Hoy en día se demora que las empresas tengan al menos entre 6 y 8 herramientas de detección, ya que la detección se considera una inversión standard y la primera radio de defensa. Sin incautación, los líderes de seguridad luchan por acreditar la dedicación de capital a sus superiores en etapas más avanzadas del ciclo de vida de la alerta.
Como resultado, las inversiones en seguridad de la mayoría de las organizaciones son herramientas de detección sólidas y asimétricas combinadas con un SOC con capital insuficientes, su última radio de defensa.
Un estudio de caso nuevo demuestra cómo las empresas con un SOC estandarizado impidieron un sofisticado ataque de phishing que eludió las principales herramientas de seguridad del correo electrónico. En este estudio de caso, una campaña de phishing entre empresas se dirigió a ejecutivos de suspensión nivel en varias empresas. Ocho herramientas de seguridad de correo electrónico diferentes en estas organizaciones no lograron detectar el ataque y los correos electrónicos de phishing llegaron a las bandejas de entrada de los ejecutivos. Sin incautación, el equipo SOC de cada ordenamiento detectó el ataque inmediatamente luego de que los empleados informaron sobre los correos electrónicos sospechosos.
¿Por qué las ocho herramientas de detección fallaron de guisa idéntica cuando el SOC tuvo éxito?
Lo que todas estas organizaciones tienen en global es una inversión equilibrada a lo desprendido del ciclo de vida de las alertas, que no descuida su SOC.
Este artículo examina cómo trastornar en el SOC es indispensable para las organizaciones que ya han asignado importantes capital a herramientas de detección. Por otra parte, una inversión SOC equilibrada es crucial para maximizar el valencia de sus inversiones en detección existentes.
Las herramientas de detección y el SOC operan en universos paralelos
Comprender esta desconexión fundamental explica cómo surgen las brechas de seguridad:
Las herramientas de detección funcionan en milisegundos. Deben tomar decisiones instantáneas sobre millones de señales todos los días. No tienen tiempo para matices; la velocidad es esencial. Sin él, las redes se paralizarían, ya que cada correo electrónico, archivo y solicitud de conexión se retendría para su exploración.
Las herramientas de detección se acercan. Son los primeros en identificar y aislar amenazas potenciales, pero carecen de una comprensión del panorama más amplio. Mientras tanto, los equipos SOC operan con una horizonte de 30.000 pies. Cuando las alertas llegan a los analistas, tienen poco de lo que carecen las herramientas de detección: tiempo y contexto.
En consecuencia, el SOC aborda las alertas desde una perspectiva diferente:
- Pueden analizar patrones de comportamiento, como por qué un ejecutor inicia sesión repentinamente desde una dirección IP de un centro de datos cuando normalmente trabaja desde Londres.
- Pueden unir datos entre herramientas. Pueden ver un dominio de correo electrónico de reputación limpia anejo con intentos de autenticación posteriores e informes de favorecido.
- Pueden identificar patrones que sólo tienen sentido cuando se ven en conjunto, como la focalización monopolio en ejecutivos financieros combinada con tiempos que se alinean con los ciclos de salario.
Tres riesgos críticos de un SOC con financiación insuficiente
En primer lado, puede hacer que sea más difícil para el liderazgo ejecutor identificar la raíz del problema. Los CISO y los responsables del presupuesto de las organizaciones que implementan diversas herramientas de detección a menudo asumen que sus inversiones los mantendrán seguros. Mientras tanto, el SOC vive esto de guisa diferente, abrumado por el ruido y sin capital para investigar adecuadamente las amenazas reales. Oportuno a que el desembolso en detección es obvio, mientras que los problemas del SOC ocurren a puerta cerrada, a los líderes de seguridad les resulta difícil demostrar la privación de una inversión adicional en su SOC.
En segundo lado, la desigualdad abruma la última radio de defensa. Las importantes inversiones en múltiples herramientas de detección producen miles de alertas que inundan el SOC todos los días. Con SOC sin fondos suficientes, los analistas se convierten en porteros que enfrentan cientos de tiros a la vez, obligados a tomar decisiones en fracciones de segundo bajo una inmensa presión.
En tercer lado, socava la capacidad de identificar amenazas matizadas. Cuando el SOC se ve abrumado por las alertas, se pierde la capacidad de realizar un trabajo de investigación detallado. Las amenazas que escapan a la detección son aquellas que las herramientas de detección nunca detectarían en primer lado.
