Introducción a la comprensión de las

métricas del SOC

Hoy en día, las empresas necesitan una solución de seguridad equilibrada que
sea capaz de proporcionar tanto una protección proactiva como una ampliación
adaptable. Las operaciones de los SOC suelen basarse en la gestión de eventos e
información de seguridad (SIEM), que agrega y correlaciona datos de eventos
procedentes de distintas fuentes de datos. Hoy en día, la evolución de las
amenazas exige que el SIEM proporcione una integración flexible con fuentes de
datos de seguridad adicionales, técnicas analíticas emergentes, visualizaciones
avanzadas y herramientas de flujo de trabajo operativo. Uno de los principales
objetivos de la implantación de un SIEM es reducir el tiempo de detección y
respuesta a los incidentes de seguridad. El tiempo hasta la detección es una de
las métricas habituales que se utilizan para medir la eficacia del SOC.

Agregación de datos de seguridad

La mayoría de las empresas utilizan un SIEM para proporcionar informes y análisis
en tiempo real de los eventos de seguridad. El SIEM recopila, clasifica, procesa,
prioriza, almacena e informa de las alarmas al analista de seguridad. Uno de los
principales objetivos del uso de un SIEM es reducir el tiempo necesario para
detectar y contener las amenazas. Por ejemplo, si el portátil de un empleado se
infecta con malware, el portátil infectado puede intentar descubrir otros sistemas
de la red y luego intentar atacar a esos otros sistemas, propagando la infección.
Cada sistema atacado puede estar ejecutando algunos controles de seguridad
basados en host, que pueden informar de la actividad maliciosa al SIEM. El SIEM
puede correlacionar esos eventos individuales en una única alerta que identifique
el sistema infectado original y sus objetivos intentados. A continuación, los
sistemas infectados pueden aislarse de la red hasta que se elimine el malware.

El SIEM puede proporcionar información tanto en alertas en tiempo real como en

informes históricos que resumen el estado de la seguridad a lo largo del tiempo,
normalmente del orden de meses en lugar de días. Esta perspectiva histórica
permite a los analistas de seguridad establecer una línea de base de las
operaciones de su SOC. El SIEM y su almacenamiento back-end deben tener el
tamaño adecuado y rendir a un nivel razonable. Dos factores importantes que
afectan al volumen de datos de una búsqueda son el tamaño total de los datos de
registro procedentes de los distintos sistemas y el rango temporal de la consulta
de búsqueda.

Desplegar un SIEM como proyecto no es tan sencillo como montar una nueva caja
de hardware SIEM y esperar que funcione. Es importante comprender y seguir
todos los pasos adecuados de planificación del despliegue. El alcance, los
requisitos empresariales y las especificaciones de ingeniería son factores que
determinan el éxito del proyecto SIEM.

Las principales funciones de SIEM incluyen:

 Recogida de registros de eventos de fuentes de toda la organización

 Normalización de registros para asignar mensajes de registro de diferentes
sistemas a un modelo de datos común
 Correlación de eventos y registros para acelerar la detección de amenazas
a la seguridad y la reacción ante ellas
 Consolidación de registros de eventos duplicados para reducir el volumen
de datos de eventos a analizar
 Herramientas de elaboración de informes para abordar los requisitos de
elaboración de informes de conformidad con la normativa
El SIEM está pensado para ser el pegamento de varias herramientas de
seguridad. En el mercado existen muchos SIEM de código abierto y de código
cerrado. Los SIEM específicos de un proveedor, como Splunk, también pueden
contener algunos componentes de Código Abierto. Todos los proyectos Splunk de
Código Abierto están alojados en GitHub.

La siguiente figura muestra el SIEM de Splunk. El tablero de mandos de la postura

de seguridad de Splunk ofrece un resumen completo de lo que está ocurriendo en
la empresa, mostrando el número de la diferente categoría de eventos notables. El
SIEM crea un "único panel de cristal" para que los analistas de seguridad
supervisen la empresa
Tiempo hasta la detección
Como se indica en un informe anual de seguridad de Cisco, la estimación actual
del sector para el tiempo hasta la detección (TTD) es de 100 a 200 días, lo que
constituye claramente un plazo inaceptable dada la rapidez con la que los autores
de malware son capaces de innovar. El tiempo que tardan las empresas en
detectar una violación de datos una vez que se produce da a los actores de la
amenaza tiempo de sobra para llevar a cabo la vigilancia y robar los datos
sensibles de una empresa. Los defensores deben adoptar estrategias y aplicar
soluciones que proporcionen visibilidad de las actividades de la red de extremo a
extremo y reduzcan el TTD. Por ejemplo, el CSIRT de Cisco, utilizando una
combinación de personas, procesos (como el proceso de respuesta a incidentes) y
tecnologías (como Cisco Advanced Malware Protection [AMP]), redujo el TTD de
días a horas.
Según otro informe sobre ciberseguridad realizado por el Instituto Ponemon, una
vez que se produce una violación de datos, las empresas de servicios financieros
tardan una media de 98 días en detectar la intrusión en sus redes, y 197 días en el
comercio minorista. A pesar del largo tiempo que transcurre hasta la detección,
también conocido como tiempo de permanencia, el 58% de las personas que
trabajan en finanzas y el 71% de las personas que trabajan en el comercio
minorista afirmaron que no son optimistas sobre la capacidad de su empresa para
mejorar estos resultados en el próximo año.

