SOC

SOC del futuro:
Cómo construir una seguridad más inteligente

Noticias y Novedades

La arquitectura de un SOC (Security Operations Center) moderno no empieza en el endpoint. Descubrí por qué el equilibrio entre SIEM, NDR y EDR potencia la autonomía, la visibilidad y la eficiencia operativa.

 

A medida que las amenazas evolucionan, también lo hace la forma en que las organizaciones deben protegerse. Hoy, el desafío está en construir un SOC (Security Operations Center) capaz de actuar con autonomía y criterio humano. La combinación ideal se logra al integrar SIEM (Security Information and Event Management), que analiza los registros y revela la intención; NDR (Network Detection and Response), que observa el comportamiento dentro de la red; y EDR (Endpoint Detection and Response), que protege la actividad en los dispositivos. Juntas, estas tres tecnologías conforman una base equilibrada que permite detectar, responder y prevenir ataques con mayor precisión y menor dependencia de un solo proveedor.

 

¿Por qué el enfoque EDR primero suena atractivo, pero tiene limitaciones?

 

La detección y respuesta a errores (EDR) cobró impulso debido a la omnipresencia de los endpoints: portátiles, servidores, cargas de trabajo en la nube y, ahora, dispositivos IoT y OT. Proveedores como CrowdStrike y SentinelOne desarrollaron potentes ecosistemas en torno a la telemetría de endpoints, y para muchas organizaciones, esta fue la forma más rápida de detectar amenazas avanzadas.

Sin embargo, la perspectiva del punto final es inherentemente limitada .
Los puntos finales no muestran un movimiento lateral completo a través de la red.
No tienen en cuenta el contexto del uso indebido de la identidad, los registros de las aplicaciones ni la actividad en la nube.
Y dado que la mayoría de los productos EDR son propietarios, quedas atado a los agentes, formatos de datos y análisis de un solo proveedor.
Por eso, las plataformas que priorizan EDR intentan, con el tiempo, añadir SIEM o NDR . Pero la arquitectura sigue tratando a EDR como la principal fuente de información veraz, y ahí es donde surgen los puntos ciegos.

 

¿Por qué SIEM + NDR + cualquier EDR es una mejor base?

 

Si su objetivo es la eficiencia operativa y avanzar hacia la autonomía, necesita tener una visión global desde el principio . Por eso, Stellar Cyber ​​hace hincapié en SIEM + NDR como núcleo , con la capacidad de integrar cualquier EDR .

He aquí por qué ese enfoque es más sólido:

1) Los registros revelan la intención. Una base SIEM sólida implica comenzar con la fuente de datos más flexible y completa: Los registros de aplicaciones, la nube, los sistemas de identidad y la infraestructura. Los registros capturan el contexto y la intención: intentos de inicio de sesión fallidos, escaladas de privilegios y llamadas API inusuales. Estas señales son cruciales para detectar ataques antes de que se produzcan.

2) El tráfico de red revela la verdad fundamental: Los atacantes pueden borrar registros o eludir los endpoints, pero no pueden evitar la red. El NDR proporciona visibilidad del movimiento lateral, el comando y control, y la exfiltración de datos. Sin NDR, se opera a ciegas en las etapas intermedias de la cadena de ataque.

3) Cualquier EDR completa el panorama: Al integrar el EDR que ya utilice ( CrowdStrike , SentinelOne, Microsoft Defender u otros), seguirá capturando telemetría detallada de los endpoints. Pero no se verá obligado a depender de un proveedor específico. Obtendrá la libertad de adoptar nuevas herramientas EDR a medida que evolucionen las necesidades de su negocio, mientras que su plataforma SecOps principal se mantiene estable.

El resultado: Registros (intención) + paquetes (comportamiento) + puntos de conexión (actividad). Esta visión tridimensional garantiza que no se centre excesivamente en una sola fuente de datos.

 

La autonomía aumentada por el ser humano comienza con el equilibrio.

