Los piratas informáticos nunca duermen, entonces, ¿por qué deberían las defensas empresariales? Los actores de amenaza prefieren dirigirse a las empresas durante las horas fuera de horario. Fue entonces cuando pueden contar con menos sistemas de monitoreo de personal de seguridad, retrasando la respuesta y la remediación.
Cuando el superhombre minorista Marks & Spencer experimentó un evento de seguridad durante el fin de semana de Pascua, se vieron obligados a cerrar sus operaciones en lista, que representan aproximadamente un tercio de la ropa y las ventas de viviendas del minorista.
Como la mayoría del personal está fuera durante las horas y descanso, lleva tiempo reunir un equipo de respuesta a incidentes e iniciar contramedidas. Esto les da a los atacantes más tiempo para moverse lateralmente interiormente de la red y causar estragos antiguamente de que el equipo de seguridad reaccione.
Si correctamente no todas las organizaciones pueden estar listas para el personal de un equipo interno durante todo el día, construir un SoC 24/7 sigue siendo una de las formas más robustas y proactivas de proteger contra los ataques fuera de horas. En el resto de esta publicación, exploraremos por qué la vigilancia 24/7 es tan importante, los desafíos de lograrlo y seis pasos prácticos el éxito de SOC 24/7.
Importancia y desafíos de un SOC 24/7
Un SOC es fundamental para la defensa cibernética de una ordenamiento. Desempeña un papel esencia en la detección, la investigación y la respuesta a posibles amenazas durante todo el día, proporcionando detección y resolución de amenazas en tiempo actual. Agregue la automatización, y solo mejoramiento, especialmente cuando todos están fuera celebrando o concentrándose en sus tareas de fin de semana.
Pero ejecutar un SoC 24/7 no es sencillo. Requiere un invariabilidad valentísimo de procesos probados, herramientas avanzadas y profesionales calificados.
La planificación y la automatización adecuadas son esencia
Donde sea que los profesionales de la seguridad no puedan mantenerse al día con las demandas de una superficie de ataque cambiante, la IA puede marcar la diferencia. Yuxtapuesto con las personas y procesos adecuados en su espacio, la IA permite la eficiencia al automatizar la detección de amenazas, lo que resulta en tiempos de respuesta más rápidos y mejoramiento su postura de seguridad común. Veamos la construcción de los procesos correctos y dónde encaja la IA.
Enfoque de 6 pasos para construir un SOC 24/7
Ejecutar un SOC exitoso se reduce a las siguientes seis medidas que su ordenamiento necesitará realizar.
1. Construya una colchoneta específica para su ordenamiento
El establecimiento de un SOC robusto las 24 horas, los 7 días de la semana, comienza con la definición de una empresa y un zona de influencia claros que está en formación con los objetivos comerciales generales. Tener una táctica clara ayuda a determinar los requisitos de cobertura de seguridad.
Como los presupuestos dictarán quién es contratado y qué herramientas de seguridad están integradas, es fundamental para el monitoreo de seguridad 24/7. Dados ejemplos recientes de ataques cibernéticos con consecuencias devastadoras, esto no debería ser difícil.
El mejor maniquí SOC para su negocio dependerá de su perfil de aventura, cumplimiento y requisitos de la industria, y los fortuna disponibles. El zona de influencia y los objetivos del SOC además serán específicos de los negocios y la industria. Por ejemplo, un proveedor de atención médica priorizará la protección de los datos del paciente para certificar el cumplimiento de HIPAA, mientras que un minorista se concentrará en PCI DSS.
Adicionalmente, ya sea que elija un maniquí interno, híbrido o subcontratado, los equipos de seguridad deben utilizar la IA. Puede avanzar su maniquí para optimizar las operaciones de seguridad y ayudar a defenderse de las amenazas en rápida desarrollo. Por ejemplo, un SOC híbrido con estudio SOC con AI puede ser en extremo apto.
2. Construya el equipo correcto y entrenarlos correctamente
Las organizaciones tienen que crear un equipo que estén a la categoría de la tarea de malquistar desafíos de seguridad. Los gerentes de contratación deben centrarse en una combinación de analistas junior y respondedores experimentados, ya que la diversificación ayuda a fomentar la colaboración.
