¿Qué es el centro de operaciones de seguridad virtual VSOC?

Centros de operaciones de seguridad se están volviendo esenciales para las grandes empresas. Una organización grande con muchos activos y puntos de interacción con el mundo exterior necesita dedicar al menos parte de su presupuesto de TI al monitoreo de la seguridad.

Las herramientas especializadas necesitan técnicos especializados para ejecutarlas e interpretar sus hallazgos. Por lo tanto, pronto se crea un SOC contratando especialistas en ciberseguridad y proporcionándoles el software necesario para mantener seguro el sistema de TI.

Experimentado técnicos en ciberseguridad tienen una gran demanda, por lo que los salarios que las empresas deben ofrecer para atraer a estas personas siguen aumentando más rápido que los salarios promedio en el sector de TI. En muchos lugares, los salarios altos simplemente no son suficientes para atraer al personal de seguridad adecuado. Las empresas más pequeñas no tienen el presupuesto ni el rendimiento laboral para justificar la contratación de personal de seguridad. Por muchas razones, cada vez resulta más atractivo subcontratar tareas de monitoreo de seguridad, y existen muchas proveedores de servicios gestionados iniciando operaciones de monitoreo de seguridad por cuenta de los clientes.

El término 'virtual' se aplica a muchos servicios de TI y describe un sistema que parece ser interno pero no lo es. Para ver ejemplos de este fenómeno, piense en las redes privadas virtuales y los servidores virtuales. El Centro de Operaciones de Seguridad (SOC) subcontratado parece ser otro departamento del negocio. Sin embargo, no lo es, es un Centro de operaciones de seguridad virtual (vSOC).

Centros de operaciones de seguridad virtuales

Los centros de operaciones de seguridad virtuales pueden ubicarse en cualquier lugar. Esa flexibilidad de ubicación les permite reducir sus costos al establecerse en áreas de alquiler más bajo. Sin embargo, eso no significa necesariamente en ciudades remotas. Esto se debe a que el grupo de talentos Los recursos necesarios para gestionar estos centros tienden a ser más abundantes en las ciudades universitarias. Sin embargo, el vSOC no necesita estar en un espacio de oficinas de alto alquiler en Main Street.

Un vSOC puede estar ubicado en cualquier parte del mundo y atender a clientes de cualquier país. La principal limitación de la base de clientes de cada proveedor de servicios es el idioma del personal de soporte.

Las operaciones principales de los vSOC involucrados software de seguridad de monitoreo . Los centros de operaciones de seguridad virtuales no necesitan acceder a ninguno de los almacenes de datos del cliente para no almacenar datos para el cliente, solo para asegurarse de que no se haga un uso inapropiado de esos datos. Por lo tanto, no surgen problemas de ubicación debido a la legislación, como el GDPR, que prohíbe bloquear un vSOC que busque clientes en cualquier país.

El vSOC no aloja datos y no es un proveedor de SaaS. En cambio, gestiona el software al que el cliente se ha suscrito por separado. En algunos casos, los consultores de vSOC aconsejarán al cliente qué software de monitoreo de seguridad comprar y luego recomendarán el servicio de administración. En otros casos, el proveedor del software de seguridad elegido ofrecerá un servicio de gestión además del paquete SaaS.

No es inusual que el cliente esté ubicado en un lugar, el software del sistema opere en un servidor en un país completamente diferente, el software de monitoreo de seguridad esté alojado en un tercer lugar y el personal de vSOC esté ubicado en otro lugar.

El equipo encargado de monitorear la seguridad del sistema de su empresa no necesita estar compuesto por las mismas personas las 24 horas del día. Incluso si administra su SOC, habrá personal diferente en otros momentos, trabajando en turnos . Los vSOC pueden rotar la responsabilidad de la seguridad de un sitio entre varios centros de datos en todo el mundo en zonas horarias estratégicas. De este modo, el proveedor de servicios puede proporcionar vigilancia las 24 horas sin tener que conseguir que los técnicos trabajen horas insociables.

Configuraciones de seguridad

Aunque tener técnicos en ciberseguridad ubicados remotamente Puede parecer un punto de seguridad débil, pero es todo lo contrario. Las evaluaciones de vulnerabilidad para el sistema protegido se pueden realizar desde una ubicación externa porque esa configuración refleja mejor el escenario en el que los piratas informáticos obtienen acceso a través de Internet.