Aunque existen diversos puntos de vista sobre el TTD, Cisco lo define como la
ventana de tiempo que transcurre entre la primera observación de que un evento
malicioso ha sorteado todas las tecnologías de seguridad y ha llegado a un punto
final, y la detección de una amenaza asociada a ese evento malicioso.

Como parte del proceso de respuesta a incidentes, tras la fase de detección,

deben venir las fases de contención y mitigación. De forma similar al TTD, otras
métricas importantes para medir la eficacia del SOC incluyen el tiempo hasta la
contención y el tiempo hasta la mitigación.

Controles de seguridad Eficacia de la

detección
Unos controles de seguridad eficaces que funcionen en todo el espectro de
ataques pueden ayudar a reducir el TTD. Un control de seguridad eficaz debe
producir eventos positivos verdaderos, pocos eventos positivos falsos y, lo que es
más importante, un mínimo de eventos negativos falsos.

Todas las decisiones de los controles de seguridad pueden clasificarse como una
de las siguientes

 Falso negativo: El control de seguridad no detectó una actividad maliciosa

real. Se debe dar una prioridad muy alta a la minimización de los falsos
negativos, a veces a expensas de una mayor ocurrencia de falsos positivos.
 Falso positivo: El control de seguridad actuó como consecuencia de una
actividad benigna (no maliciosa). Muchos falsos positivos pueden agotar
considerablemente los recursos del SOC.
 Verdadero negativo: El control de seguridad no ha actuado porque no
había actividad maliciosa, lo que representa un funcionamiento normal y
óptimo.
  Verdadero positivo: El control de seguridad actuó como consecuencia de
una actividad maliciosa, lo que representa un funcionamiento normal y
óptimo.

Métricas SOC
Hoy en día, la mayoría de las empresas gastan más de 100.000 millones de
dólares anuales en herramientas, procesos y personal de ciberseguridad, pero la
historia ha demostrado que el gasto no siempre significa resultados seguros. Un
SOC eficaz centrado en las amenazas consiste en una profunda experiencia con
tecnología de vanguardia, datos de inteligencia de seguridad líderes y análisis
avanzados para detectar e investigar las amenazas con gran velocidad, precisión
y enfoque.

 Rapidez: Una detección más rápida y una mitigación selectiva reducen el

tiempo medio de respuesta.
 Enfoque: Una mayor fidelidad reduce los falsos positivos y garantiza una
contención adecuada y recomendaciones procesables para la corrección.
 Precisión: La supervisión y la investigación continuas, además de la
captura completa de paquetes, iluminan los puntos ciegos de la seguridad.T
Entre las razones para utilizar métricas para definir y medir la eficacia de los
SOC se incluyen las siguientes:
Normalmente, el trabajo del CSO consiste en encontrar el modelo de informe
adecuado para medir e informar de la eficacia de las operaciones y el valor del
SOC que se ajuste a la organización. Las diferentes métricas que se utilicen para
medir el SOC deben ser lo más específicas, mensurables, alcanzables,
pertinentes y oportunas posible. Una métrica es un conjunto de mediciones que
producen una imagen cuantitativa de algo a lo largo del tiempo.

Con el tiempo y a medida que maduran las operaciones del SOC, el tiempo medio
de detección debería empezar a tender a la baja, como se muestra en la figura. Un
descenso continuado del TTD es una correlación directa de un SOC exitoso y
maduro. Pueden pasar años antes de que la métrica muestre el éxito; el SOC no
madura de la noche a la mañana.

Las métricas típicas del SOC que demuestran el valor del SOC para el negocio
pueden incluir:

 El TTD medio del incidente tras su ocurrencia

  El tiempo medio para contener el incidente tras su detección
 El tiempo medio para mitigar el incidente tras su contención
 El número de incidentes detectados, contenidos y mitigados
 El porcentaje de incidentes descubiertos mediante las jugadas del libro de
jugadas del SOC
 El número de nuevas jugadas añadidas al libro de jugadas del SOC
 El número de detecciones de ataques de día cero
 La tasa de detección de falsos positivos o verdaderos positivos
 El coste operativo del funcionamiento del SOC
En cuanto a la cronología del incidente, la siguiente figura es otro enfoque lineal
para medir el proceso de respuesta al incidente. El ejemplo incluye las métricas
críticas que más preocupan a los responsables de la toma de decisiones
empresariales. El tiempo para informar del incidente también se incluye en el
tiempo de permanencia.

En conclusión, las métricas son imprescindibles para el éxito de cualquier

organización SOC. Las métricas permiten a los directivos tomar decisiones
basadas en datos y hechos, y permiten eliminar la emoción y las anécdotas de los
procesos críticos de toma de decisiones. Al implantar un SOC que se construya en
torno a las métricas, la dirección podrá mostrar la maduración de la organización y
los procesos, señalar las áreas de interés para la mejora de los procesos,
identificar las lagunas en la prevención y las capacidades de detección y
operativas. Una organización sin un programa de métricas abrirá las posibilidades
de desviar el gasto y, en última instancia, cuando se trata de APT, estas
decisiones pueden provocar un impacto sustancial. Como analista del SOC, su
trabajo debe ayudar al SOC a conseguir las métricas deseadas.