A medida que evoluciona cualquier industria, es común que proliferen nuevas categorías de productos y servicios. En el caso de los servicios de ciberseguridad, muchos de los nuevos servicios se han introducido para responder al panorama de amenazas en evolución (malware, ransomware, phishing, ataque DDOS, ataque de fuerza bruta, etc). Las empresas necesitan controles de seguridad coherentes que cubran tanto los entornos Cloud como On-Premise. Estos controles deben tener en cuenta el contexto de identidad para anticipar, prevenir, detectar y reaccionar ante las amenazas, con el objetivo de hacer su información más segura.
Por lo tanto, no es sorprendente que preguntas como: ¿Qué es un proveedor de SOC as a Service? o ¿Cuál es la diferencia entre un proveedor de servicios de MSSP y MDR? o ¿En qué consiste un servicio XDR?, sean algunos de los principales servicios de seguridad administrados más buscados en Google.
Iniciemos con:
¿Que es un servicio SOC as a Service?
El término SOC as a Service se creó para describir cómo los clientes se benefician del monitoreo 24/7 y la misma tecnología avanzada de detección de amenazas que se utiliza grandes empresas y gobiernos. El SOC es una plataforma que permite la supervisión y administración de la seguridad del sistema de información a través de herramientas de recolección, correlación de eventos e intervención remota. El SIEM (Security Information Event Management) es la principal herramienta del SOC ya que permite gestionar los eventos.
El objetivo de un SOC es detectar, analizar y corregir incidentes de ciberseguridad utilizando soluciones tecnológicas y enfoques diferentes. Supervisan y analizan la actividad en redes, servidores, terminales, bases de datos, aplicaciones, sitios web y otros sistemas en busca de señales débiles o comportamientos anormales que puedan indicar un incidente de seguridad o un compromiso. El SOC debe garantizar que los posibles incidentes de seguridad se identifiquen, analicen, defiendan, investiguen e informen adecuadamente.
Los SOC están generalmente compuestos por analistas e ingenieros de seguridad, así como por gerentes que supervisan las operaciones de seguridad. Las capacidades adicionales de algunos SOC pueden incluir el análisis avanzado, el criptoanálisis y la ingeniería inversa del malware para analizar los incidentes. Los equipos trabajan para garantizar que el problema de seguridad se aborde adecuadamente una vez que se ha descubierto.
El objetivo de muchos proveedores de SOC, como Proficio, es brindar a las empresas la misma calidad de servicio que una gran empresa recibe internamente, a un precio asequible. Esto requiere una verdadera asociación con los clientes y la flexibilidad para actuar como una extensión de su equipo de seguridad de TI.
¿Qué es un servicio MSSP?
La mayoría de los MSSP ofrecen administración subcontratada de herramientas y dispositivos de seguridad, entre ellos firewalls y VPN. La función de un MSSP comienza con la gestión de registros, ya que la recopilación y retención de registros es un requisito para los mandatos de cumplimiento como PCI y HIPAA. Pero antes de la gestión de registros centralizada, los datos de eventos recopilados de cada dispositivo de seguridad se almacenaban en silos. Como resultado, si un ingeniero de firewall vio una alerta para un escaneo de puertos y un administrador de Windows vio intentos de inicio de sesión fallidos seguidos de un inicio de sesión exitoso, es posible que no se den cuenta de que el mismo host está involucrado en ambos eventos.
Como mínimo, un MSSP es responsable de alertar a sus clientes sobre amenazas y eventos sospechosos con el objetivo de reducir el riesgo de una brecha de seguridad. Los MSSP ofrecen una amplia gama de capacidades, incluida la gestión de vulnerabilidades, la respuesta a incidentes y las pruebas de penetración. En otras palabras, si se detecta una infracción o una intrusión, el MSSP puede alertar al cliente sobre la intrusión, pero la respuesta se deja al cliente a menos que se especifique lo contrario en el contrato del MSSP.
Los MSSP garantizan que sus clientes disfruten de los beneficios de la última tecnología de monitoreo sin la carga de adquirirla, configurarla y monitorearla ellos mismos. La capacidad de subcontratar el monitoreo a escala significa que una organización puede enfocar sus recursos internos de ciberseguridad, a menudo limitados, en las amenazas con indicadores significativos de un incidente legítimo.
