Utilización de la infraestructura del SOC frente al MDR: una perspectiva del MSSP
Los constantes titulares sobre los últimos ataques a empresas de todo el espectro industrial sirven como recordatorio constante de la importancia de la ciberseguridad. La transformación digital por sí sola no es suficiente. Hay que asegurar ese entorno digital, y es algo de lo que incluso las pymes se han dado cuenta perfectamente. Por desgracia, la mayoría de las pymes carecen de la pila tecnológica, el talento y los recursos para hacerlo solas.
Por lo tanto, muchos MSP se están convirtiendo en MSSP para separarse del segmento tradicional de MSP, que se está convirtiendo en un producto básico cada día. Sin embargo, para ofrecer con éxito servicios de gestión de riesgos de ciberseguridad, es necesario contar con el conjunto adecuado de soluciones de seguridad que también encajen en su cartera de soluciones existente. Esa pila de tecnología incluye algún surtido de AV, EDRs, cortafuegos y otros sistemas de información en función de las necesidades de sus clientes. El problema es que cualquier conjunto grande de herramientas significa múltiples conjuntos de consolas de administración y de informes. Pasar de una consola a otra lleva mucho tiempo y dificulta la visibilidad para la que se implementaron estas soluciones. Lo que se necesita es una infraestructura de apoyo en la que se alimenten todos estos componentes.
Para un MSSP, proporcionar una pila completa junto con la infraestructura de gestión e información para apoyarlo todo puede resultar una tarea difícil. En la actualidad existen múltiples alternativas en el mercado, como un centro de operaciones de seguridad (SOC), el SOC como servicio (SOCaaS) y la detección y respuesta gestionadas (MDR). Con demasiada frecuencia, las diferencias entre estas opciones son borrosas para los que están en el espacio MSSP, lo que complica aún más el proceso de selección.
Explicación de MDR y SOC
Piense en MDR como la extensión de EDR o Endpoint Detection and Response. Ambos realizan la detección de amenazas mediante la recopilación de datos y el análisis. Sin embargo, la esfera de protección del MDR va más allá de los puntos finales y se extiende por toda la red. El MDR obtiene su información mediante la implementación de sus propios componentes de recopilación de datos. Una vez recopilada, esta información se analiza y se envía a los especialistas en seguridad que pueden ayudar a responder a las amenazas identificadas. En algunos casos, esto puede incluir la remediación.
Ahora piense en un SOC como la extensión natural de un SIEM. El SIEM agrega información de múltiples fuentes que a menudo incluyen conjuntos de muchos dispositivos desconectados de múltiples proveedores en toda la red. La cantidad de información recopilada puede ser abrumadora en muchos casos, que es donde entra en juego el SOC. El SOC es un equipo centralizado de profesionales de la seguridad que son expertos en la interpretación de los análisis de seguridad y en proporcionar una respuesta en tiempo real e incluso una reparación automatizada. El SOC proporciona la infraestructura de apoyo para añadir claridad y respuesta al interminable caudal de datos del SIEM.
Puntos en común del SOC y el MDR
A primera vista, parece que las ofertas de las dos soluciones son muy similares y las dos tienen puntos en común:
- Ambos recogen y analizan datos reales
- Se basan en equipos de seguridad remotos
- Ambas apoyan a los equipos de seguridad in situ
- Ambas supervisan los eventos de seguridad de la red
- Ambos utilizan la IA
La única manera de asegurar una organización hoy en día es ser proactivo, ya que las interrupciones de los ataques y el coste de la remediación son una carga demasiado grande, especialmente para las PYMES. Para las PYMES de hoy en día, que carecen de equipos y herramientas internas para combatir a los actores de las amenazas externas, la IA se ha convertido en un cambio de juego. Para los MSSP que no cuentan con personal permanente en las instalaciones de sus clientes, la IA les permite ampliar sus servicios aprovechando las tecnologías de IA y ML. Tanto los MDR como los SOC proporcionan una capa adicional de servicios a sus clientes, otro par de ojos para vigilar sus redes, todo ello con el apoyo de tecnologías inteligentes que pueden proporcionar una visibilidad de nivel profundo en una organización. La pregunta es cuál es la mejor opción para los MSSP.