Cuando el equipo de vSOC accede al software de seguridad residente en la red protegida, las conexiones que utilizan son asegurado . Por lo tanto, el personal de vSOC puede vigilar de forma segura el software de seguridad que opera dentro de la red. Como ya se ha señalado, el sistema de monitoreo de seguridad no necesariamente residirá en la red protegida. En este caso, el sistema de seguimiento tendrá un programa de agente en la red protegida que se comunica con el sistema de monitoreo basado en la nube. Nuevamente, esta comunicación se realizará de forma segura, cifrado conexiones.

Luego, el equipo vSOC obtiene acceso al servicio de vigilancia de seguridad , no la red protegida. Las acciones correctivas generalmente se implementan mediante la orquestación con sistemas de control de acceso residentes que operan en el sistema protegido. Esto significa firewalls, derechos de acceso, sistemas de gestión y dispositivos de red.

Acciones de remediación deben ser activados por la herramienta de monitoreo de seguridad del sistema, como un sistema de prevención de intrusiones o un sistema de prevención de pérdida de datos. Entonces, nuevamente, los equipos de vSOC no necesitan tener acceso directo al sistema protegido, pero sí deben configurar y ajustar el sistema de monitoreo de seguridad.

La parte más importante de un sistema de monitoreo de seguridad es la forma en que está configurado. Supongamos que el reglas de detección y desencadenantes de remediación se crean correctamente. En ese caso, el sistema de monitoreo se encargará de todo el trabajo de supervisión de seguridad, por lo que el proveedor de servicios de seguridad puede utilizar un equipo de técnicos para monitorear muchos sistemas. Con esta táctica, el vSOC puede ofrecer gestión de seguridad del sistema a un costo mucho menor que el que la mayoría de las empresas gastarían al ejecutar su centro de operaciones de seguridad interno.

Contratos VSOC

El contrato de servicios es el elemento clave que viabiliza la subcontratación. Como cliente, usted tiene varias decisiones sobre qué quiere exactamente que haga el vSOC. Por ejemplo, ¿necesita vSOC para administrar continuidad pasos, como duplicar su sistema para proporcionar un entorno de conmutación por error para que su personal pueda seguir trabajando incluso si su servidor se destruye? Otras tareas periféricas que no están directamente categorizadas como monitoreo de seguridad incluyen copias de seguridad de datos y recuperación . Otra podría ser la responsabilidad de gestionar y archivar registros para que estén disponibles para la auditoría de cumplimiento.

tendrás un acuerdo de nivel de servicio adjunto a su contrato con el VSOC que especifica la calidad del servicio y los tiempos de respuesta esperados para diversos eventos. El contrato también debe especificar el nivel esperado de experiencia y nivel de acreditación del personal asignado al monitoreo de seguridad del cliente.

Con el contrato vigente, siempre que cubra la responsabilidad legal por el éxito o fracaso del SOC en la defensa del sistema y la prevención de violaciones de datos, el cliente efectivamente tiene una póliza de seguro contra actividades maliciosas.

Las mejores opciones de vSOC

Como vSOC no toma el control de su sistema ni retiene ningún dato de su empresa, no hay consecuencias a largo plazo que superen una decisión a corto plazo sobre qué proveedor de servicios elegir cuando se buscan servicios de seguridad subcontratados. Es decir; no existe ningún motivo procesal para estar encerrado en un proveedor de vSOC específico.

El hecho de que no necesite el SOC subcontratado para hacerse cargo de sus comunicaciones externas significa menos presión Al elegir un centro de operaciones de seguridad virtual, deshacer una decisión terrible no será un proceso costoso.

Nuestra metodología para seleccionar un centro de operaciones de seguridad virtual

Examinamos el mercado de servicios vSOC y proveedores de seguridad administrada y calificamos los sistemas candidatos según los siguientes criterios:

• Un servicio configurado para garantizar que los técnicos no puedan acceder a sus datos
• Un sistema que ofrece supervisión las 24 horas
• Servicios que pueden proporcionar nuevo software de monitoreo de seguridad, así como opciones para usar con sistemas existentes.
• Flexibilidad en la creación de SLA para tener en cuenta requisitos no estándar
• La capacidad de gestionar una variedad de paquetes de software de monitoreo de seguridad.
• Sin tarifas de instalación ni período de bloqueo
• Buena relación calidad-precio de un proveedor que no intentará agregar cargos inesperados para aumentar la factura.

