Estudio sobre caza de amenazas y la evolución de los SOC
Transcript of Estudio sobre caza de amenazas y la evolución de los SOC
Cazar al delincuente
Estudio sobre caza de amenazas y la
evolución de los SOC
www.mcafee.com/soc-evolution
2Fecha, grupo empresarial específico
Objetivo de la investigación
¿Cuáles son las mejores prácticas ahora y en el futuro para la caza de
amenazas según los distintos grados de madurez de las empresas?
Impacto de la automatización, la inteligencia artificial y el
aprendizaje automático
Tácticas especiales de los cazadores que se están implantando
en las actuaciones de los centros de operaciones de seguridad
(SOC)
El papel de la tecnología de entornos aislados
Herramientas fundamentales para la caza de amenazas
El papel de la inteligencia sobre amenazas
Informe: Cazar al delincuente: ¿arte o ciencia?
3Fecha, grupo empresarial específico
Especificaciones del estudio
• 727 entrevistas
• Los datos se han obtenido mediante entrevistas online
• Las entrevistas se realizaron en mayo de 2017
Fuente de la muestra
• Clientes de McAfee, obtenidos de Security Product Advisory Council
(SPAC)
Clientes de todo el mundo, de habla inglesa
• Muestra de mercado general
Estados Unidos, Canadá, Reino Unido, Alemania, Australia, Nueva
Zelanda, Singapur
Destinatarios
• Las empresas deben tener más de 1000 empleados.
• Los encuestados deben pasar al menos un 20 % de
su tiempo dedicado a la caza de amenazas.
• Y, para poder participar, deben tener soluciones de entorno aislado y
SIEM.
Prueba de relevancia
• Las diferencias entre los segmentos (tamaño de la empresa o país, etc.) como se
muestran en este informe se basan en pruebas de doble vertiente con un nivel de
relevancia del 95 %.
• Cuando las conclusiones para un segmento son considerablemente superiores a
las de otro segmento, se indica así.
ejemplo
Objetivo de la investigación y especificaciones del estudio
4Fecha, grupo empresarial específico
Tamaño de la empresa (según el número de empleados)
< 34
%
<
8%
<
8%
<
7%
< 5
%
<
4%
<
3 %
<
3 %
<
27%
País
Bases lo suficientemente grandes para Norteamérica, Europa y Asia
EE.UU. CA RU AU AL IN NZ SG Otros
N.º de entrevistas por región
302
296
129
34 % 8 % 21 % 4 % 19 % 1 % 2 % 10 % -
Empresas
Destinatarios
31 % 30 %
16 %13 %
6 % 5 %
100-2500
2500-5000
5000-10 000
10 000-50 000
50 000-100 000
>100 000
Comercios
5Fecha, grupo empresarial específico
El Hunting Maturity Model (modelo de madurez del cazador), desarrollado por el técnico de seguridad y cazador de amenazas de seguridad, David Bianco.
Se les pidió a los encuestados que asignaran a su empresa a uno de los 4 grados
6Fecha, grupo empresarial específico
A casi la mitad de las empresas encuestadas (45 %) les gustaría estar en el grado 4 en un plazo de tres años.
Modelo de madurez: las empresas QUIEREN mejorar
¿Dónde se encuentra su empresa
en la actualidad?
3 %
11 %
32 %
40 %
14 %
Grado 0 - Inicial
Grado 1 - Mínimo
Grado 2 – Procedimental
Grado 3 – Innovador
Grado 4 - Líder
¿Le gustaría estar ahí dentro de 3 años?
1 %
4 %
16 %
34 %
45 %
Grado 0 - Inicial
Grado 1 - Mínimo
Grado 2 – Procedimental
Grado 3 – Innovador
Grado 4 - Líder
7Fecha, grupo empresarial específico
Conclusiones principales: los centros de operaciones de seguridad avanzados consiguen resultados netamente mejores
El 71 % de los SOC más avanzados cerraron investigaciones de incidentes
en menos de una semana y el 37 % cerraron investigaciones de seguridad
en menos de 24 horas.
Los cazadores de amenazas de las empresas más avanzadas encuentran la
causa 4,5 veces con más frecuencia (un 90 % sobre el 20 %) que los
cazadores de amenazas con grados inferiores de madurez.
Los SOC avanzados, en conjunto, obtienen un 45 % más de valor cuando
utilizan entornos aislados, lo que les ahorra costos y tiempo, mejora los
flujos de trabajo y revela información que de otra forma no estaría
disponible.