En qué se diferencian las ofertas de SOC y MDR
Aunque la infraestructura SOC puede parecer similar a una MDR a primera vista, hay varias diferencias claras desde la perspectiva de un MSSP. Algunos de los diferenciadores clave son los siguientes:
- La infraestructura SOC es agnóstica en cuanto a proveedores y tecnología, lo que es de vital importancia para un MSSP, ya que debe dar soporte a múltiples entornos de clientes. Una solución SOC puede integrarse fácilmente con la pila de seguridad existente de una empresa. Para un MSP que ha invertido mucho tiempo y esfuerzo en perfeccionar su pila tecnológica elegida, la infraestructura SOC proporciona una agilidad y flexibilidad que las soluciones MDR no pueden ofrecer.
- Un MSSP que ya tiene su pila elegida no necesita hardware adicional. Lo que necesitan es experiencia adicional para cubrir sus cuentas y llenar las lagunas de conocimiento. Una solución SOC complementa su oferta de soluciones y herramientas que ya existen en su cartera de MSSP. No se está reinventando la rueda, sino que se le está añadiendo una ventaja adicional.
- La infraestructura SOC es más adecuada para entornos de multitenencia, lo que la hace perfecta para los MSSP que prestan servicio a muchos clientes
- Algunas soluciones SOC están basadas en la nube. Las ofertas de SOCaaS se integran fácilmente con las plataformas en la nube, proporcionando así el alcance expansivo que requieren las redes híbridas de hoy en día.
- Un SOC ofrece mayor versatilidad y personalización en comparación con el MDR, lo que los hace más adecuados para los MSSP que deben dar soporte a múltiples tipos de infraestructura. Este grado de personalización es importante, ya que no todos los clientes tienen el mismo equipo.
No se trata de restar valor a un MDR. Los MDR tienen su lugar, especialmente para las organizaciones que no tienen una pila de seguridad ya instalada. Sin embargo, para los MSSP, las ofertas de infraestructura de los SOC actuales proporcionan un equilibrio entre agilidad y cobertura de seguridad integral.
Detección y respuesta según sus necesidades
Cada vez es más evidente que todas las organizaciones necesitan un centro de operaciones de seguridad, pero pocas pueden permitirse ese lujo fuera de las 500 empresas más importantes. Los profesionales de la seguridad son caros para las PYMES. Aportar los costes de un equipo de detección de puntos finales a gran escala junto con la gestión de cortafuegos y las herramientas de respuesta de seguridad podría ser debilitante para las organizaciones con recursos limitados. Los MSSP pueden llenar ese vacío, combinando su propio nivel de experiencia en seguridad y conjuntos de herramientas con la poderosa gama de servicios de apoyo que puede proporcionar una infraestructura SOC.
Para un MSSP o MSP que quiera ampliar sus capacidades para proporcionar servicios de seguridad y valor añadido a sus clientes, una solución SOC es una forma sencilla de aumentar sus servicios actuales sin integrar componentes adicionales en su red. Para sus pymes, significa tener acceso a tecnologías de vanguardia impulsadas por la IA y el ML. La seguridad no debería ser exclusiva de las 500 empresas de Fortune.
¿Qué es mejor para mis necesidades?
Para las pymes que confían en los MSSP para proteger sus redes, un SOC ofrece a los MSSP una potente solución para agrupar la gestión de vulnerabilidades, la detección de amenazas y las necesidades de respuesta a incidentes en un único paquete unificador, entre otras cosas. Con una infraestructura SOC, puede llevar su pila tecnológica existente al siguiente nivel y diferenciarse de su competencia. Si los elementos de su pila cambian, puede modificar fácilmente su infraestructura SOC para acomodar los dispositivos recién introducidos.
¿Qué puede ofrecer CYREBRO?
CYREBRO se ha asociado con los MSSP durante años para proporcionarles múltiples soluciones y servicios que pueden aprovechar para proteger mejor su base de clientes. CYREBRO está transformando el mundo de los servicios de seguridad a través de la supervisión estratégica 24/7/365, la búsqueda proactiva de amenazas, la investigación forense y el apoyo en tiempo real para las empresas que desean mejorar su postura de seguridad.
CYREBRO aprovecha las herramientas de vanguardia, la tecnología SIEM y una infraestructura SOC para permitir a los MSSP aumentar su oferta de servicios en una relación de tipo socio. Al servir a nuestros clientes MSSP, estamos sirviendo también a las PYMES de todo el mundo, añadiendo un grado de seguridad y protección a las redes que antes no se creía posible.