Ciberseguridad Transformación Outsourcing

Las compañías hoy precisan disponer de un Centro de Operacio-nes de Seguridad (SOC) para poder dar respuesta y recibir un mayor conocimiento sobre el riesgo de la empresa a nivel de Ciber-seguridad.

Pero los modelos de SOC actuales han evolucionado a alternati-vas más eficientes; más allá del despliegue interno de recursos, a través de servicios de seguridad gestionados que reducen el coste y complejidad de operar un SOC propio. A continuación, numera-mos las ventajas y desventajas en un análisis comparativo de dispo-ner de SOC propio o externalizado.

| SOC Interno

Disponer de un equipo interno conocedor del entorno de la corporación es la principal ventaja de disponer de un SOC interno. De esta forma, se hace más ágil la gestión y adaptación de las distin-tas soluciones, además de que los datos de los logs son almacenados por la misma compañía. Una buena estrategia de Ciberseguridad con un equipo de analistas interno puede llegar a ser muy eficiente a largo plazo.

Sin embargo, las desventajas de un SOC propio es su lentitud y coste en muchos aspectos. Conseguir que funcione correctamente en su totalidad requiere de una gran inversión econó-mica tanto en infraestructura, tecnología como en equipo humano. Por otro lado, medir el retor-no de la inversión es muy difícil y retener un personal cualificado supone un desafío para los equipos de recruiting, ya que el equipo de analis-tas debe dedicarse en exclusiva para una misma organización.

SOC. ¿Interno o externo?

© 2 0 1 7 N e c s i a I T C o n s u l ti n g C o p y r i g h t

SOC INTERNO

Ventajas

- Equipo propio- Personalización a medida- Almacenamiento interno de Logs- En una óptima gestión, puede resultar más eficiente.

Desventajas- Implantación a largo plazo- Mayor inversión total (infraestructura, personal, espacio)- Dificultad en el cálculo del ROI- Dificultad para retener talento

Los ataques que hoy en día las organizaciones reciben son cada vez más sofisticados y reiterados.

Principalmente, el uso de diferentes tecnologías de

protección y el incremento cada vez mayor de IoT en las

corporaciones multiplica los puntos de acceso vulnerables que

son foco de cibercriminales.

Ciberseguridad Transformación Outsourcing

© 2 0 1 7 N e c s i a I T C o n s u l ti n g C o p y r i g h t

| SOC Externo

La otra opción planteada es la externalización del servicio de SOC. Consiste en una de las opciones más empleadas y efectivas por lo que hace a este tipo de servicio.

Los modelos MSR y/o MSSP son una alternativa atractiva para las compañías con necesidad de incor-porar un SOC en su estrategia de Ciberseguridad. Su puesta en marcha es casi inmediata, al mismo tiempo que su baja inversión lo posicionan como una opción mucho más económica. El servicio exter-nalizado ofrece mayor flexibilidad y alta escalabili-dad, destacando además que la compañía externa tiene a todo un equipo de analistas y expertos espe-cializados, dedicados al SOC y Ciberseguridad.

Las empresas de servicios externalizados de SOC son compañías que gracias al expertise en los distin-tos sectores pueden ofrecer a las corporaciones un específico conocimiento sobre los métodos y tipos de ciberataques a los que más comúnmente están expuestos consiguiendo así una mayor efectividad y velocidad de reacción. Otra de las ventajas sobre un servicio interno consiste en la retención de talento, ya que la empresa de SOC posee su propio departa-mento de recruiting específico que tiene como obje-tivo constituir al mejor equipo que dé servicio a sus clientes mediante la gestión, la monitorización y el uso actualizado de herramientas avanzadas.

Una de las desventajas principales que un SOC externo puede tener es el desconocimiento sobre el funcionamiento interno y específico del negocio de la empresa, lo que no significa que lo tenga del sector.

SOC EXTERNO

Ventajas

- Disponibilidad casi inmediata- Menor inversión inicial y a largo plazo- Expertise en todos los sectores- Mayor flexibilidad y escalabilidad- Equipo especializado (ahorro en personal)

Desventajas- Conocimiento no específico de la empresa (Sí del sector)- Almacenamiento no local de Logs

Ciberseguridad Transformación Outsourcing

CONTÁCTANOS

info@necsia.es

+34 932 521 285

© 2 0 1 7 N e c s i a I T C o n s u l ti n g C o p y r i g h t

| ProSOC La inmediatez y el ahorro que un servicio gestionado aporta a una empre-sa supone una ventaja más que notable a tener en cuenta, sobre todo si es comparado con el gasto logístico en espacio, tiempo, personal propio y mantenimiento de un SOC construido por la misma empresa. Las empresas deben de ser conscientes de que el concepto de SOC externalizado ha evolucionado de servicios administrados o gestionados de seguridad a un modelo de detección, respuesta y mitigación de incidentes de seguridad.

