El Centro de Operaciones de Seguridad (SOC, por sus siglas en inglés) se encarga de monitorear, reportar y mitigar incidentes al momento de una alerta de ciberseguridad. Llamamos eventos a cualquier tipo de incidente. La manera de capturar esto es mediante un monitoreo constante de los registros que generan cada servicio, sistema operativo, Firewall y cualquier otro dispositivo que genere actividad. Se requiere una buena implementación de un SIEM (Sistema de seguridad y evento centralizado) con el fin de poder visualizar una red completa de una infraestructura tecnológica.
¿Cómo podemos saber si el SOC realiza un buen trabajo? Es importante entender que un buen sistema significa que puede ser auditado. Las pruebas de intrusión externa nos muestran cómo un ciberdelincuente puede acceder a la infraestructura interna desde el Internet, en tanto que una prueba de intrusión interna nos permite visualizar qué capacidad tiene el ciberdelincuente al momento de entrar en una red interna.
Ahora veamos el escenario diferente, en el que un ciberdelincuente se apodera de una máquina crítica a través de un correo phishing utilizando una vulnerabilidad día cero -una vulnerabilidad aun no publicada-. El trabajo aquí depende del SOC para poder identificar la computadora infectada dentro de una red interna.
En este escenario, cada minuto es valioso por el simple hecho de que el atacante podrá extraer información sensible y/o ejecutar algún tipo de programa maligno, como Ransomware. Un buen SOC minimizará el impacto de un incidente como el que acabamos de mencionar.
Ahora que entendemos el importante rol de un SOC podemos entender cómo comprobar su trabajo. También es importante entender que la razón de esta auditoría no solamente apunta a medir el SOC sino también verificar que exista una buena implementación del SIEM.