f1adas para permitir a los equipos de seguridad comprender y aprovechar al m\u00e1ximo las capacidades de automatizaci\u00f3n disponibles.<\/p>\n Al no estar atada a ning\u00fan proveedor en particular, esta matriz ofrece una visi\u00f3n neutra y vers\u00e1til de lo que es posible con la automatizaci\u00f3n de la seguridad. Es una gu\u00eda tanto para principiantes como para equipos m\u00e1s avanzados.<\/p>\n Para los equipos nuevos en el campo de la automatizaci\u00f3n de seguridad, la SOC ACM proporciona una base s\u00f3lida para comprender el potencial de la automatizaci\u00f3n y c\u00f3mo puede aplicarse a los desaf\u00edos comunes de la ciberseguridad.<\/p>\n Por otro lado, para los equipos m\u00e1s experimentados, la matriz sirve como una fuente continua de inspiraci\u00f3n para futuras implementaciones. Adem\u00e1s, act\u00faa como un bar\u00f3metro para medir el \u00e9xito de las implementaciones existentes y como un medio para informar los resultados.<\/p>\n Es importante destacar que la SOC ACM es independiente del proveedor, lo que significa que se puede implementar y adaptar en una variedad de entornos de seguridad.<\/p>\n Sin embargo, se integra perfectamente con plataformas como Tines, que fue desarrollada espec\u00edficamente por profesionales de la seguridad para ayudar a automatizar los procesos de misi\u00f3n cr\u00edtica en seguridad.<\/p>\n Esta combinaci\u00f3n permite una implementaci\u00f3n m\u00e1s fluida y eficiente de las capacidades de automatizaci\u00f3n identificadas a trav\u00e9s de la matriz.<\/p>\n En resumen, la Matriz de Capacidades de Automatizaci\u00f3n del SOC no solo proporciona una hoja de ruta para la automatizaci\u00f3n de la seguridad, sino que tambi\u00e9n fomenta la innovaci\u00f3n continua y la mejora en la respuesta a incidentes de ciberseguridad.<\/p>\n Es una herramienta esencial en el arsenal de cualquier equipo de seguridad que busque mantenerse un paso adelante en un paisaje digital en constante evoluci\u00f3n.<\/p>\n La Matriz de Capacidades de Automatizaci\u00f3n del SOC (SOC ACM) es una herramienta estructurada que permite a los equipos de operaciones de seguridad comprender y aplicar eficazmente la automatizaci\u00f3n en su infraestructura.<\/p>\n Para entender c\u00f3mo funciona, desglosaremos su estructura y proporcionaremos ejemplos pr\u00e1cticos de su aplicaci\u00f3n.<\/p>\n La SOC ACM se organiza en categor\u00edas que contienen distintas capacidades de automatizaci\u00f3n. Cada capacidad est\u00e1 compuesta por los siguientes elementos:<\/p>\n Descripci\u00f3n:<\/strong> Una breve explicaci\u00f3n general de la funci\u00f3n de la capacidad en cuesti\u00f3n.<\/p>\n T\u00e9cnicas:<\/strong> Ideas independientes de la tecnolog\u00eda sobre c\u00f3mo implementar la capacidad en cuesti\u00f3n.<\/p>\n Ejemplos:<\/strong> Plantillas de flujo de trabajo relevantes de la biblioteca Tines que ilustran la aplicaci\u00f3n pr\u00e1ctica de la capacidad.<\/p>\n Referencias:<\/strong> Otros recursos o investigaciones que contribuyen a la comprensi\u00f3n y aplicaci\u00f3n de la capacidad.<\/p>\n El marco se lee de izquierda a derecha y de arriba a abajo dentro de las categor\u00edas, lo que facilita la comprensi\u00f3n y navegaci\u00f3n.<\/p>\n Aunque no hay opiniones predefinidas sobre qu\u00e9 capacidades ofrecen el mayor valor o son m\u00e1s f\u00e1ciles de implementar, la matriz se adapta a las necesidades y prioridades espec\u00edficas de cada organizaci\u00f3n.<\/p>\n Para ilustrar c\u00f3mo utilizar la SOC ACM, consideremos un ejemplo pr\u00e1ctico: la respuesta ante phishing. Muchas organizaciones enfrentan la constante amenaza de ataques de phishing y buscan automatizar sus procesos de detecci\u00f3n y respuesta.