Hoy en día, la externalización es la opción más realista y común por las grandes corporaciones. Servicios como el de ProSOC de la mano de Necsia y Proficio ofrecen unas ventajas que van más allá, sobre todo al tratarse de un servicio que se ofrece de una manera híbrida en un modelo SaaS.

La infraestructura MultiSOC a nivel global de ProSOC ofrece una perspec-tiva de cobertura 24×7 a cualquier evento de ciberseguridad permitiendo la monitorización, detección y respuesta de un ataque en cualquier lugar del mundo.

El aspecto híbrido modelo SaaS es clave en la solución para permitir la integración con todos los servicios que la empresa ya tenía integrados desplegados con otros proveedores, aportando un valor añadido muy importante a considerar.

Ventajas

Contratación y retención de expertos

Visibilidad de amenazas

Vigilancia 24 x 7

Investigaciones

Respuesta rápida

Inversión inicial

Excelencia operativa

ProSOCFacilidad. El MDR y/o MSSP es un modelo atractivo

Más fuentes de información y machine learning

Facilidad en el despliegue de un modelo 24x7

Analistas de SOC especializados.La mitad de todas las alertas de alta prioridad son el resultado de las investigaciones de analistas SOC

Analistas senior para el servicio de remediación

No. El despliegue está realizado

Cuenta con sistemas de soporte sofisticados, personal capacitado, procedimientos y flujos de

trabajo bien ajustados pueden ayudar a sus clientes a lograr la excelncia operativa

SOC InternoDificultad para atraer / retener perfiles

Sólo se nutre de las fuentes propias del SOC

Desgaste de los recursos propios de la organización para un modelo 24x7

Necesita de un personal suficientemente experto

Necesidad de contar con analistas senior para responder a los ataques

Sí. Necesidad de desplegar un centro de operacio-nes propio

Necesidad de inversión para la actualización de hardware

Ciberseguridad Transformación Outsourcing

| Características clave

Los servicios de MDR se caracterizan de los tradiciona-les MSSPs por:• Están enfocados en la detección de amenazas, espe-

cialmente en las avanzadas capaces de sobrepasar los perímetros existentes de control (firewalls de nueva generación [NGFWs], puertas de entrada a la seguridad de páginas [SGWs], detección de sistemas de intrusión de la red [NIDSs] y de endpoints.• Existe variedad en los tipos de herramientas y los

métodos de detección empleados varían según el uso de logs, el flujo y tráfico de las redes y la actividad en el punto final del cliente. Por ejemplo, algunos clientes adquieren el servicio de monitorización de la seguridad de la red mientras que otros solo confían en la detección de amenazas y generación de logs.• La gestión de eventos de seguridad y las tecnologías

de análisis que utiliza la inteligencia de amenazas y las analíticas avanzadas de datos están en el core de estos servicios, aunque no exclusivamente.• La monitorización 24/7, las alertas y análisis ante los

eventos de seguridad adaptados para el cliente.

• Validación de incidentes y respuesta remota de servi-cios como hunting para hits adicionales en indicadores de compromiso IOCs, ingeniería de malware y consulto-ría en contenido y remediación incluidos en el servicio, sin la necesidad de respuesta de incidentes.• Asistencia con remediación de acciones.

| Dirección del Mercado

Los servicios MDR son un mercado emergente. Existen pocos proveedores que los ofrezcan y muchos de ellos han llegado al mercado en los últimos 2 años. Los existentes, han ido adaptándose de forma progresiva.En los próximos años, un gran número de nuevas com-

pañías, algunas de servicios de MSSP y startups se unirán al mercado de los servicios de MDR. Las compa-ñías que actualmente ofrecen servicios MSSP y decidan mantener su condición, a la larga adoptarán alguna que otra característica similar a la de un MDR llegándose incluso a difuminar la línea que separa ambos tipos de servicio en una expectativa de unos 5 años.

MDR por Gartner

Hoy en día, los servicios de MDR no los ofrecen la mayoría de MSSPs, pero es una tendencia al alza que en 2020 ofrecerán el 50% de los proveedores.

