DETECCIÓN Y RESPUESTA A INCIDENTES
SIEM, SOAR & SOC
CISO AG garantiza la capacidad de detección de incidentes del servicio proporcionando tres pilares básicos a sus clientes. Una solución de gestión de eventos e información de seguridad (SIEM), una solución de orquestación de seguridad y respuesta automatizada (SOAR) y un centro de operaciones de seguridad (SOC) como servicio. Las dos soluciones técnicas y el servicio combinados con los mejores analistas e ingenieros de seguridad y una década de experiencia constituyen la columna vertebral de nuestro servicio gestionado.
VISIÓN GENERAL
SIEM
GESTIÓN DE EVENTOS E INFORMACIÓN DE SEGURIDAD
CISO AG ofrece diferentes opciones utilizando una solución SIEM para recopilar, agregar y correlacionar eventos de seguridad (logs) e información. Para prestar el servicio, podemos utilizar un sistema SIEM ya implementado en la organización; por lo tanto, se puede ahorrar el coste de la licencia y la implementación. Si la organización no ha implantado una solución SIEM, pero desea hacerlo, podemos prestar un servicio integral, desde la definición de los requisitos hasta la selección, pasando por la implantación técnica y el funcionamiento BAU, ya sea en las instalaciones o en la nube.
Nuestros ingenieros certificados tienen experiencia con más de una docena de proveedores SIEM diferentes. La tercera opción es utilizar nuestra plataforma SIEM gestionada e incorporar la organización a la plataforma. Nuestra plataforma es una solución sofisticada donde los datos de cada inquilino están separados, y es altamente escalable, capaz de procesar un gran número de eventos y correlación. Cientos de fuentes de recopilación de registros son compatibles por defecto, y podemos crear analizadores y agregadores personalizados.
Las tres opciones funcionan y son viables, altamente personalizables a las necesidades de la organización. Una parte permanece inalterable: la experiencia de nuestro consultor utilizando la solución y sacándole el máximo partido, definiendo casos de uso, alertas y playbooks para diferentes escenarios de detección de incidentes.
SOAR
ORQUESTACIÓN DE LA SEGURIDAD Y RESPUESTA AUTOMATIZADA
Las soluciones de Orquestación de Seguridad y Respuesta Automatizada son una de las últimas herramientas en la caja de herramientas de la ciberdefensa. El número de eventos marcados en los sistemas SIEM es cada vez mayor, ya que cada vez más dispositivos, soluciones y servicios SaaS se integran en el sistema SIEM.
La herramienta SOAR se ha creado para proporcionar análisis y respuestas a eventos basados en IA y comportamiento, lo que permite al analista de seguridad centrarse en investigaciones detalladas. El objetivo principal de la solución es proporcionar respuestas automatizadas a eventos de bajo nivel.
Un ejemplo sencillo del uso del conjunto de herramientas SOAR, el cortafuegos de borde o IDPS registra un escaneado de puertos puntual, que normalmente se considera ruido de fondo para un analista de seguridad. Sin embargo, si la dirección IP pertenece a un mal actor conocido, esto podría ser una alerta temprana de un futuro ataque. Una de las mejores prácticas es bloquear este rango de direcciones IP y cualquier otro rango de direcciones IP conocido asociado con el malhechor.
Normalmente, este proceso implicaría que el analista de seguridad verificara al actor malicioso, enviara una solicitud de cambio para bloquear las direcciones IP en el cortafuegos o cortafuegos, y esperara la confirmación del equipo de gestión de red de que el rango de IP está bloqueado. Como podemos ver, esto podría ser un proceso largo, especialmente en una organización más grande con una estricta política de gestión de cambios. Mientras que con una solución SOAR, todo está automatizado, y el papel del analista de seguridad es supervisar y verificar los resultados.
Es posible crear (orquestar) flujos de trabajo automatizados con la pila de herramientas, como crear un host que conozca las vulnerabilidades, abrir un ticket en el sistema de tickets e inscribir el host en el siguiente ciclo de parches. El objetivo de una solución SOAR es integrar los eventos y respuestas de seguridad con el conjunto más amplio de herramientas de TI internas y externas. SOAR figura en la lista de tecnologías emergentes de Gartner.
SOC
CENTRO DE OPERACIONES DE SEGURIDAD
En las dos últimas décadas, los centros de operaciones de seguridad, que han evolucionado a partir de los tradicionales centros de operaciones de red, se han convertido en una parte fundamental de las operaciones de seguridad de las organizaciones. Hoy en día, es imposible imaginar una empresa que se preocupe por la seguridad y la privacidad de la información sin un SOC o un servicio de SOC gestionado.
Los terceros pilares de la detección de incidentes de CISO AG son el grupo de analistas de seguridad, jefes de equipo y gestores de servicios cuidadosamente seleccionados que utilizan décadas de experiencia en la prestación de un servicio excelente. Para el servicio gestionado, el equipo del SOC se incorpora a la organización definiendo la lista de fuentes de eventos, estableciendo la base de los eventos habituales y el flujo de tráfico, identificando los eventos de interés y creando casos de uso de SIEM y manuales SOAR como parte del proceso de respuesta a incidentes. Forma parte del proceso definir indicadores clave de rendimiento (KPI), acuerdos operativos y de nivel de servicio.
El servicio SOC puede prestarse in situ, utilizando la plataforma y las soluciones de CISO AG, fuera de las instalaciones, prestando un servicio ejecutado a distancia, o podemos ejecutar parcial o totalmente el servicio SOC interno aportando nuestra experiencia y recursos humanos.
