SOC Automation Capability Matrix (SOC ACM): Revolucionando la Ciberseguridad 2024

SOC Automation Capability Matrix, la innovadora herramienta de Tines y John Tuckner para potenciar la eficacia en la respuesta a incidentes.



En un panorama donde la ciberseguridad se vuelve cada vez más compleja y desafiante, la necesidad de una respuesta ágil y efectiva ante los incidentes es primordial.


Con este objetivo en mente, John Tuckner y el equipo de la reconocida plataforma de automatización y flujo de trabajo, Tines, han lanzado la SOC Automation Capability Matrix (SOC ACM).


Esta novedosa matriz de capacidades de automatización no solo representa un hito significativo en la evolución de la seguridad cibernética, sino que también ofrece un enfoque estructurado y completo para comprender y mejorar las capacidades de automatización en los equipos de operaciones de seguridad (SOC).


¿Qué es SOC ACM?

La SOC Automation Capability Matrix es mucho más que una herramienta; es un marco estratégico diseñado meticulosamente para empoderar a los equipos de seguridad con el conocimiento y las capacidades necesarias para enfrentar los desafíos de seguridad más exigentes.


¿Cómo funciona?

Al centrarse en la evaluación de las capacidades de automatización, SOC ACM permite a los equipos de operaciones de seguridad identificar áreas de mejora y optimización en su infraestructura de seguridad.


Utilizando un enfoque sistemático, los profesionales pueden analizar sus procesos de automatización existentes, identificar brechas y definir objetivos claros para mejorar la eficiencia y la eficacia de sus operaciones.


Beneficios clave:

Comprensión profunda de las capacidades de automatización: SOC ACM proporciona una visión detallada de las capacidades de automatización de un SOC, lo que permite una evaluación precisa de su madurez y efectividad.


Optimización de recursos: Al identificar áreas de mejora, los equipos pueden asignar recursos de manera más efectiva, maximizando el impacto de la automatización en la respuesta a incidentes.


Mejora continua: SOC ACM no solo es una herramienta estática, sino un marco dinámico que facilita la mejora continua. Los equipos pueden establecer objetivos de mejora y realizar un seguimiento de su progreso a lo largo del tiempo.


Perspectivas futuras:

La SOC Automation Capability Matrix representa un paso adelante en el campo de la seguridad cibernética, pero también es un indicador de las tendencias futuras.


Con la creciente sofisticación de las amenazas cibernéticas, la automatización se vuelve no solo deseable, sino indispensable.




SOC ACM marca el comienzo de una era en la que la respuesta a incidentes de seguridad se basa en la inteligencia, la agilidad y la eficiencia.


SOC ACM es más que una herramienta; es un catalizador para la transformación en la seguridad cibernética.


Con su enfoque estructurado y su capacidad para impulsar la mejora continua, esta innovación promete llevar la seguridad cibernética a nuevas alturas, fortaleciendo la resiliencia de las organizaciones en un mundo digitalmente interconectado.


Desde su lanzamiento en enero de 2023, la SOC Automation Capability Matrix (SOC ACM) ha estado en el centro de atención de la comunidad de seguridad cibernética.


Esta herramienta personalizable e independiente del proveedor ha sido elogiada y compartida por destacados profesionales de la industria, incluyendo al ingeniero de Airbnb, Allyn Stott, durante su charla en BSides y Black Hat, titulada “Cómo aprendí a detenerme a preocuparme y construir un programa moderno de detección y respuesta”.


Comparada con marcos establecidos como MITRE ATT&CK y RE&CT, la SOC ACM ha ganado reconocimiento por su enfoque único en la automatización de seguridad.


Un usuario la describió como un posible estándar para la clasificación de automatizaciones SOAR, similar al marco RE&CT pero con un enfoque más específico en la automatización.


Lo que hace que la SOC ACM sea especialmente notable es su versatilidad y adaptabilidad. Ha sido adoptada por una variedad de organizaciones, desde empresas de tecnología financiera hasta proveedores de seguridad en la nube, como base para evaluar y optimizar sus programas de automatización de seguridad.


Su capacidad para identificar oportunidades de automatización y ofrecer una visión clara de las capacidades del equipo de operaciones de seguridad ha demostrado ser invaluable en un entorno de amenazas cada vez más complejo.


Con el respaldo de líderes de la industria y la confianza de empresas líderes en tecnología, la SOC Automation Capability Matrix está estableciendo un nuevo estándar en la automatización de seguridad cibernética.


