Como bien sabemos las infraestructuras tecnológicas se enfrentan a diferentes desafíos de cara a automatizar y controlar las operaciones diarias, debido a la complejidad de las redes; un aspecto que es cada vez mayor gracias a la cantidad de información que se transfiere de un lado a otro.
Monitorear las infraestructuras equidistantes es una tarea que conlleva una gran responsabilidad ya que hablamos de redes a nivel mundial, pero ¿cómo monitorear esto?
En muchos casos los administradores de TI cuentan con herramientas idóneas para gestionar una red. Estas soluciones ayudan a automatizar y gestionar mas eficientemente las operaciones de TI, pero es indispensable tener un centro de mando desde donde sea posible ver alertas de todas esas herramientas.
El factor humano es clave a la hora de realizar un monitoreo de grandes cantidades de eventos de toda la red. No basta con herramientas idóneas, también es necesario un administrador “humano” que lleve a cabo estrategias para obtener un control total de la red, una máxima visibilidad, y por supuesto el monitoreo de la misma.
Pero… ¿Cómo podemos obtener una estrategia confiable a la hora de monitorear la infraestructura TI? Aquí vale la pena destacar un concepto muy importante de TI: “la gestión y la seguridad son inherentes al producto”.
¿Qué es un NOC?
Para lograr un monitoreo completo de la infraestructura de TI, es importante contar con algo llamado “Network Operation Center” (NOC). Es un centro de información y comunicación que debe contar con personal capacitado y segmentado en niveles.
El nivel uno gestiona las alertas bajas y medias, y escala a las áreas correspondientes para su análisis; los ingenieros de nivel dos revisan las alertas criticas y dan un dictamen del incidente reportado de tal manera que se pueda realizar la gestión de incidentes.
Por ejemplo, el NOC detecta alarmas de consumo excesivo de ancho de banda en la salida hacia internet. El personal del NOC mediante herramientas de Network Management System “NMS” detecta este evento y define políticas para remediar.
Así es posible identificar qué dispositivo o qué usuario está consumiendo el ancho de banda. Este monitoreo se realiza 24 horas al día, 7 días a la semana. Podríamos decir que el NOC es un vigilante del estado de salud de la red.
¿Que tareas exactamente se realizan en un NOC?
Un NOC cumple las siguientes funciones:
-
Monitorear la red, los servidores y las aplicaciones para la salud y el rendimiento
-
Analizar el ancho de banda e identificar proactivamente los cuellos de botella
-
Modificar las configuraciones de la red según las necesidades de la empresa
-
Detectar y soluciona rápidamente los fallos para reducir el tiempo medio de reparación
Los operadores de un NOC tienen además, una tarea especial de cuidar los dispositivos y los enlaces, con el fin de garantizar que la red opere con normalidad. El NOC en una red brinda una visibilidad total de los dispositivos desde la perspectiva del desempeño. Los ojos en materia de salud del sistema.
Debido a la gran demanda que exigen las operaciones de red; no basta con ver en la salud la infraestructura de TI, sino que también es necesario agregar un ítem muy escuchado pero poco utilizado y es la ciberseguridad.
La seguridad cibernética es un universo de mecanismos de defensa para salvaguardar los activos y la información en una organización. Por supuesto es importante tener mecanismos de auditoría de la red en materia de ciberseguridad. Esto nos lleva ahora al SOC.
¿Qué es un SOC?
Debido a la demanda que tienen los administradores de TI de proteger la información de la organización y evitar incidencias que pueden afectar o interrumpir el servicio; existe algo llamado Security Operation Center (SOC).
Este SOC también es conformado por un grupo de ingenieros que auditan los dispositivos pero desde la perspectiva de eventos anómalos. Los ingenieros están segmentados por niveles.
El nivel uno por ejemplo, revisa una alerta de seguridad por malware en unos de los servidores, y lo escala al área de ciberseguridad para tomar acciones correctivas referente a esa amenaza.
A través del tiempo observamos el gran aumento de ataques cibernéticos de diferentes frentes “internos y externos” y nos vemos en la necesidad de tener una herramienta que almacene todos los logs de los dispositivos y los correlacione para encontrar anomalías (ataques y malware).
Esta herramienta llamada System Information and Event Management (SIEM), ayuda a tener una visión global de los eventos de seguridad informática de todos los dispositivos de la red.
¿Que tareas exactamente se realizan en un SOC?
Segun ManageEngine Un SIEM que es la herramienta idónea para un SOC ayuda a realizar las siguientes funciones:
El SOC en un centro de ingenieros con conocimientos en seguridad cibernética que están analizando eventos de amenazas de todos los dispositivos con el fin de detectar un ataque antes de que este se ejecute de forma exitosa. Esta es una labor que debe realizarse 24×7, con el apoyo de las herramientas adecuadas.
Mas allá del conocimiento del personal de SOC es importante apoyarse de herramientas que aportan con tareas de orquestación, automatización y respuesta de seguridad (SOAR).
Esto ayuda a tener visibilidad de todos los incidentes de seguridad para ejecutar acciones que conlleven a evitar fuga de datos, perdida en el servicio, aparicion de amenazas insider, cuentas comprometidas y demás.
Un SOC debe contar también con una gestión de amenazas mediante comportamiento de usuarios con el fin de detecar insiders (esos usuarios de la infraestuctura que tienen permisos para aceder a dispositivos criticos y que abusan de sus privilegios para extraer información, cambiar permisos y/o degradar servicios de la red).
El machine learning desempeña un papel especial en un SOC ya que realiza un análisis de comportamiento de los usuarios y cuando haya una desviación de comportamiento lo detecta, lo alerta y lo reporta.
A este movimiento lo llamamos User and Entity Behavior Analytics UEBA (por sus siglas en inglés) ayuda a detectar anomalías antes de que se ejecuten y por su puesto el SOC estará disponible para detectar estos cambios de comportamiento de los usuarios y dispositivos de la red.
En una infraestructura TI lo importante es tener una visibilidad de todos los usuarios, procesos y dispositivos; para ello es importante apoyarse de herramientas que brindan granularidad de eventos para detectar problemas de salud y anomalías cibernéticas antes de que se materialicen. Un NOC y un SOC son la respuesta para remediar fallas y evitar ataques en una organización.