 

La industria habla mucho del SOC autónomo , donde la IA se encarga de tareas repetitivas y los humanos se centran en decisiones de alto valor. Pero la autonomía solo funciona si la IA cuenta con una base de datos equilibrada . Si solo se le proporcionan datos de endpoints, la IA tenderá a centrarse en patrones específicos de endpoints. Si, en cambio, se le proporcionan registros y paquetes como base, la IA detectará patrones más amplios que abarcan identidades, aplicaciones y tráfico lateral.

Este equilibrio es lo que permite el SOC aumentado por humanos:

– La IA correlaciona datos de diversas fuentes, suprime el ruido y da prioridad a los incidentes reales.
– Los seres humanos aplican el criterio, validan las señales críticas y deciden cómo responder.

Cuando tu plataforma principal es SIEM + NDR + cualquier EDR, estás configurando la IA para que sea más inteligente, más completa y menos sesgada, de modo que los analistas humanos puedan confiar en ella.

 

Control de costes y realidad operativa

 

Otra ventaja práctica: coste y flexibilidad .

Si basas tu SOC en un modelo centrado en EDR, quedas atado a las licencias y al ecosistema de ese proveedor. ¿Quieres cambiar de EDR? Corres el riesgo de dañar el núcleo de tu pila de SecOps. Por eso, muchos proveedores adquieren NDR o SIEM en lugar de desarrollarlos: intentan añadir las piezas que les faltan sin renunciar al control del pilar de seguridad del endpoint.

En cambio, la solución SIEM + NDR es independiente del proveedor del dispositivo . Puede usar CrowdStrike hoy, migrar a Microsoft mañana o admitir múltiples EDR en distintas filiales. Sus flujos de trabajo del SOC, paneles de control y correlación de IA no se verán afectados. Además, como la recopilación de registros y la red se escalan de forma más eficiente que implementar nuevos agentes de dispositivo en todas partes, a menudo ahorrará en licencias y en gastos operativos.

 

Una historia desde el terreno

 

Un gerente de SecOps compartió recientemente su experiencia con nosotros. Comenzaron con una plataforma centrada en EDR porque parecía la más sencilla. Con el tiempo, se dieron cuenta de que sus analistas seguían lidiando con problemas inexistentes: alertas sin validación de red, cronologías de incidentes incompletas y ataques a credenciales no detectados.

Al migrar a la plataforma SIEM + NDR de Stellar Cyber, manteniendo su EDR existente, el cambio fue inmediato. Las alertas se volvieron más completas gracias a la evidencia de red y el contexto de los registros que rodeaban cada evento en los endpoints. Los analistas confiaron en los incidentes que gestionaban, los tiempos de priorización se redujeron a más de la mitad y la dirección finalmente comprobó la rentabilidad prometida.

Este tipo de cambio operativo solo se logra cuando el núcleo está diseñado para una unificación integral, no limitada.

 

El camino a seguir

 

El debate entre EDR + SIEM + cualquier NDR y SIEM + NDR + cualquier EDR no es solo una cuestión semántica. Se trata de dónde empezar, en qué basarse y cuán flexible será su futuro .

Una estrategia centrada en los endpoints te limita a una sola perspectiva. Una estrategia centrada en los registros y la red amplía el panorama y te permite incorporar cualquier perspectiva de endpoint que elijas. Esa es la base del SOC autónomo con apoyo humano , donde la IA potencia tus capacidades de SecOps y los humanos mantienen el control del criterio y la estrategia.

En definitiva, las amenazas más peligrosas no se limitan a los dispositivos. Se propagan a través de registros, paquetes e identidades. Si basa su SOC en esta premisa, no solo detendrá las amenazas con mayor rapidez, sino que además lo hará con el control de costes, la flexibilidad y la autonomía que su empresa exige.

 

Podés leer el artículo completo en inglés en el siguiente enlace:

Construyendo la base adecuada para el futuro SOC