Sandbox, herramienta número uno para los analistas de SOC

¿Cuáles son las tácticas favoritas para los analistas que trabajan en los Centros de Operaciones de Seguridad o SOC?

El informe Disrupting the Disruptors, Art or Science? de McAfee determina que el primer puesto es para el sandbox. Se trata de la herramienta número uno tanto para analistas de SOC de primera línea como de segunda línea, donde se depende del análisis avanzado de software malicioso y código abierto.

Los SOCs más desarrollados utilizan sandbox en sus investigaciones un 50 % más que los de nivel básico. Además, los más avanzados ganan hasta un 45 % más de valor por el uso de sandbox, perfeccionando flujos de trabajo, limitando costes, ahorrando tiempo y descubriendo información no disponible en otras soluciones.

También se tienen en cuenta SIEM, detección y respuesta endpoint y análisis de comportamiento del usuario, que han sido objetivo de automatización.

“Las organizaciones deben diseñar un plan teniendo en cuenta que serán atacados por los ciberlincuentes”, comenta Raja Patel, vicepresidente y general manager de productos de seguridad corporativa de McAfee. “Los cazadores de amenazas” o esos profesionales de seguridad que analizan amenazas siguiendo pistas e hipótesis “son tremendamente valiosos como parte del plan para recuperar la ventaja de aquellos que tratan de alterar el negocio. No obstante”, dice este directivo, “sólo cuando son eficientes pueden tener éxito. Se necesita tanto el cazador de amenazas como una tecnología innovadora para construir una estrategia sólida de equipo humano-máquina que mantenga las ciberamenazas a raya”.

Mientras los cazadores principiantes sólo son capaces de determinar la causa de una quinta parte de los ataques, los líderes verifican hasta un 90 %. Además, el informe de McAfee indica que el 71 % de los SOC más avanzados finaliza la investigación de incidentes en menos de una semana. Un 37 % concluye las indagaciones sobre amenazas en menos de 24 horas.

Los equipos que tienen éxito son más proclives a automatizar la investigación y destinan un 50 % más de tiempo a cazar amenazas reales.