Si bien normalmente esperamos que los proveedores de software brinden un período de prueba gratuito , eso no es posible con el concepto vSOC. En este caso, está contratando un equipo en lugar de comprar software, y es necesario pagar a las personas.

Por ejemplo, supongamos que ha evaluado varios proveedores de servicios confiables y de gran prestigio que pueden convertirse en su centro de operaciones de seguridad virtual teniendo en cuenta estos criterios de selección.

Aquí está nuestra lista de los cinco mejores proveedores de centros de operaciones de seguridad virtuales:

1. Bajo defensa Este proveedor ofrece una gran flexibilidad en sus planes. El concepto de seguridad central del sistema Under Defense es el SIEM. Under Defense asesora a tu empresa sobre qué software de seguridad (SIEM) instalar e incluso te ayudará a instalarlo. Luego, el equipo de Under Defense toma el control, monitorea el panel del software SIEM y se asegura de que se tomen las medidas adecuadas en caso de que se detecte una infracción. El equipo también administrará los archivos de registro por usted. Under Defense ofrece dos opciones de vSOC: seguridad totalmente administrada y coadministrada. La opción cogestionada es adecuada para empresas que tienen un pequeño equipo de analistas de seguridad in situ.
2. Centro de operaciones de seguridad virtual VerSprite Este servicio es un paquete de seguridad totalmente administrado que incluye un sistema de monitoreo de seguridad. Usted compra el sistema de seguridad y los consultores de VerSprite pueden ayudarlo en ese proceso. Si ya cuenta con su sistema de monitoreo de seguridad, está bien. VerSprite se hace cargo de la ejecución de ese sistema de seguridad y evaluará todas las alertas que produzca. El equipo configura cada notificación y elimina las falsas alarmas. Su equipo de administración del sistema será informado sobre las amenazas reales cuando surjan. Si lo prefiere, puede trabajar con el equipo de VerSprite para configurar respuestas automáticas para que su equipo no tenga que perder tiempo lidiando con tareas de remediación. Además de protegerse contra intrusiones, el equipo de VerSprite tiene experiencia en el monitoreo de la integridad de archivos y la protección de datos.
3. Centro de operaciones de seguridad virtual LightEdge Mientras que otros proveedores de vSOC lo guían a través de su elección de software de monitoreo de seguridad o se hacen cargo de administrar su configuración actual de monitoreo de seguridad, LightEdge funciona con el software IBM QRadar. QRadar es un excelente SIEM basado en poder, y usted podría hacerlo mucho peor. El punto es que el equipo de Light Edge investigó y decidió que QRadar es el mejor sistema que pudieron encontrar. Además, tener todos los clientes en el mismo sistema de monitoreo de seguridad permite a la empresa transferir técnicos de un cliente a otro rápidamente. La supervisión de su sistema se realiza las 24 horas del día, todos los días del año. Al igual que con otras soluciones vSOC, usted puede decidir cuánta automatización de remediación se implementa en el acuerdo. Puede decidir dejar que su gente se encargue de los problemas identificados o dejar que los técnicos de LightEdge se encarguen de ellos.
4. SOC virtual de Redscan El enfoque de este servicio es más un sistema de soporte que una toma de control completa de la gestión de seguridad. Esta opción sería adecuada para una empresa que quiere administrar su SOC interno pero no puede encontrar la calidad adecuada de personal con un alto nivel de experiencia. Al utilizar el SOC como equipo técnico de segunda línea, la empresa cliente puede permitir que su personal del SOC mejore sus habilidades a través de la experiencia. Esta solución es una buena idea para aquellas empresas que se preocupan por la pérdida de control que podría conllevar la subcontratación total de la gestión de seguridad. Esta solución es un enfoque personalizado que involucra a su personal de TI con la orientación de los consultores de Rescan, desde la elección del software de seguridad hasta su instalación, configuración y operación.
5. Operaciones ejecutivas XOVSOC es una propuesta cogestionada que brinda soporte experto y reemplazos fuera de horario para su equipo interno de operaciones de TI. El equipo de Executive Ops tiene su fuente de inteligencia de amenazas que alerta a los técnicos sobre qué nuevo ataque. La primera línea de defensa reside en el software de monitoreo de seguridad del sistema, que detecta comportamientos anormales. Luego, estas alertas se canalizan a un analista de Executive Ops que filtra las falsas alarmas. Finalmente, aquellos eventos realmente preocupantes se canalizan a su equipo, ya sea como notificaciones o como feeds directamente a su sistema de administración de red.