<\/p>\n A continuaci\u00f3n, se presentan algunos pasos comunes que podr\u00edan formar parte de una investigaci\u00f3n de phishing rutinaria:<\/p>\n Recepci\u00f3n de un correo electr\u00f3nico o alerta de phishing.<\/p>\n Notificaci\u00f3n al equipo de seguridad para su procesamiento.<\/p>\n Creaci\u00f3n de un ticket para seguimiento y registro del an\u00e1lisis.<\/p>\n Revisi\u00f3n de los elementos del correo electr\u00f3nico, incluidos adjuntos, enlaces y encabezados.<\/p>\n Eliminaci\u00f3n del correo electr\u00f3nico sospechoso y actualizaci\u00f3n de listas de bloqueo.<\/p>\n Notificaci\u00f3n al destinatario con una actualizaci\u00f3n de estado.<\/p>\n Dentro de la matriz de capacidades, estas acciones espec\u00edficas se encontrar\u00edan en la secci\u00f3n correspondiente, como “Manejo de alertas”.<\/p>\n Se mencionar\u00eda que muchas organizaciones implementan herramientas como puertas de enlace de seguridad de correo electr\u00f3nico para evitar la entrega de correos sospechosos y generar alertas de campa\u00f1as de ataque que podr\u00edan automatizarse.<\/p>\n La SOC ACM no solo proporciona una visi\u00f3n general de las capacidades de automatizaci\u00f3n disponibles, sino que tambi\u00e9n gu\u00eda a los equipos de seguridad en la implementaci\u00f3n pr\u00e1ctica de estas capacidades.<\/p>\n Al utilizarla como referencia, las organizaciones pueden optimizar sus procesos de respuesta a incidentes, mejorar la eficiencia operativa y fortalecer su postura de seguridad cibern\u00e9tica en general.<\/p>\n La automatizaci\u00f3n en el \u00e1mbito de la seguridad operativa (SOC) implica una serie de acciones coordinadas y automatizadas para hacer frente a las amenazas cibern\u00e9ticas de manera eficiente y efectiva.<\/p>\n A continuaci\u00f3n, analizaremos c\u00f3mo las capacidades de automatizaci\u00f3n se aplican en diferentes etapas de un escenario de detecci\u00f3n y respuesta ante un ataque de phishing, utilizando la Matriz de Capacidades de Automatizaci\u00f3n del SOC (SOC ACM) como gu\u00eda:<\/p>\n Creaci\u00f3n de bandeja de entrada espec\u00edfica:<\/strong> La capacidad implica la configuraci\u00f3n de una bandeja de entrada dedicada para que los usuarios puedan reenviar f\u00e1cilmente correos electr\u00f3nicos de phishing que hayan pasado por los filtros de seguridad.<\/p>\n Esto facilita la identificaci\u00f3n y respuesta a posibles amenazas.<\/p>\n Seguimiento de alertas:<\/strong> Una vez identificado un mensaje sospechoso, ya sea a trav\u00e9s del informe del usuario o de una alerta generada, se recomienda rastrear el ciclo de vida de cada alerta lo antes posible.<\/p>\n La capacidad de Ubicaci\u00f3n de seguimiento en la secci\u00f3n Seguimiento de problemas de la SOC ACM proporciona un marco para registrar, actualizar e informar sobre estas alertas.<\/p>\n An\u00e1lisis exhaustivo de la alerta de phishing:<\/strong> En esta fase, se realizan an\u00e1lisis detallados del correo electr\u00f3nico sospechoso.<\/p>\n Capacidades como An\u00e1lisis de dominio, An\u00e1lisis de hash de archivos\/An\u00e1lisis de archivos y Atributos de correo electr\u00f3nico se utilizan para examinar enlaces, archivos adjuntos y encabezados de correo electr\u00f3nico en busca de signos de actividad maliciosa.<\/p>\n Enriquecimiento de datos:<\/strong> Se utilizan herramientas y servicios basados en API, como VirusTotal, URLscan y EmailRep, para enriquecer los datos y proporcionar informaci\u00f3n adicional sobre la posible amenaza. Los resultados de este enriquecimiento se registran en la ubicaci\u00f3n de seguimiento asociada para documentar los hallazgos.<\/p>\n Interacci\u00f3n del usuario:<\/strong> Se notifica al equipo de seguridad sobre la alerta de phishing y los resultados del an\u00e1lisis, utilizando alertas de chat en plataformas como Slack.