Introducción a los modelos y tipos de

despliegue de los SOC

Cada variación de los modelos de despliegue de los SOC tiene por objeto abordar
las preocupaciones de seguridad únicas de una organización. El modelo de SOC
adecuado garantiza que se logre el objetivo y el resultado de seguridad deseados.
Por ejemplo, una organización sanitaria nacional requiere un modelo de
despliegue de SOC más robusto que una tienda de flores en línea. Siga leyendo
para conocer los tipos de SOC y los modelos de despliegue que suelen utilizar las
organizaciones para optimizar sus operaciones de seguridad.

Introducción a los tipos de SOC y

consideraciones sobre el personal
Las organizaciones tienen diversos requisitos de seguridad, y los distintos tipos de
SOC han evolucionado para dar soporte a esta diversidad. En este tema
aprenderá a identificar cada tipo de SOC y a explicar sus características. ¿Qué
tipo de SOC sigue su organización?

Tipos de SOC y consideraciones sobre el

personal
SOC centrado en amenazas
Un SOC centrado en amenazas busca proactivamente amenazas maliciosas en
las redes. Las nuevas amenazas pueden descubrirse a través de vulnerabilidades
identificadas recientemente, servicios de recopilación de inteligencia sobre
amenazas y observaciones notificadas que detallan anomalías maliciosas en
segmentos específicos de la industria.

La detección de ataques e incidentes es una tarea difícil, incluso para el personal

de seguridad altamente capacitado. Para hacer frente a los mayores retos de
seguridad actuales, las organizaciones necesitan un enfoque más sencillo,
escalable y centrado en las amenazas que aborde la seguridad a lo largo de todo
el proceso de ataque: antes, durante y después de un ataque.

Antes de un ataque, se necesita un conocimiento contextual exhaustivo y un

análisis en profundidad del tráfico de la red para aplicar políticas y controles que
defiendan adecuadamente el entorno.
Durante un ataque, es fundamental tener la capacidad de detectar continuamente
la presencia de malware y bloquear las amenazas identificadas.

Después de un ataque, deben tomarse las siguientes medidas:

 Marginar el impacto de un ataque identificando el punto de entrada.

 Determine el alcance del ataque.
 Contenga la amenaza y repare el host infectado.
 Minimice el riesgo de reinfección.

SOC basado en el cumplimiento

Un SOC basado en la conformidad se centra en comparar la postura de
conformidad de los sistemas de red con plantillas de configuración de referencia y
construcciones de sistemas estándar. Este tipo de supervisión detecta los cambios
no autorizados y los problemas de configuración existentes que pueden conducir a
una violación de la seguridad. Normalmente, estos problemas no pueden ser
identificados por las herramientas de seguridad habituales, como los escáneres de
vulnerabilidades, a menos que el problema de configuración sea explotado
activamente. El mejor momento para identificar posibles problemas de seguridad
en la red no es, desde luego, durante una explotación.

Vincular la gestión de riesgos y las prácticas de respuesta a incidentes de una

organización a un proceso automatizado de cumplimiento del sistema es clave
para el éxito de un SOC basado en el cumplimiento. Podrían darse circunstancias
en las que un requisito del sector obligue a aplicar prácticas de seguridad basadas
en estándares, como la evaluación continua con respecto a los puntos de
referencia establecidos por el Centro de Seguridad de Internet (CIS) o el
cumplimiento de la norma PCI DSS 2.0.

SOC basado en operaciones

Un SOC basado en operaciones es una organización centrada internamente que
se encarga de supervisar la postura de seguridad de la red interna de una
organización. Los analistas de nivel 2 y 3 que trabajan en estos SOC investigan,
desarrollan y ponen en funcionamiento técnicas de detección complejas que se
adaptan al entorno de red específico de una organización. Los analistas de nivel 2
pueden desarrollar cadenas de búsqueda basadas en expresiones regulares
(REGEX) altamente personalizadas. Los analistas del SOC de nivel 1 suelen
encargarse de desplegar estas expresiones personalizadas basadas en REGEX
en la solución analítica de gestión de eventos e información de seguridad (SIEM)
de la organización. Un SOC basado en operaciones se centra en mantener la
integridad operativa de la gestión de identidades y las políticas de acceso, las
reglas del sistema de detección de intrusiones y la administración de las reglas de
la lista de control de acceso (ACL) del cortafuegos. El equipo de respuesta a
incidentes de seguridad informática (CSIRT) es el término técnicamente más
preciso que describe un SOC basado en operaciones.

Una reacción típica cuando se busca una solución a un problema de seguridad es

habilitar o configurar múltiples funciones basadas en la seguridad en un dispositivo
de seguridad de red. Sin embargo, es importante comprender que los problemas
de seguridad basados en las operaciones no pueden abordarse plenamente
habilitando al azar características de seguridad aleatorias en un dispositivo. El
riesgo inherente es que el individuo que está implementando estas características
de seguridad puede inadvertidamente configurar mal el dispositivo, lo que puede
eliminar características que están destinadas a proteger a la organización. Abordar
los problemas operativos de una organización requiere soluciones operativas y
competencia operativa.

Introducción a los modelos SOC y sus

consumidores
Las organizaciones tienen diversas prioridades y limitaciones de recursos, y
existen varios modelos de despliegue de SOC que se adaptan mejor a las
necesidades de cada organización. En este tema, aprenderá a identificar cada
modelo de despliegue de SOC y a explicar las características de cada uno. ¿Qué
tipo de modelo de despliegue tiene su organización?
 Los modelos SOC y sus consumidores
Modelo
Descripción Pros Contras Coste
SOC
 Mejor visibilidad  Más caro
In situ, totalmente
 Gestión exclusiva de los datos  Más difícil de contratar y $$$
Interno administrado por la
 Más personalizable retener el talento
organización
 Personal interno dedicado  Implantación más lenta
 Menos visibilidad
 Menos costoso
Virtual  Gestión de datos de
Servicio contratado  Implantación más rápida $
(vSOC) terceros
 Más flexible y vendible
 Menos personalizable
 Detección y respuesta más  Costoso a largo plazo
rápidas  Requiere hardware
Combinación de interno y
Híbrido  Más seguro (par de ojos extra) adicional $$
virtual
 Intercambio de conocimientos  Gestión de datos de
entre el SOC interno y terceros terceros