Su impacto ya se está sintiendo en la comunidad de seguridad, donde está allanando el camino hacia programas de detección y respuesta más efectivos y adaptativos en un mundo digital en constante evolución.


La Matriz de Capacidades de Automatización del SOC (SOC ACM) es una herramienta esencial para los equipos de operaciones de seguridad que desean fortalecer su capacidad de respuesta ante incidentes de ciberseguridad de manera proactiva.


A diferencia de simplemente ofrecer una lista estática de casos de uso específicos relacionados con un producto o servicio en particular, la SOC ACM adopta un enfoque más amplio y estratégico.


En su núcleo, la SOC ACM es un conjunto interactivo de técnicas diseñadas para permitir a los equipos de seguridad comprender y aprovechar al máximo las capacidades de automatización disponibles.


Al no estar atada a ningún proveedor en particular, esta matriz ofrece una visión neutra y versátil de lo que es posible con la automatización de la seguridad. Es una guía tanto para principiantes como para equipos más avanzados.


Para los equipos nuevos en el campo de la automatización de seguridad, la SOC ACM proporciona una base sólida para comprender el potencial de la automatización y cómo puede aplicarse a los desafíos comunes de la ciberseguridad.


Por otro lado, para los equipos más experimentados, la matriz sirve como una fuente continua de inspiración para futuras implementaciones. Además, actúa como un barómetro para medir el éxito de las implementaciones existentes y como un medio para informar los resultados.


Es importante destacar que la SOC ACM es independiente del proveedor, lo que significa que se puede implementar y adaptar en una variedad de entornos de seguridad.


Sin embargo, se integra perfectamente con plataformas como Tines, que fue desarrollada específicamente por profesionales de la seguridad para ayudar a automatizar los procesos de misión crítica en seguridad.


Esta combinación permite una implementación más fluida y eficiente de las capacidades de automatización identificadas a través de la matriz.


En resumen, la Matriz de Capacidades de Automatización del SOC no solo proporciona una hoja de ruta para la automatización de la seguridad, sino que también fomenta la innovación continua y la mejora en la respuesta a incidentes de ciberseguridad.


Es una herramienta esencial en el arsenal de cualquier equipo de seguridad que busque mantenerse un paso adelante en un paisaje digital en constante evolución.


La Matriz de Capacidades de Automatización del SOC (SOC ACM) es una herramienta estructurada que permite a los equipos de operaciones de seguridad comprender y aplicar eficazmente la automatización en su infraestructura.


Para entender cómo funciona, desglosaremos su estructura y proporcionaremos ejemplos prácticos de su aplicación.


Estructura de la SOC ACM:

La SOC ACM se organiza en categorías que contienen distintas capacidades de automatización. Cada capacidad está compuesta por los siguientes elementos:


Descripción: Una breve explicación general de la función de la capacidad en cuestión.


Técnicas: Ideas independientes de la tecnología sobre cómo implementar la capacidad en cuestión.


Ejemplos: Plantillas de flujo de trabajo relevantes de la biblioteca Tines que ilustran la aplicación práctica de la capacidad.


Referencias: Otros recursos o investigaciones que contribuyen a la comprensión y aplicación de la capacidad.


El marco se lee de izquierda a derecha y de arriba a abajo dentro de las categorías, lo que facilita la comprensión y navegación.


Aunque no hay opiniones predefinidas sobre qué capacidades ofrecen el mayor valor o son más fáciles de implementar, la matriz se adapta a las necesidades y prioridades específicas de cada organización.


Cómo utilizar la SOC ACM:

Para ilustrar cómo utilizar la SOC ACM, consideremos un ejemplo práctico: la respuesta ante phishing. Muchas organizaciones enfrentan la constante amenaza de ataques de phishing y buscan automatizar sus procesos de detección y respuesta.




A continuación, se presentan algunos pasos comunes que podrían formar parte de una investigación de phishing rutinaria:


Recepción de un correo electrónico o alerta de phishing.


Notificación al equipo de seguridad para su procesamiento.


Creación de un ticket para seguimiento y registro del análisis.


Revisión de los elementos del correo electrónico, incluidos adjuntos, enlaces y encabezados.


Eliminación del correo electrónico sospechoso y actualización de listas de bloqueo.


Notificación al destinatario con una actualización de estado.


Dentro de la matriz de capacidades, estas acciones específicas se encontrarían en la sección correspondiente, como “Manejo de alertas”.