<\/p>\n Adem\u00e1s, se informa a los usuarios afectados o que informaron el correo electr\u00f3nico sospechoso sobre el veredicto del an\u00e1lisis, utilizando la capacidad de Notificaci\u00f3n de usuario.<\/p>\n La automatizaci\u00f3n en el SOC no solo implica la ejecuci\u00f3n de acciones t\u00e9cnicas, sino tambi\u00e9n la comunicaci\u00f3n efectiva y la toma de decisiones informadas en todas las etapas del proceso de respuesta a incidentes.<\/p>\n La SOC ACM proporciona una gu\u00eda estructurada para implementar estas capacidades de manera coordinada y eficiente, lo que permite a las organizaciones fortalecer su postura de seguridad y protegerse contra las amenazas cibern\u00e9ticas en constante evoluci\u00f3n.<\/p>\n La fase de remediaci\u00f3n en un proceso de automatizaci\u00f3n SOC es crucial para cerrar la brecha entre la detecci\u00f3n y la respuesta, convirtiendo la informaci\u00f3n recopilada en acciones correctivas efectivas.<\/p>\n Aqu\u00ed se presentan algunas acciones comunes que pueden tomarse seg\u00fan la situaci\u00f3n identificada:<\/p>\n Lista de bloqueo de dominios:<\/strong> Agregar dominios y URLs identificados como sospechosos a una lista de bloqueo para prevenir futuros intentos de acceso desde la red.<\/p>\n Lista de bloqueo de hash de archivos:<\/strong> Incorporar hashes de archivos identificados como maliciosos en una lista de bloqueo para evitar la ejecuci\u00f3n o descarga de archivos comprometidos.<\/p>\n Eliminaci\u00f3n de correo electr\u00f3nico:<\/strong> Eliminar de las bandejas de entrada los correos electr\u00f3nicos relacionados con una campa\u00f1a de ataque de phishing para evitar su apertura o interacci\u00f3n.<\/p>\n Invalidaci\u00f3n de contrase\u00f1a:<\/strong> Cambiar las contrase\u00f1as de los usuarios que hayan proporcionado inadvertidamente credenciales a un sitio de phishing, evitando as\u00ed el acceso no autorizado a las cuentas.<\/p>\n La implementaci\u00f3n gradual y cuidadosa de la automatizaci\u00f3n es fundamental para generar confianza y minimizar riesgos.<\/p>\n Proporcionar enlaces o botones que requieran interacciones manuales para realizar acciones correctivas, junto con la capacidad de mantener listas de dominios y hashes bloqueados para una intervenci\u00f3n r\u00e1pida, ayuda a mitigar errores y garantizar un impacto m\u00ednimo en la operaci\u00f3n general.<\/p>\n Al analizar el proceso desde el inicio hasta la conclusi\u00f3n, se han utilizado una variedad de capacidades de automatizaci\u00f3n cr\u00edticas.<\/p>\n Estas incluyen alertas de phishing, seguimiento de ubicaci\u00f3n, an\u00e1lisis de hashes de archivos, an\u00e1lisis de dominios, atributos de correo electr\u00f3nico, alertas de chat, notificaciones de usuario y listas de bloqueo tanto de dominios como de hashes de archivos.<\/p>\n La implementaci\u00f3n de estas capacidades no solo ayuda en la gesti\u00f3n de ataques de phishing, sino que tambi\u00e9n sienta las bases para abordar una variedad de otros desaf\u00edos de seguridad cibern\u00e9tica, como la detecci\u00f3n de malware o el manejo de inicios de sesi\u00f3n sospechosos.<\/p>\n La personalizaci\u00f3n de la Matriz de Capacidades de Automatizaci\u00f3n del SOC (SOC ACM) est\u00e1 disponible para satisfacer las necesidades espec\u00edficas de cada organizaci\u00f3n.<\/p>\n Esto incluye la adici\u00f3n de nuevas categor\u00edas y capacidades, la reorganizaci\u00f3n seg\u00fan las prioridades, el seguimiento de flujos de trabajo de automatizaci\u00f3n alineados con estas capacidades, la exportaci\u00f3n de configuraciones y la elecci\u00f3n entre modos de visualizaci\u00f3n oscuros o claros.<\/p>\n Adem\u00e1s, la matriz puede ser almacenada localmente en el navegador para mayor privacidad, sin necesidad de iniciar sesi\u00f3n ni rastrear ning\u00fan dato.