SOC vs MDR

SOC vs MDR

SOC vs MDR: ¿Qué es mejor para mi caso particular?

En los últimos tiempos, y especialmente desde el inicio de la invasión rusa de Ucrania, venimos sufriendo un auge significativo de los ciberataques en España tanto por sus  organismos oficiales, como empresas públicas y privadas, llegando a penetrar especialmente en las PYME, donde las medidas de seguridad muchas veces son muy básicas o casi inexistentes.

Estos ataques vienen a traer a colación el hecho de que tener un «Antivirus» o un EPP (Endpoint Protection Platform) es condición necesaria pero no suficiente para estar ya a salvo de todos estos tipos de ataque. Ataques que traen como consecuencia final, que nuestra organización deje de operar, o incluso de existir en el peor de los casos. 

Entonces ¿Qué podemos hacer para tener un nivel de ciber defensa adecuado a los tiempos que corren? – La respuesta pasa por un Centro de Operaciones de Seguridad (SOC) o bien un servicio gestionado de defensa  y respuesta contra amenazas (MDR).

No hay una respuesta definitiva, porque al final depende del tipo de organización en el que se esté trabajando y de sus necesidades.

En general, las organizaciones de gran tamaño y complejidad un MDR puede ser insuficiente. Este tipo de organizaciones necesitan su propio equipo de ciberseguridad con personal propio y herramientas. (Por ejemplo los Bancos).

Sin embargo, las organizaciones de tamaño medio no pueden ni plantearse tener un SOC propio y deben recurrir bien a SOCs de terceros por razones económicas. 

La otra opción que se les presenta con el MDR, es invertir en un servicio MDR Premium, que al final resulta más efectivo.

 

Qué es un SOC (Security Operations Center) y qué es un SIEM

SOC o Centro de Operaciones de Seguridad: Es un equipo de personas y procesos que se encarga de monitorizar, detectar y responder a las amenazas de seguridad informática. El SOC funciona como una central de vigilancia, analizando información de diferentes fuentes para identificar posibles intrusiones, ataques o fallos en la seguridad.

Para ello utiliza diversas herramientas y personal especializado capaz de interpretar este tipo de herramientas y las señales que puedan producirse. Operan, normalmente en un régimen de 24×7 (24 horas al día, 7 días a la semana) mediante turnos en los que hay personal trabajando de día y de noche.

El mayor inconveniente con muchos SOC es que al no haber suficiente personal especializado disponible en el mercado y que las empresas puedan pagar, la calidad del servicio en muchos de ellos no es la que cabría esperar, dando resultados por debajo de lo esperado.

A young and inexperienced team of junior engineers working in a Security Operations Center (SOC) using a SIEM system like Splunk

SIEM (Security Information and Event Management): Es una plataforma tecnológica que recopila y analiza información de seguridad de diferentes dispositivos y aplicaciones dentro de la empresa. El SIEM permite al SOC tener una visión centralizada de la seguridad y detectar patrones que podrían indicar una amenaza

Normalmente un SOC necesita de un SIEM como herramienta de recopilación de información, para poder monitorizar el estado de salud de nuestra red. A partir de eventos registrados en este SIEM, es posible inferir patrones de ataques a nuestra red, y a partir de los mismos, los operadores del SOC, que deben ser especialistas de muy alto nivel (aunque no siempre es así), actúan para proteger nuestros activos.

El mayor inconveniente de un SIEM es la cantidad de recursos económicos (en implementación, licencias), hardware y almacenamiento, que necesita su correcta explotación, pero son herramientas imprescindibles para cierto nivel de ciberseguridad.

Panel SIEM

Qué es un MDR

Un MDR, o Managed Detection and Response, es un servicio de seguridad que te ayuda a detectar y responder a las amenazas cibernéticas de forma rápida y eficaz.

¿Cómo funciona un MDR? – Un MDR funciona de la siguiente manera:

  • Recopilación de datos: El proveedor de MDR instala sondas en los dispositivos para recopilar datos sobre su actividad. Estos datos se guardan en un sistema llamado Data Lake o Lago de Datos, que normalmente está en el cloud del fabricante de la solución de MDR.
  • Análisis de datos: Los expertos en seguridad del proveedor de MDR analizan estos datos para buscar signos de actividad maliciosa.
  • Detección de amenazas: Si se detectan una amenaza, el proveedor de MDR le alertará y ayudará a responder a la misma.
  • Remediación de amenazas: El propio servicio MDR es capaz no sólo de detectar sino también de neutralizar las amenazas detectadas.
Image depicting a team of expert analysts working in a Managed Detection and Response (MDR) service, engaged in threat hunting.

¿Qué diferencias hay entre un SOC/SIEM y un MDR?

SOC/SIEM (Security Information and Event Management):

Es una combinación de un Centro de Operaciones de Seguridad (SOC) y una plataforma de Security Information and Event Management (SIEM).