Se mencionaría que muchas organizaciones implementan herramientas como puertas de enlace de seguridad de correo electrónico para evitar la entrega de correos sospechosos y generar alertas de campañas de ataque que podrían automatizarse.


La SOC ACM no solo proporciona una visión general de las capacidades de automatización disponibles, sino que también guía a los equipos de seguridad en la implementación práctica de estas capacidades.


Al utilizarla como referencia, las organizaciones pueden optimizar sus procesos de respuesta a incidentes, mejorar la eficiencia operativa y fortalecer su postura de seguridad cibernética en general.


La automatización en el ámbito de la seguridad operativa (SOC) implica una serie de acciones coordinadas y automatizadas para hacer frente a las amenazas cibernéticas de manera eficiente y efectiva.


A continuación, analizaremos cómo las capacidades de automatización se aplican en diferentes etapas de un escenario de detección y respuesta ante un ataque de phishing, utilizando la Matriz de Capacidades de Automatización del SOC (SOC ACM) como guía:


Creación de bandeja de entrada específica: La capacidad implica la configuración de una bandeja de entrada dedicada para que los usuarios puedan reenviar fácilmente correos electrónicos de phishing que hayan pasado por los filtros de seguridad.


Esto facilita la identificación y respuesta a posibles amenazas.


Seguimiento de alertas: Una vez identificado un mensaje sospechoso, ya sea a través del informe del usuario o de una alerta generada, se recomienda rastrear el ciclo de vida de cada alerta lo antes posible.


La capacidad de Ubicación de seguimiento en la sección Seguimiento de problemas de la SOC ACM proporciona un marco para registrar, actualizar e informar sobre estas alertas.


Análisis exhaustivo de la alerta de phishing: En esta fase, se realizan análisis detallados del correo electrónico sospechoso.


Capacidades como Análisis de dominio, Análisis de hash de archivos/Análisis de archivos y Atributos de correo electrónico se utilizan para examinar enlaces, archivos adjuntos y encabezados de correo electrónico en busca de signos de actividad maliciosa.


Enriquecimiento de datos: Se utilizan herramientas y servicios basados en API, como VirusTotal, URLscan y EmailRep, para enriquecer los datos y proporcionar información adicional sobre la posible amenaza. Los resultados de este enriquecimiento se registran en la ubicación de seguimiento asociada para documentar los hallazgos.


Interacción del usuario: Se notifica al equipo de seguridad sobre la alerta de phishing y los resultados del análisis, utilizando alertas de chat en plataformas como Slack.


Además, se informa a los usuarios afectados o que informaron el correo electrónico sospechoso sobre el veredicto del análisis, utilizando la capacidad de Notificación de usuario.


La automatización en el SOC no solo implica la ejecución de acciones técnicas, sino también la comunicación efectiva y la toma de decisiones informadas en todas las etapas del proceso de respuesta a incidentes.


La SOC ACM proporciona una guía estructurada para implementar estas capacidades de manera coordinada y eficiente, lo que permite a las organizaciones fortalecer su postura de seguridad y protegerse contra las amenazas cibernéticas en constante evolución.


La fase de remediación en un proceso de automatización SOC es crucial para cerrar la brecha entre la detección y la respuesta, convirtiendo la información recopilada en acciones correctivas efectivas.


Aquí se presentan algunas acciones comunes que pueden tomarse según la situación identificada:


Lista de bloqueo de dominios: Agregar dominios y URLs identificados como sospechosos a una lista de bloqueo para prevenir futuros intentos de acceso desde la red.


Lista de bloqueo de hash de archivos: Incorporar hashes de archivos identificados como maliciosos en una lista de bloqueo para evitar la ejecución o descarga de archivos comprometidos.


Eliminación de correo electrónico: Eliminar de las bandejas de entrada los correos electrónicos relacionados con una campaña de ataque de phishing para evitar su apertura o interacción.


Invalidación de contraseña: Cambiar las contraseñas de los usuarios que hayan proporcionado inadvertidamente credenciales a un sitio de phishing, evitando así el acceso no autorizado a las cuentas.


La implementación gradual y cuidadosa de la automatización es fundamental para generar confianza y minimizar riesgos.


Proporcionar enlaces o botones que requieran interacciones manuales para realizar acciones correctivas, junto con la capacidad de mantener listas de dominios y hashes bloqueados para una intervención rápida, ayuda a mitigar errores y garantizar un impacto mínimo en la operación general.