¿Qué es un servicio MDR?
La detección y respuesta administradas (MDR) es el otro tipo principal de servicio de seguridad administrada. MDR se centra en la profundidad en comparación con el enfoque de MSSP en la amplitud potencial.
En lugar de proporcionar los recursos y las habilidades necesarias para que una organización logre el cumplimiento de la ciberseguridad básica, MDR proporciona una investigación en profundidad de las amenazas potenciales en la red de una organización. Este servicio está diseñado para organizaciones que tienen motivos para creer que son objetivos potenciales de ataques sofisticados y necesitan capacidades de respuesta y supervisión continuas.
Si bien los MSSP pueden ser servicios altamente automatizados, MDR es operado por humanos, con cazadores de amenazas en vivo que monitorean las redes de los clientes en tiempo real tanto para los indicadores de ataque (IOA) como para los IOC.
¿Cuál es la diferencia entre un MSSP y un proveedor de servicios MDR?
Los proveedores de servicios MDR ofrecen capacidades de respuesta y detección de amenazas más avanzadas que los MSSP.
Las capacidades clave que se pueden esperar de los MDR incluyen:
Inteligencia de amenazas
Caza de amenazas
Análisis de amenazas avanzado
AI / ML
Big Data
Detección y respuesta de puntos finales (EDR)
Automatización y respuesta de la orquestación de seguridad (SOAR)
Gestión de vulnerabilidades basada en riesgos
Análisis de la postura de seguridad y puntuación del riesgo cibernético
Entonces, ¿es mejor MDR o MSSP? Como puede imaginar, aquí no hay una única respuesta correcta. Toda organización necesita equilibrar los pros y los contras de permitir acciones de respuesta más complejas para alcanzar sus objetivos únicos.
Independientemente de la posición que se adopte en el debate MDR frente a MSSP, siempre que usted y su proveedor tengan claro quién, cómo y cuantas medidas serán tomadas, conocer hasta dónde abarca el servicio. El objetivo principal es aumentar su seguridad y mejorar su tiempo de respuesta ya sea con un MSSP o un MDR.
¿Que es un servicio XDR?
XDR es una nueva evolución de MDR, que incluye capacidades de respuesta y detección de amenazas. La X es sinónimo de capacidades extendidas de e X , que van más allá de EDR. XDR integra múltiples puntos de control de seguridad (punto final, red, nube, correo electrónico, autenticación) para automatizar la detección y respuesta a amenazas.
El concepto de XDR ha sido promovido por los principales analistas de la industria (en particular, Gartner) y está comenzando a ser adoptado, y quizás promocionado, por los proveedores.
Pensamientos finales
Elegir un socio de ciberseguridad es una decisión importante. Proficio ha estado actuando como una extensión del equipo de nuestros clientes para ayudarlos a lograr sus objetivos de ciberseguridad durante más de 10 años.
Si actualmente usa, o está considerando usar, un proveedor de servicios administrados de seguridad, Proficio cuenta con soluciones de:
Centro de Operaciones SOC as a Service
ProSOC MDR para SMB
SOAR as a Service
Threat Intelligence and Discovery
AWS Security Services
Splunk Managed Security
Cloud Security
Para más información pueden contactarme por Linkedin o a info@cybernuvol.com, para hacer una demostración de los servicio de Proficio
#MSSP #MDR #SOCasaService #serviciosdeciberseguridadadministrados #serviciosCiberseguridad #SOCasaService #MDR #SOAR #ThreatIntelligence #AWSSecurityServices #SplunkManagedSecurity #CloudSecurity #InteligenciadeAmenazas #Colombia . #MDR #SOCasaService #serviciosdeciberseguridadadministrados #serviciosCiberseguridad #SOCasaService #MDR #SOAR #ThreatIntelligence #AWSSecurityServices #SplunkManagedSecurity #CloudSecurity #InteligenciadeAmenazas #Colombia #Mexico #Panama #Monitoreo24x7 #LogManagement #ManejodeLogs #GestiondeIdentidades #SeguridadEndPoint #EquiposPerimetrales #RespuestaAutomatizadaSOAR #DefensaActivaPerimetral #DefensaAmenazas #EndPoints #RecolecciondeLogs #AlmacenamientoLogs #CasosdeUsodeAmenazas