Los equipos de SOC a menudo siguen una estructura de tres niveles de Analistas de nivel 1 para el triaje de alerta; Analistas de nivel 2 responsable de la investigación y la respuesta; y Analistas de nivel 3 para táctica, caza de amenazas avanzadas, detección proactiva y optimización de herramientas de IA. Si los fortuna son limitados, un maniquí de dos niveles además puede ser efectivo: Tier 1 maneja el triaje y la investigación original, mientras que el Nivel 2 adquiere un estudio más profundo, respuesta y funciones estratégicas. Este enfoque aún puede ofrecer una musculoso cobertura con las herramientas y procesos adecuados en su espacio.
Todavía es mejor contratar internamente siempre que sea posible. Desarrolle una tubería de talento interna y un presupuesto para la capacitación y certificación continuas para aquellos que desean mejorar. Por ejemplo, los miembros del equipo pueden instruirse a usar herramientas de IA para aventajar la costosa establecimiento de registros de SIEM y los complejos desafíos de configuración de SOAR.
3. Sea inteligente sobre las rotaciones de turnos para evitar el agotamiento
Se sabe que los equipos de SOC se queman rápidamente. Es importante desarrollar rotaciones de cambios sostenibles con cambios de 8 o 12 horas. Por ejemplo, un equipo de SOC puede trabajar en un horario de 4 contra 4 apagados para mantenerse alerta, mientras que las multinacionales pueden extender los cambios a través de las zonas horarias para someter el aventura de penuria.
Contrata más analistas de los que crees que necesitarás—Man se pagan por turno, y tener un parcialidad asegura que pueda doblar de guisa efectiva, cubrir ausencias inesperadas y someter la presión sobre su equipo central. Este enfoque le brinda flexibilidad sin extender demasiado a su personal.
Los profesionales de la seguridad además necesitan variedad para permanecer las cosas interesantes y mantenerse comprometidos. Entonces, rotar regularmente las responsabilidades como el triaje de alerta, la revisión del obra de jugadas y la caza de amenazas.
Nota: Asegúrese de establecer protocolos de transferencia claros para fomentar los períodos de entrega superpuestos. Esto ayuda a fomentar un entorno de intercambio de contexto entre equipos.
Como la penuria a menudo conduce a un éxodo de personal, la automatización puede desempeñar un papel esencial en la retención de los mejores talentos de seguridad. Use AI para someter la carga de trabajo del equipo, automatizando tareas repetitivas como el estudio de registro o el triaje de phishing.
Los programas de bienestar además pueden ofrecer un gran impulso. Fomentar el invariabilidad entre el trabajo y la vida y el establecimiento de canales de feedback anónima mejorará la retención. Adicionalmente, programen el tiempo de inactividad y fomente los descansos reales. Asegúrese de destacar que no hay razón para trabajar a través de descansos programados a menos que haya un incidente activo.
Por posterior, los miembros del equipo gratificantes y el inspección de victorias son importantes. Estos impulsan la satisfacción gremial, ayudándole a retener el talento.
4. Elija las herramientas correctas
Investigue y elija a fondo las herramientas de seguridad impulsadas por la IA que se ajusten a sus deyección comerciales específicas y requisitos de seguridad. Todavía es imperativo considerar diferentes variables como el costo y la complejidad antiguamente de establecerse en una útil.
Por ejemplo, se sabe que SIEM como Splunk tienen desafíos de escalera y altos costos de encargo de registros. Esto puede ser insostenible en entornos de múltiples nubes. Todavía se sabe que el descubrimiento de ataque de Elastic tiene muchos falsos positivos, lo que obliga a los analistas a validar los resultados manualmente.
Aunque muchas herramientas con IA minimizan el esfuerzo manual, aún requieren una configuración significativa, ajuste de reglas, información de datos y personalización del tablero. Algunas características además pueden requerir que los analistas configuren fuentes de datos e interpreten los resultados. Muchas herramientas SOC son estáticas, con modelos previamente capacitados para solo un puñado de casos de uso.
Los SOAR existentes además requieren una configuración y mantenimiento considerables, mientras que sus libros de jugadas estáticos no pueden instruirse de guisa adaptativa a batallar con nuevas amenazas.