Al analizar el proceso desde el inicio hasta la conclusión, se han utilizado una variedad de capacidades de automatización críticas.


Estas incluyen alertas de phishing, seguimiento de ubicación, análisis de hashes de archivos, análisis de dominios, atributos de correo electrónico, alertas de chat, notificaciones de usuario y listas de bloqueo tanto de dominios como de hashes de archivos.


La implementación de estas capacidades no solo ayuda en la gestión de ataques de phishing, sino que también sienta las bases para abordar una variedad de otros desafíos de seguridad cibernética, como la detección de malware o el manejo de inicios de sesión sospechosos.


La personalización de la Matriz de Capacidades de Automatización del SOC (SOC ACM) está disponible para satisfacer las necesidades específicas de cada organización.


Esto incluye la adición de nuevas categorías y capacidades, la reorganización según las prioridades, el seguimiento de flujos de trabajo de automatización alineados con estas capacidades, la exportación de configuraciones y la elección entre modos de visualización oscuros o claros.


Además, la matriz puede ser almacenada localmente en el navegador para mayor privacidad, sin necesidad de iniciar sesión ni rastrear ningún dato.


El SOC Automation Capability Matrix (SOC ACM) no solo es una herramienta poderosa para mejorar la eficiencia y la efectividad de los equipos de seguridad, sino que también sirve como una valiosa herramienta de presentación de informes para comunicar el valor del programa de automatización a partes interesadas clave, incluido el liderazgo de la organización.


Al acceder al SOC ACM a través de GitHub, los equipos pueden visualizar claramente su progreso en el viaje de automatización.


Poco después de implementar algunas capacidades, los equipos pueden comprender qué capacidades están utilizando más, las actividades asociadas y su valor, como el tiempo ahorrado o la reducción del tiempo de respuesta.


Esto les permite compartir resultados con equipos relevantes y decidir qué priorizar a continuación.


Un estudio de caso ilustrativo es el realizado durante el Tines Roadshow en San Francisco, donde el creador de SOC Automation Capability Matrix, John Tuckner, compartió cómo trabajó con una empresa de tecnología financiera para evaluar y mejorar su programa de automatización utilizando la matriz.


Según Tuckner, la empresa expresó que “La Matriz de Capacidad de Automatización nos ayuda a organizar nuestros flujos de trabajo, identificar qué flujos de trabajo nos ahorran más tiempo y resaltar áreas de oportunidad futuras”.


Reflejos:

25 capacidades implementadas y etiquetadas.


10 flujos de trabajo que utilizan comandos de barra diagonal de Slack con 2000 ejecuciones.


Los flujos de trabajo de envío de avisos multifactor se ejecutaron 721 veces para ahorrar 6,5 horas de tiempo al mes.


Recomendaciones:

Explore la gestión de listas de IOC para mejorar la capacidad de respuesta, como “lista de IP”, “lista de dominios” y “lista hash”.


Documente y destaque los esfuerzos realizados en el tiempo ahorrado al utilizar la gestión de casos.


Estado futuro: qué harán de manera diferente:

Abordar las alertas distribuidas y la interacción del usuario a través de Slack, incorporando notificaciones de usuario y respuesta del usuario.


Actualizar el canal de seguridad de Slack y los informes de incidentes para usar un bot de Slack y enrutar informes y preguntas al subequipo correcto.


Notificar a los recursos de emergencia y establecer escaladas cronometradas.


Ampliar la funcionalidad de los comandos de barra diagonal y agregar más acciones de respuesta a través de la automatización de Tines mediante nuestro bot Slack.


Mejorar la recolección de artefactos y considerar la deshabilitación del dispositivo MFA.


Ampliar la búsqueda de activos para incluir no solo puntos finales, sino también activos en la nube.


La Matriz de Capacidades de Automatización de SOC es un recurso invaluable para los equipos en todas las etapas de su viaje de automatización, proporcionando inspiración para futuras construcciones de automatización y un medio para evaluar continuamente su programa de automatización.


Si desea explorar la Matriz de Capacidades de Automatización de SOC con más detalle, la encontrará en Notion, alojada por el equipo de Tines.




Por Fernando Corvalán Experto en Ciberseguridad

Nota original en IT Connect LATAM

Mirai: El Resurgimiento Inquietante de este 2023
En un giro preocupante de los acontecimientos, la infame botnet Mirai ha vuelto a irrumpir en la escena cibernética, desencadenando una nueva ola de ataques distribuidos de denegación de servicio (DDoS).