De soluciones temporales a operaciones SOC sostenibles
Cuando las herramientas de detección generan cientos de alertas diariamente, unir algunos analistas de SOC más es tan efectivo como intentar exceptuar un barco que se hunde con un balde. La alternativa tradicional ha sido la subcontratación a MSSP o MDR y la asignación de equipos externos para manejar el desbordamiento.
Pero para muchos, las compensaciones siguen siendo demasiadas: altos costos continuos, investigaciones superficiales de analistas que no están familiarizados con su entorno, demoras en la coordinación y comunicación interrumpida. La subcontratación no soluciona el desequilibrio; simplemente transfiere la carga a otra persona.
Hoy en día, las plataformas AI SOC se están convirtiendo en la opción preferida para las organizaciones con equipos SOC eficientes que buscan una posibilidad competente, rentable y escalable. Las plataformas AI SOC operan en la capa de investigación donde ocurre el razonamiento contextual, automatizan la clasificación de alertas y muestran solo incidentes de entrada fidelidad luego de asignarles contexto.
Con la ayuda de AI SOC, los analistas ahorran cientos de horas cada mes, ya que las tasas de falsos positivos a menudo caen en más del 90%. Esta cobertura automatizada permite a los pequeños equipos internos congratular cobertura las 24 horas del día, los 7 días de la semana, sin personal adicional ni subcontratación. Las empresas presentadas en este estudio de caso invirtieron en este enfoque a través de Radiant Security, una plataforma AI SOC agente.
Dos formas en las que la inversión en SOC da sus frutos, ahora y en el futuro
- Las inversiones en SOC hacen que el costo de las herramientas de detección valga la pena. Sus herramientas de detección son tan efectivas como su capacidad para investigar sus alertas. Cuando el 40 % de las alertas no se investigan, no se obtiene el valencia total de cada útil de detección que posee. Sin suficiente capacidad SOC, está pagando por capacidades de detección que no puede utilizar por completo.
- La perspectiva única de la última radio será cada vez más crítica. El SOC será cada vez más esencial a medida que las herramientas de detección fallen con veterano frecuencia. A medida que los ataques se vuelven más sofisticados, la detección necesitará más contexto. La perspectiva del SOC significará que sólo ellos podrán conectar estos puntos y ver el panorama completo.
3 preguntas para orientar su próximo presupuesto de seguridad
- ¿Su inversión en seguridad es simétrica? Comience evaluando su asignación de capital para detectar desequilibrios. El primer indicio de seguridad asimétrica es tener más alertas de las que su SOC puede manejar. Si sus analistas están abrumados por las alertas, significa que su radio exterior está superando a su radio trasera.
- ¿Es su SOC una red de seguridad calificada? Todo líder del SOC debe preguntarse: si la detección defecto, ¿está el SOC preparado para detectar lo que pasa? Muchas organizaciones nunca preguntan esto porque no consideran que la detección sea responsabilidad del SOC. Pero cuando las herramientas de detección fallan, las responsabilidades cambian.
- ¿Está subutilizando las herramientas existentes? Muchas organizaciones descubren que sus herramientas de detección producen señales valiosas que nadie tiene tiempo de investigar. La desigualdad significa carecer de la capacidad de realizar sobre lo que ya posee.
Conclusiones esencia de Radiant Security
La mayoría de los equipos de seguridad tienen la oportunidad de asignar capital para maximizar el retorno de la inversión de sus inversiones actuales en detección, respaldar el crecimiento futuro y mejorar la protección. Las organizaciones que invierten en herramientas de detección pero descuidan su SOC crean puntos ciegos y agotamiento.
Radiant Security, la plataforma SOC de IA agente destacada en el estudio de caso, muestra éxito a través de una inversión equilibrada en seguridad. Radiant trabaja en la capa de investigación de SOC, clasificando automáticamente cada alerta, reduciendo los falsos positivos en aproximadamente un 90% y analizando las amenazas a la velocidad de la máquina, como un analista superior. Con más de 100 integraciones con herramientas de seguridad existentes y funciones de respuesta con un solo clic, Radiant ayuda a los equipos de seguridad eficientes a investigar cualquier alerta, conocida o desconocida, sin privación de aumentos imposibles de personal. Radiant Security pone las capacidades SOC de nivel empresarial a disposición de organizaciones de cualquier tamaño.