Radiant es una alternativa. Su plataforma adaptativa de AI SoC ingiere, trianges y se intensifica cuando una alerta se considera un serio positivo. Luego responderá rápidamente a las amenazas reales y varios casos de uso de seguridad.
Adicionalmente de ser rentable y no exigir mantenimiento, Radiant se integra en los entornos de los clientes para una remediación de 1 clic o totalmente cibernética (una vez que el equipo de SOC confía en las recomendaciones de Radiant). Adicionalmente, no requiere auditorías o capacitación para mantenerse al tanto del posterior malware.
5. Cultive una civilización de enseñanza continuo
Si correctamente el liderazgo de seguridad debe alentar las autopsias, deben evitar asignar la incumplimiento. Cada evento de seguridad tiene mucho que enseñarnos, y las organizaciones deben juntar activamente esta información en una colchoneta de conocimiento.
El enseñanza continuo es su boleto para mantenerse por delante de las amenazas. Por lo tanto, asegúrese de ofrecer un comunicación valentísimo a la investigación y la capacitación, y las certificaciones de patrocinador como la Certificación GIAC Intrusion Analyst (GCIA) y el profesional ofensivo certificado por seguridad (OSCP).
Cree una civilización de equipo donde los miembros polinizan el conocimiento y creen confianza. Mantenga sesiones informativas regulares de amenazas y simulacros de seguridad (p. Ej., Red Team vs. Blue Team Simulations) para identificar las brechas de procesos y mejorar las rutas de ascensión.
Estos ejercicios ayudarán a cada miembro del equipo a efectuar rápidamente si la ordenamiento es atacada. Todavía es importante practicar la coordinación con los equipos legales, de relaciones públicas y de TI. Los ejercicios de mesa para ejecutivos, es sostener, probar el proceso de toma de decisiones bajo presión, además son una gran idea.
6. Gobierno, métricas e informes
Defina las métricas de éxito, incluidas MTTD/MTTR, precisión de IA y tasa de falsos positivos. La detección más rápida limita el daño, y la respuesta rápida minimiza el impacto de un incidente. Si la IA es muy precisa, ayuda a difundir confianza en la automatización. Al mismo tiempo, los bajos falsos positivos reducen la carga de trabajo de los analistas.
La distribución de carga de trabajo equitativa y el cuerpo de alerta a través de los cambios de SOC aseguran el invariabilidad y reducen el aventura de agotamiento. El seguimiento de las estadísticas de incidentes no es suficiente. Todavía debe monitorear continuamente el bienestar de los empleados: un equipo de SOC saludable significa una suscripción recatado y un rendimiento constante.
Para todo lo precursor, los paneles en tiempo actual y las revisiones mensuales son imprescindibles. Proporcione imágenes siempre que sea posible e incluya inmersiones profundas para los líderes del equipo. Los gerentes de SOC y los analistas de T3 necesitan información integral para optimizar las herramientas, alinear mejor el cumplimiento y el aventura comercial, y gobernar la vigor del equipo.
Conclusión
La sinergia del personal calificado, los procesos simplificados, la IA vanguardia y las herramientas integradas es la fuerza subyacente que mantiene el nombre de su empresa fuera de los titulares.
Un SOC a la IA 24/7 protege a las organizaciones de amenazas persistentes en rápida desarrollo, vanguardia y persistente. Le ayudará a topar con éxito las limitaciones de SIEM, SOAS, EDRS y copilotos de SOC a través de la integración perfecta de la automatización, las personas, los procesos y las herramientas.
La única plataforma adaptativa AI SoC de Radiant agiliza los procesos y empodera a los analistas, cazadores de amenazas y especialistas en seguridad. La automatización sin retraimiento de la plataforma y la precisión del 95% ayudan a los equipos de SOC a aventajar una variedad de obstáculos: el zona de influencia pequeño de EDR, la dependencia del analista de los copilotos, la costosa complejidad de SIEM y los libros de jugadas manuales de SOAR, por nombrar algunos.
Todavía es escalable y rentable con una amplia viso de integraciones.
Si quieres ver a Radiant en actividad, está a solo un clic de distancia. Reserve una demostración hoy.
