Por Xavier Gruau, director técnico de Squad Cybersolutions
Los SOC se han consolidado como el núcleo de la ciberseguridad. Sin embargo, muchos de ellos se ven desbordados por el volumen de alertas. El reto ya no es detectar más, sino ver mejor.
Ante esta saturación, el futuro del SOC se basa en tres pilares inseparables: el CTEM, la IA y la automatización.
En teoría, el Centro de Operaciones de Seguridad (SOC) es el escudo de la empresa; sin embargo, en la práctica, a menudo se convierte en su punto débil.
Cada día, los equipos deben gestionar miles de alertas.
El resultado: la mayor parte del tiempo se dedica a clasificar, no a analizar.
Este fenómeno, conocido como«fatiga de alertas», reduce drásticamente la capacidad de reacción de los equipos y limita su capacidad para identificar señales débiles.
La tecnología está empezando a ofrecer una respuesta gracias a la llegada de la IA y la automatización, que tienden a mejorar la situación.
No obstante, mientras el SOC se centre en la detección a posteriori, seguirá sufriendo el aluvión de alertas.
Es necesario pasar de una defensa reactiva a nivel operativo a una preventiva a nivel estratégico.
Esa es precisamente la función del CTEM (Continuous Threat Exposure Management).
Su objetivo es sencillo: convertir la ciberseguridad en un proceso continuo que mida y reduzca la exposición al riesgo.
En lugar de esperar a que una amenaza active una alerta, el CTEM permite identificar, validar y priorizar las vulnerabilidades o las configuraciones incorrectas antes de que sean explotadas.
Respaldado por un VOC (Centro de Operaciones de Vulnerabilidades), este modelo complementa al SOC aliviando de forma preventiva parte de la presión operativa mediante la supervisión continua de las superficies de exposición, el seguimiento de las correcciones y la coordinación de las medidas correctivas con los equipos de TI.
Este enfoque dinámico reduce automáticamente el ruido de fondo de las alertas: menos vulnerabilidades activas que los atacantes explotan de forma prioritaria significa menos eventos activados y, por lo tanto, un SOC más centrado en las amenazas reales.
El último pilar de esta transformación es la automatización.
A medida que los entornos se vuelven más complejos (la nube, el IoT, las identidades múltiples, las cadenas de software ampliadas), la velocidad de propagación de los ataques supera con creces la capacidad de intervención humana.
La automatización, impulsada por la correlación, la telemetría y la inteligencia artificial, permite priorizar y enriquecer las alertas antes de que lleguen a los analistas. Sin embargo, podría generar efectos secundarios peligrosos. El reto no es, por tanto, automatizar más, sino de automatizar mejor, combinandola experiencia contextual de los analistas conel poder del aprendizaje automático para crear un SOC aumentado.
En conclusión, el SOC del futuro no será más ruidoso, sino que actuará de forma más selectiva, reduciendo la exposición antes de que se pueda aprovechar.
Su objetivo ya no será detectar lo que está sucediendo, sino prevenir lo que podría suceder, convirtiéndose así en un centro de control de riesgos.