Los proveedores de dichos servicios tienen como objetivo dar soporte a las compañías para mejorar la detección de amenazas y ser capaces de dar respuesta a todo tipo de incidentes eliminando la carga de los clien-tes a tener que resolver cuestiones del estilo “¿Qué método o dispositivo debo usar?” con el objetivo de ser así capaces de monitorizar y saber dar la respuesta correcta y de la manera más segura. Los servicios de MDR están enfocados a un resultado específico del cual destaca la detección de amenazas en un formato 24/7, monitoreado y con alertas, junto a la investigación y respuesta remota ante incidentes de seguridad, incluido en los servicios end-to-end. En un servicio MDR, además, es vital el uso de herramientas de big data para recolectar y almacenar los logs. Con esta técnica se consigue procesar con mayor efectividad una cantidad superior de eventos.

© 2 0 1 7 N e c s i a I T C o n s u l ti n g C o p y r i g h t

Ciberseguridad Transformación Outsourcing

Análisis del Mercado

Los servicios que los proveedores de MDR ofrecen son parecidos a simple vista con los empleados por los MSS: obtener logs y eventos de fuentes relevantes, plataformas de análisis que genera eventos escogidos por analistas 24/7 procedentes del SOC y notificación al cliente. Sin embargo, lo que lo diferencia realmente son las tecnologías y herramientas, estas últimas suficientemente diferentes de los MSS tradicionales.

Algunos proveedores de MDR toman un dispositivo -y host- agnósticos y confieren la responsabilidad al clien-te para hacer frente a la identificación y envío de even-tos provenientes de fuentes relevantes de log hasta la plataforma de gestión y análisis del proveedor. Otros proveedores de MDR tienen una gran cantidad de tecnologías implementadas en el cliente. Dichas tecno-logías suelen ser compuestas por una red de monitori-zación instalado en un host del agente para detectar eventos de interés, proveer el contexto ante los incidentes o ambos. Algunos proveedores dependen de una única herramienta – vía red o host.

Una característica común en los servicios de MDR es enfocarse en las distintas herramientas de Big Data para captar y almacenar logs para el análisis. El uso de plata-formas de Big Data permite la ingesta de mayor variedad de fuentes de log y un mayor volumen de eventos. Los logs no son analizados y normalizados, son obtenidos en bruto para su posterior procesado.

Uno de los diferenciadores clave es la garantía de resul-tado que ofrece en la inteligencia de amenazas y las analíticas avanzadas, como modelos estadísticos y machine learning, para detectar incidentes más allá de la confianza en los métodos tradicionales. Los proveedores de MDR se diferencian además de los MSS por motivos. Uno de esos motivos, por ejemplo, sería que los MSS han operado durante los últimos 15 años enfocados en sus habilidades para abordar detección de amenazas mien-tras que los proveedores de MDR van más allá y se enfo-can en la detección de las amenazas avanzadas. Otra característica es que generalmente los MSSP ofrecen servicios básicos de detección y alerta y es deber del cliente el posterior análisis y correspondiente respuesta.

Tradicionalmente los MSSP solo monitorean el períme-tro del cliente. Sin embargo, las organizaciones están adquiriendo herramientas para monitorizar otras fuen-tes como ahora host, aplicativos, directorios de usuario e identidad y acceso a herramientas de gestión. Los clien-tes, por su contra, se encuentran en situaciones del estilo riesgo-versus-presupuesto con el propósito de conseguir un equilibrio entre seguridad y presupuesto. El MSSP suele tener un coste superior que se incrementa a medida que el volumen de dispositivos a monitorizar aumenta. En caso de no monitorizar por completo, la efectividad es inferior por lo que consecuentemente se pierde efectividad. Los proveedores de MDR tiene la ventaja de contar con herramientas open-source, plata-formas de Big Data y analítica avanzada, que en su conjunto, elimina los límites en los tipos y números de fuentes de log todo ello alimentado por las plataformas de análisis. Fuente: Gartner

Características que definenel estado actual del MDR

Es un mercado dinámico en el que los competidores buscan diferenciarse entre ellos ajustan-do su oferta y su forma de vender el producto.

Mientras que los resultados son los mismos, los métodos de entrega del producto a los clien-tes, el nivel de servicio IR proveí-do y el target de clientes varía.

Se puede decir que los servicios MDR han solapado con MSSPs, con expectación de que los MSSP reaccionarán a estos nuevos proveedores para ajustar sus ofertas y añadir nuevas características.

© 2 0 1 7 N e c s i a I T C o n s u l ti n g C o p y r i g h t

1

2

3

Necsia HeadquarterWTC - Moll de Barcelona, s/nEdif. Sur - PB - Local 1008039 BarcelonaT +34 932 521 285

Necsia MadridGeneral Oraá, 29, 1ªpl.28027 MadridT +34 914 415 677

Necsia Santiago de ChileCerro El Plomo 5680, 197560742 Las Condes T +56 984 093 378

Necsia LimaEnrique Palacios 420, Of.203 MirafloresT +51-947478151