La firma de investigación independiente holandesa TNO está trabajando con el Centro Nacional de Seguridad Cibernética (NCSC) para investigar temas y desarrollos futuros que sean relevantes para el NCSC y sus electores.
En este contexto, se pidió evaluar cómo se desarrollarán los centros de operaciones de seguridad (SOC) en el futuro próximo y qué tendencias los afectarán. El resultado es un informe que proporciona un modelo para la SOC del futuro.
Junto con otros colegas, los investigadores de TNO Reinder Wolthuis y Richard Kerkdijk realizaron entrevistas con directores de seguridad de la información (CISO), gerentes de SOC y otras partes interesadas para determinar cómo será el SOC en 2030. “Una de las principales conclusiones es que probablemente habrá Para entonces habrá muchos menos SOC porque será complicado y costoso mantener un SOC en funcionamiento”, afirmó Wolthuis.
“Prevemos que muchas organizaciones subcontratarán sus operaciones SOC a proveedores de servicios de seguridad gestionados. [MSSPs] y que sólo las organizaciones con un perfil de riesgo específico (por ejemplo, empresas de industrias vitales o aquellas con una infraestructura técnica muy específica) podrán seguir justificando un SOC interno”, añadió.
Automatización y SOC sectoriales
Una de las tendencias que prevén los investigadores es la automatización de gran alcance de las operaciones de seguridad cibernética, por ejemplo, mediante la orquestación de flujos de trabajo de respuesta a incidentes con guías de seguridad legibles por máquinas.
“CERT nacionales [computer emergency response teams] como el NCSC holandés podrían apoyar este esfuerzo, por ejemplo, poniendo a disposición guías predefinidas, o plantillas de guías, para amenazas conocidas”, sugirió Kerkdijk.
La cooperación y el intercambio de información serán mucho más críticos en los próximos años, tanto desde el gobierno como dentro de los sectores. “Esa es otra tendencia que vemos en los Países Bajos: que se estén creando SOC sectoriales”, afirmó Wolthuis.
Probablemente habrá muchos menos SOC para 2030 porque será complicado y costoso mantener un SOC en funcionamiento.
Reinder Wolthuis, TNO
“Dichos actores sectoriales podrían establecer acuerdos marco con proveedores de servicios de seguridad gestionados que ofrezcan a sus electores un fácil acceso a los servicios de operaciones de seguridad. De esa manera, se combinan conocimientos específicos del sector con experiencia en seguridad cibernética”.
Mientras que actualmente muchos SOC todavía están configurados con analistas de primera, segunda y, a veces, incluso de tercera línea, los investigadores esperan que esta configuración desaparezca en el futuro. “Eso no significa que se necesitará menos gente”, afirmó Kerkdijk. “Sin embargo, una mayor automatización liberará a los actuales analistas de primera línea de tareas rutinarias y repetitivas y les permitirá centrar su atención en tareas más complejas”.
La automatización de gran alcance también significa que es necesario mantener varias soluciones de automatización en el SOC, por lo que “habrá una nueva tarea de ingeniería para optimizar todas esas soluciones”, dijo Kerkdijk.
Otro avance asociado crítico es que los SOC se volverán más proactivos y predictivos en los próximos años. Wolthuis dijo que esto también requerirá diferentes roles en el SOC.
Centrarse en ataques avanzados
Los investigadores señalaron que estos roles cambiantes del personal del SOC también deben considerarse a la luz del cambiante panorama de amenazas.
“Además, dada la situación geopolítica, cada vez se presta más atención a los ataques patrocinados por los Estados, que son ataques iniciados por los gobiernos de los países y normalmente desencadenados por ambiciones geopolíticas”, advirtió Wolthuis.
“Además, las grandes organizaciones criminales que se centran en obtener ganancias ilícitas siguen activas digitalmente. Esperamos que la atención se centre más en este tipo de amenazas y menos en las de los script kiddies o los hackers éticos que buscan emoción y aprovechan las herramientas y técnicas de ataque estándar. El futuro SOC se centrará más en ataques avanzados, ya que las amenazas estándar se capturan y resuelven mediante TI y automatización sólidas”.
Además, una automatización de gran alcance puede aliviar en cierta medida la presión sobre el mercado laboral. “La escasa fuerza laboral de expertos en seguridad cibernética se dedicará a las cosas que no podemos automatizar. De esa manera, obtendrá el máximo rendimiento de su gente y, al mismo tiempo, se asegurará de que puedan realizar un trabajo desafiante”, afirmó Kerkdijk.
Otro avance que ven los investigadores es que gran parte de la infraestructura se está trasladando a la nube. “Eso tiene consecuencias sobre lo que se puede monitorear y cómo se monitorea porque depende de los proveedores de la nube”, dijo Wolthuis. “Por otro lado, también tiene ventajas porque tienes una infraestructura estandarizada y un panorama tecnológico menos diverso. Por lo tanto, el monitoreo se vuelve más fácil y un entorno tan estandarizado se presta bien para la mitigación automatizada de incidentes”.
Wolthuis cree que otros países europeos pueden aprender algo de los Países Bajos sobre la configuración del SOC y mirar hacia el futuro. “Lideramos el camino razonablemente bien con este tipo de desarrollo en Europa”, afirmó. “Pero es más importante que cooperemos más estrechamente en materia de seguridad a nivel europeo”.
Él cree que algunos de los MSSP actuales en el mercado serán asumidos por grandes proveedores de servicios de TI que puedan ofrecer un SOC administrado a sus clientes. “Es crucial que garanticemos que en tales construcciones los MSSP europeos no terminen todos en manos de Estados Unidos, por ejemplo. Eso nos hace particularmente vulnerables y dependientes”, afirmó.
Los investigadores ven en esto una tarea para los gobiernos y la Unión Europea. “Ya se están intercambiando muchos conocimientos a nivel europeo, por ejemplo, entre Enisa y el Centro Europeo de Competencia en Ciberseguridad”, afirmó Kerkdijk. “Pero debemos cuidarnos de que el paisaje no se fragmente demasiado. Es bueno que se estén desarrollando iniciativas. Aun así, la racionalización también es deseable a nivel europeo para que quede claro quién es responsable de qué y qué pueden y deben esperar las organizaciones”.
Plano futuro del SOC
El informe elaborado por los investigadores de TNO como resultado de su investigación describe un plan para el SOC del futuro. Ese plan es deliberadamente un poco provocativo.
“Hemos llevado algunas cosas al extremo”, explicó Wolthuis. “Quizás la evolución avance más lentamente de lo que esperamos actualmente, pero estamos convencidos de que el SOC tal como lo conocemos hoy eventualmente será muy diferente. La dotación de personal, objetivo principal, es más proactiva. Será una organización sustancialmente diferente”.
Dijo que es posible que los SOC actuales no se reconozcan todavía en este panorama del futuro. Sin embargo, según TNO, los CISO y los gerentes de SOC deberán aceptar el cambio porque los desarrollos globales lo exigen.
“Si se quiere alcanzar un (alto) nivel significativo de automatización para 2030, esa transición debe iniciarse ahora”, afirmó Kerkdijk.
Los investigadores predicen que las organizaciones que insisten en mantener procesos SOC más tradicionales, impulsados por humanos, pronto se volverán menos efectivas en la gestión de incidentes de seguridad y, por lo tanto, tendrán más probabilidades de ser víctimas de ataques cibernéticos. “Los atacantes también se están automatizando; como defensores, simplemente no puedes quedarte atrás”, dijeron.