  • El SOC se encarga de monitorizar, detectar y responder a las amenazas de seguridad informática.
  • El SIEM recopila y analiza información de seguridad de diferentes fuentes para proporcionar al SOC una visión centralizada de la seguridad.
  •  
  1. Es una solución interna o externa (onpremise o cloud) que recopila y analiza datos de seguridad de toda la infraestructura de una organización.
  2. Ofrece visibilidad completa y detección temprana de amenazas.
  3. Permite personalizar las reglas de detección y respuesta.
  4. Requiere inversión significativa en hardware, software y personal cualificado.
  5. Es muy potente pero a la vez compleja de implementar y administrar en el día a día.

Servicio MDR (Managed Detection and Response)

Es un servicio capaz de lograr una protección 24×7 similar o incluso mayor, a la que daría un SOC/SIEM pero a una fracción del coste de este último, siempre que no tengamos una organización extremadamente compleja.
 
  • Es un servicio externalizado que ofrece monitorización y respuesta a amenazas las 24 horas del día, los 7 días de la semana.
  • Es más económico y fácil de implementar que un SOC/SIEM.
  • No requiere inversión en infraestructura ni personal.
  • Ofrece protección 24/7 y acceso a un equipo de expertos en seguridad.
  • Hay menos control sobre las reglas de detección y respuesta.
  • Menor visibilidad ya que el proveedor del servicio solo tiene acceso a los datos que le son proporcionados.

En resumen:

  • Un SOC/SIEM propios son necesarios en organizaciones grandes con recursos para invertir en seguridad y personal calificado, con infraestructuras propias con suficiente complejidad y particularidades, que necesitan de ese know-how y operación interna.
  • Los SOC/SIEM gestionados (externalizados) en principio son una buena idea, para organizaciones medianas o pequeñas que buscan economía de escala al no poder permitirse tener un SOC propio. Aquí hay que tener cuidado con quién elegimos como proveedor de este SOC/SIEM dado que hay pocos proveedores realmente serios.
  • Un servicio MDR es una buena opción para organizaciones pequeñas o medianas que buscan una solución más económica y fácil de usar. Las ventajas del MDR es que normalmente son servicios prestados por el propio fabricante del software de protección y de sus sondas, lo cual garantiza un altísimo nivel del personal técnico que lo atiende, por una fracción del coste, que sería inasumible por cualquier empresa mediana, y no digamos pyme o micro pyme.
Sophos MDR

Servicio MDR vs SOC

Tabla comparativa: SOC SIEM vs Servicio MDR

 

SOC SIEM

Servicio MDR

Costes / Inversión

Alto 

(Equipo humano + Infraestructura)

Bajo

Complejidad en gestión y operación

Alta

Baja

Conocimientos especializados

Requeridos

No requeridos

Visibilidad

Completa

Limitada(*)

Nivel de Control

Alto

Bajo

Detección de amenazas

Depende del Equipo

Tiempo real

Respuesta a incidentes

Personalizada

Según Nivel de Servicio

Monitorización

24/7

24/7

Escalabilidad

Alta

Alta

¿Puede tener sentido contar con un SOC SIEM y un MDR al mismo tiempo?

Sí, puede tener sentido tener un SOC SIEM y un MDR al mismo tiempo. De hecho, esta combinación puede ofrecer una serie de beneficios:

Mayor visibilidad y control: Un SOC SIEM proporciona visibilidad completa de toda la infraestructura, mientras que un MDR puede proporcionar información adicional sobre las amenazas externas.

Mejora la detección de amenazas: La combinación de ambos puede mejorar la detección de amenazas al combinar las capacidades de análisis de datos del SOC SIEM con la experiencia en seguridad del MDR.

Respuesta a incidentes más rápida: Un MDR puede ayudar a responder a las amenazas de forma más rápida y eficaz, mientras que un SOC SIEM puede proporcionar información adicional para la investigación y la recuperación.

Reducción de costes: Un MDR puede ayudar a reducir costes al externalizar la gestión de la seguridad, mientras que un SOC SIEM puede ayudar a optimizar la seguridad interna.

En general, la decisión de tener un SOC SIEM y un MDR al mismo tiempo debe basarse en las necesidades específicas de la organización, su presupuesto y sus recursos.

Aquí hay algunas preguntas que pueden ayudar a tomar la decisión:

  • ¿Qué nivel de visibilidad y control necesita la organización?
  • ¿Qué tan importante es la detección y respuesta rápida a las amenazas?
  • ¿Cuáles son los recursos disponibles para la gestión de la seguridad?
  • ¿Cuál es el presupuesto para la seguridad?

 

Se recomienda consultar con un experto en seguridad informática para obtener asesoramiento sobre la mejor opción para su organización

LinkedIn
Twitter
Facebook
WhatsApp
0 0 votos
Calificación del artículo
Suscribir
Notificar de
guest
0 Comentarios
Comentarios en línea
Ver todos los comentarios
Metafrase
Linkedin Twitter Youtube Facebook Instagram
  • C/ Pollensa 4, Las Rozas, Madrid
  • +34 91 636 1686 
Contacto
Aviso Legal
Política de cookies (UE)

© 2024, Metafrase SLU

0
Me encantaría conocer tu opinión, por favor comenta.x
()
x