Mejora de la velocidad y la profundidad de las investigaciones
71 % cerradas
en menos de una
semana
4,5 veces más
habitual encontrar la
causa
45 % de aumento
de valor, gracias al uso
de entornos aislados
8Fecha, grupo empresarial específico
Por lo tanto, ¿cómo obtienen los SOC avanzados estos resultados?
El 68 % manifiestan que mejorarán
con una mejora de la
automatización y los
procedimientos de caza de
amenazas.
Los SOC más maduros tienen el
doble de probabilidades de emplear
la automatización.
La madurez conduce a un equilibrio
de procesos ad hoc y organizados:
el mejor instrumento para el
trabajo.
Averiguar qué funciona y automatizarlo: asociación hombre-máquina
0 %
10 %
20 %
30 %
40 %
50 %
60 %
70 %
80 %
¿Qué porcentaje del proceso
está automatizado?
¿Qué porcentaje del proceso considera que
puede automatizarse?
Grado 0/1 Grado 2 Grado 3 Grado 4
9Fecha, grupo empresarial específico
¡Proliferación de
herramientas!
Utilizan entornos aislados para realizar investigaciones más profundas
42
63
35
45
55
65
75
Grado0/1
Grado 2 Grado 3 Grado 4
Media de investigaciones con
entornos aislados
Aumento del
50 %
¡Complejidad
del entorno!
¡Descomprime el
código ya!
"Lo mejor es cuando puedes hacer pruebas de vulnerabilidad e impedir la amenaza antes de que ocurra. Entonces el entorno aislado es útil".
Cazador entrevistado, fase cualitativa, encuesta de McAfee a cazadores
de amenazas, mayo de 2017
A medida que maduran los equipos de los SOC, los
motivos para emplear entornos aislados cambian;
de la confianza en la automatización y la
consolidación de herramientas pasan a ser la
ejecución de análisis sofisticados de amenazas
avanzadas.
Los SOC más maduros emplean
entornos aislados; no se limitan a
suposiciones e investigan y verifican
las amenazas en los archivos.
10Fecha, grupo empresarial específico
Filtran las fuentes de inteligencia de amenazas según el objetivo y pagan para eliminar dudas
Los SOC de los grados 0/1 utilizan
fuentes de inteligencia de amenazas
públicas un 50 % más que
cualquier otro tipo de fuentes.
En cambio, los SOC de grado 4 tienen
2 veces más probabili-dades de pagar
un servicio de inte-ligencia de amenazas
especializado y casi un 50 % más de
probabili-dades de usar fuentes
personalizadas.
0 20 40 60 80
Fuentes de pago
Internas
Personalizadas
Fuentes públicas
Grado 0/1
0 20 40 60 80 100
Fuentes públicas
Internas
Personalizadas
Fuentes de pago
Grado 4
11Fecha, grupo empresarial específico
Utilizan más personalización
Los SOC maduros pasan un 70 % más de
tiempo en personalización, con un mayor uso de
scripts y código abierto.0
5
10
15
20
0 %
20 %
40 %
60 %
Grado 1 Grado 2 Grado 3 Grado 4
Ho
ras
Po
rcen
taje
de
encu
esta
do
s
¿Cuánto tiempo dedica a investigar
y personalizar herramientas para la caza
de amenazas?
Menos de 5 horas al mes 5-10 horas al mes 10-20 horas al mes
Más de 20 horas al mes Media de horas
12Fecha, grupo empresarial específico
Las empresas maduras en la caza de amenazas tienen buenos hábitos de:
Identificación de los procesos que pueden automatizarse
Uso de las herramientas disponibles para investigar en profundidad
Filtrado de la inteligencia según el objetivo
Personalización y adaptación para obtener información más detallada
Una buena caza no tiene por qué ser una tarea difícil que obtenga resultados reales
13Fecha, grupo empresarial específico
Descargue el informe, resúmenes e infografías de
www.mcafee.com/soc-evolution.
Manténgase informado suscribiéndose al boletín de noticias
bimensual McAfee SIEM Insider: http://www.mcafee.com/mx/products/virusscan-enterprise.aspx
No se pierda al Dr. Peter Stephenson, Editor técnico de SC Magazine,
y a Michael Leland, de McAfee, en “Finding Context in Advanced
Threat Hunting” (Búsqueda de contexto en la caza de amenazas
avanzadas). Inscríbase en el webcast en
https://www.mcafee.com/mx/events/webinars.aspx
Ante la evolución de los SOC: ¡no se quede atrás!