<\/p>\n El SOC Automation Capability Matrix (SOC ACM) no solo es una herramienta poderosa para mejorar la eficiencia y la efectividad de los equipos de seguridad, sino que tambi\u00e9n sirve como una valiosa herramienta de presentaci\u00f3n de informes para comunicar el valor del programa de automatizaci\u00f3n a partes interesadas clave, incluido el liderazgo de la organizaci\u00f3n.<\/p>\n Al acceder al SOC ACM a trav\u00e9s de GitHub, los equipos pueden visualizar claramente su progreso en el viaje de automatizaci\u00f3n.<\/p>\n Poco despu\u00e9s de implementar algunas capacidades, los equipos pueden comprender qu\u00e9 capacidades est\u00e1n utilizando m\u00e1s, las actividades asociadas y su valor, como el tiempo ahorrado o la reducci\u00f3n del tiempo de respuesta.<\/p>\n Esto les permite compartir resultados con equipos relevantes y decidir qu\u00e9 priorizar a continuaci\u00f3n.<\/p>\n Un estudio de caso ilustrativo es el realizado durante el Tines Roadshow en San Francisco, donde el creador de SOC Automation Capability Matrix, John Tuckner, comparti\u00f3 c\u00f3mo trabaj\u00f3 con una empresa de tecnolog\u00eda financiera para evaluar y mejorar su programa de automatizaci\u00f3n utilizando la matriz.<\/p>\n Seg\u00fan Tuckner, la empresa expres\u00f3 que “La Matriz de Capacidad de Automatizaci\u00f3n nos ayuda a organizar nuestros flujos de trabajo, identificar qu\u00e9 flujos de trabajo nos ahorran m\u00e1s tiempo y resaltar \u00e1reas de oportunidad futuras”.<\/p>\n 25 capacidades implementadas y etiquetadas.<\/p>\n 10 flujos de trabajo que utilizan comandos de barra diagonal de Slack con 2000 ejecuciones.<\/p>\n Los flujos de trabajo de env\u00edo de avisos multifactor se ejecutaron 721 veces para ahorrar 6,5 horas de tiempo al mes.<\/p>\n Explore la gesti\u00f3n de listas de IOC para mejorar la capacidad de respuesta, como “lista de IP”, “lista de dominios” y “lista hash”.<\/p>\n Documente y destaque los esfuerzos realizados en el tiempo ahorrado al utilizar la gesti\u00f3n de casos.<\/p>\n Abordar las alertas distribuidas y la interacci\u00f3n del usuario a trav\u00e9s de Slack, incorporando notificaciones de usuario y respuesta del usuario.<\/p>\n Actualizar el canal de seguridad de Slack y los informes de incidentes para usar un bot de Slack y enrutar informes y preguntas al subequipo correcto.<\/p>\n Notificar a los recursos de emergencia y establecer escaladas cronometradas.<\/p>\n Ampliar la funcionalidad de los comandos de barra diagonal y agregar m\u00e1s acciones de respuesta a trav\u00e9s de la automatizaci\u00f3n de Tines mediante nuestro bot Slack.<\/p>\n Mejorar la recolecci\u00f3n de artefactos y considerar la deshabilitaci\u00f3n del dispositivo MFA.<\/p>\n Ampliar la b\u00fasqueda de activos para incluir no solo puntos finales, sino tambi\u00e9n activos en la nube.<\/p>\n La Matriz de Capacidades de Automatizaci\u00f3n de SOC es un recurso invaluable para los equipos en todas las etapas de su viaje de automatizaci\u00f3n, proporcionando inspiraci\u00f3n para futuras construcciones de automatizaci\u00f3n y un medio para evaluar continuamente su programa de automatizaci\u00f3n.<\/p>\n Si desea explorar la Matriz de Capacidades de Automatizaci\u00f3n de SOC con m\u00e1s detalle, la encontrar\u00e1 en Notion<\/a>, alojada por el equipo de Tines.<\/p>\n <\/p>\n <\/p>\n NO TE PIERDAS EL \u00daLTIMO IT CONNECT SECURE STREAM<\/strong><\/p>\nPerspectivas futuras:<\/h3>\n
<\/a>Estructura de la SOC ACM:<\/h3>\n
C\u00f3mo utilizar la SOC ACM:<\/h3>\n
<\/a>Reflejos:<\/h3>\n
Recomendaciones:<\/h3>\n
Estado futuro: qu\u00e9 har\u00e1n de manera diferente:<\/h3>\n
Por Fernando Corval\u00e1n Experto en Ciberseguridad<\/h5>\n