Por Chris Palm, Director de Comunicaciones Corporativas de Intel Security.
El Informe de Amenazas de McAfee Labs: Diciembre de 2016 reveló los resultados de una encuesta que midió el estado de los centros de operaciones de seguridad (SOC). El siguiente es un extracto de este artículo.
Hace unos años, los SOCs parecían estar siguiendo el camino de los dinosaurios, la era de las grandes salas con inmensos monitores y equipos de analistas parecía lista para ser reemplazada por equipos distribuidos, externalizados o disueltos por completo. Si uno no estaba en el Departamento de Defensa o en Wall Street, muchos pensaron, entonces no necesitaba un SOC. Posteriormente los ataques dirigidos y las amenazas internas se trasladaron de las películas y las conspiraciones de gobierno, hacia una realidad cotidiana para las organizaciones. De acuerdo a una encuesta realizada por Intel Security, más de dos tercios (68%) de las investigaciones en 2015 implicaron una entidad específica, ya sea como un ataque externo dirigido o una amenaza interna.
Hoy en día, casi todas las organizaciones comerciales (1.000 a 5.000 empleados) y empresariales (más de 5.000 empleados) tienen algún tipo de SOC, y la mitad de ellas lo han tenido una durante más de un año, según el último estudio de investigación de Intel Security. Conforme el número de incidentes continúa aumentando, las organizaciones de seguridad parecen estar madurando y empleando lo que aprenden para capacitar y mejorar la prevención en un ciclo virtuoso. Por ejemplo, los encuestados documentaron el aumento de sus inversiones en SOCs y lo atribuyeron a incrementos en las investigaciones y a una mejor capacidad para detectar ataques. Quienes informaron una disminución en las investigaciones de incidentes, atribuyeron esta mejora a una protección potencializada y mejores procesos, que realizan las organizaciones maduras como la etapa final de una investigación de seguridad.
Estos son algunos de los descubrimientos de un reporte elaborado por Intel Security referente al estado actual sobre los entornos de gestión de seguridad y la capacidad de detección de amenazas, así como las áreas prioritarias para el crecimiento futuro.
Casi nueve de cada 10 organizaciones en este estudio informaron que tenían un SOC interno o externo, aunque las organizaciones comerciales tienen ligeramente menos probabilidades de tener uno (84%) en comparación con las empresariales (91%). Las organizaciones más pequeñas en general están implementando los SOCs un poco más tarde que las organizaciones grandes, ya que sólo el 44% de las organizaciones pequeñas han tenido un SOC por más de 12 meses, mientras que el 56% de los SOCs de empresas grandes han estado presentes durante ese tiempo. La mayoría de los SOCs (60%) actualmente se administran internamente, el 23% operan una mezcla de soporte interno y externo, y el 17% son totalmente externos. De entre las pocas organizaciones que no han establecido un SOC, sólo el 2% de las empresas grandes no tienen planes para hacerlo, frente al 7% de las compañías comerciales pequeñas.
Dentro del 88% de las organizaciones que operan un SOC, la mayoría (56%) informaron que utilizan un modelo multifunción que combina funcionalidades de SOC y de centro de operaciones de red (NOC). Las organizaciones del Reino Unido (64%) y de Alemania (63%) son las que operan más este modelo. Los SOCs dedicados son usados por el 15% de las compañías y son más frecuentes en los Estados Unidos (21%). Los SOCs virtuales son el tercer modelo, también utilizado por alrededor del 15% de los encuestados, seguido por un SOC distribuido o co-gestionado SOC, con 11%. Tan sólo el 2% reportó operar un SOC de comando.
Esta distribución de implementaciones de SOC tiene varias implicaciones. La mayoría operan en el punto de madurez del SOC o después de ese punto, avanzando hacia la meta de una operación de seguridad proactiva y optimizada. Sin embargo, más de una cuarta parte (26%) todavía operan en modo reactivo, con abordajes ad-hoc para operaciones de seguridad, caza de amenazas, y respuesta a incidentes. Esto puede aumentar significativamente los tiempos de detección y respuesta, dejando al negocio expuesto a un mayor riesgo de sufrir daños significativos, así como frente a un mayor costo de limpieza.
Ya sea un incremento en los ataques o mejores capacidades de monitoreo, la mayoría de las empresas (67%) informaron un aumento de los incidentes de seguridad, siendo que el 51% dijo que aumentó un poco, y el 16% dijo que aumentó mucho. Esto es análogo a los descubrimientos del tema clave «robo de información: el quién, el cómo, y la prevención de la fuga de datos» del Informe de Amenazas de McAfee Labs: Septiembre de 2016. Ese estudio de investigación reveló que las organizaciones que cuidaban los datos más estrechamente para detectar fugas, informaron más incidentes de pérdida de datos.
Sólo 7% en general indicaron que los incidentes disminuyeron, y el restante 25% dijeron que permanecieron estables durante el año pasado. Hubo poca variación reportada por país, pero los incidentes se incrementaron a medida que las organizaciones eran más pequeñas, lo que posiblemente indica que los delincuentes han ampliado sus objetivos de ataque. Sólo el 45% de las organizaciones más grandes (más de 20.000 empleados) informaron un aumento, en comparación con el 73% de las más pequeñas (menos de 5.000 empleados).
El pequeño grupo que reportó una disminución en incidentes mayoritariamente (96%) cree que esto se debió a una mejor prevención y a mejores procesos. De aquellos que dijeron que los incidentes aumentaron, a la mayoría le pareció que es debido a una combinación de capacidades de detección mejoradas (73%) y a más ataques (57%).
La mayoría de las organizaciones están abrumadas por las alertas, y el 93% son incapaces de clasificar todas las amenazas. En promedio, las organizaciones son incapaces de investigar adecuadamente el 25% de sus alertas, sin ninguna variación significativa por país o tamaño de compañía. Casi una cuarta parte (22%) sienten que tuvieron la suerte de escapar sin ningún impacto en sus negocios como resultado de no investigar estas alertas. La mayoría (53%) informaron sólo un menor impacto, pero 25% dijeron que sufrieron un impacto en sus negocios moderado o severo como resultado de alertas no investigadas. Las organizaciones más grandes, quizás debido a sus mejores capacidades de monitoreo y niveles de incidentes estables, son más propensas a no declarar impactos en sus negocios (33%).