El SOC moderno se construye sobre cimientos defectuosos. La confianza cero puede solucionarlo.

En 2003, Gartner publicó lo que se conoció como el reporte"IDS está muerto" . Ante la desaparición de las herramientas de sistemas de detección de intrusiones (IDS, por sus siglas en inglés), la industria desarrolló herramientas de gestión de información y eventos de seguridad (SIEM, por sus siglas en inglés).  

A mediados de la década de 2010, SIEM fue declarado una herramienta de cumplimiento normativo, por lo que la industria desarrolló sistemas de detección y respuesta en puntos finales (EDR). Cuando la detección y respuesta de errores (EDR) no pudo cubrirlo todo, llegó la detección y respuesta de red (NDR).  

Luego llegó la detección y respuesta extendida (XDR), generó una enorme confusión y, desde entonces, fue declarada muerta por la misma firma de Gartner que presenció el fin de los sistemas de detección de intrusiones (IDS).  

Cada transición se presentaba como un progreso. Sin embargo, como me comentaron el Dr. Anton Chuvakin, asesor de seguridad de la Oficina del CISO en Google Cloud, y Erik Bloch, vicepresidente de seguridad de la información en Illumio, en el último episodio del podcast The Segment , la mayoría de los entornos empresariales nunca se diseñaron arquitectónicamente para que la detección fuera fiable.  

Las herramientas SOC desarrolladas sobre esos entornos heredaron ese fallo, y la mayoría de las nuevas herramientas creadas desde entonces buscaron soluciones alternativas en lugar de corregirlo. Hasta que los responsables de seguridad no aborden la arquitectura subyacente, el ciclo de inversión en herramientas sin obtener mejores resultados continuará.  

El modelo Zero Trust rompe ese ciclo al tratar la arquitectura como el problema a resolver, en lugar de como una suposición que hay que sortear.

La economía de las soluciones temporales y por qué es tan lucrativa.

Cuando le pregunté a Erik por qué los resultados de la detección y la respuesta no cambiaron significativamente a pesar de miles de millones en inversión y décadas de innovación, lo atribuyó a que la industria intenta solucionar los síntomas en lugar de la causa raíz.

“Veo muchas compañías emergentes de seguridad hoy en día, y lo que hacen es crear soluciones superficiales”, dijo. “Los inversionista saben que pueden invertir en soluciones temporales, saben que estas soluciones funcionarán durante un tiempo hasta que dejen de hacerlo, y entonces podrán invertir en la siguiente solución temporal, en lugar de abordar los problemas fundamentales que están causando los problemas desde un principio.”

El panorama de los proveedores de seguridad se basa en mejoras graduales de la capacidad de detección. Cada oleada de tecnología de detección y respuesta promete ser la que finalmente incline la balanza. Y cada oleada, al compararla con los resultados, resulta en gran medida decepcionante.

Erik continuó: “Hay cosas que podríamos hacer desde el punto de vista arquitectónico que resolverían muchos de los problemas a los que nos enfrentamos hoy en día. ¿Hacemos eso? No. Compramos más parches para disimular los problemas arquitectónicos, y luego también respondemos a todas esas alertas.

El problema de "buscar una aguja en un pajar" —encontrar amenazas reales en un mar de alertas— no mejoró a pesar de décadas de inversión en herramientas. Erik señaló que la proporción de amenazas reales con respecto al ruido total se mantuvo obstinadamente entre el 4% y el 7%.  

El uso de más herramientas no modificó esa cifra, ni lo hará, porque las herramientas se encuentran en una etapa posterior del problema.

Qué significan los “problemas arquitectónicos” para un CISO

Cuando Erik y Anton hablan de problemas arquitectónicos, están describiendo un modo de fallo específico con el que la mayoría de los responsables de seguridad conviven a diario, pero que rara vez nombran explícitamente.

La mayoría de los entornos empresariales se construyeron sobre una base de confianza implícita, que incluía redes planas, amplias licencias de movimiento lateral y perímetros que se asumían limpios. Cuando se construye una capacidad de detección sobre un entorno plano y con licencias excesivas, en realidad se le está pidiendo al centro de operaciones de seguridad (SOC) que encuentre agujas en un pajar que se hizo deliberadamente más grande y más difícil de rastrear.

Una red plana y con licencias excesivas genera un volumen de alertas que ningún centro de operaciones de seguridad (SOC) puede gestionar de forma realista. El movimiento lateral se asemeja al tráfico normal porque la arquitectura lo trata como tal. Las credenciales comprometidas pasan desapercibidas porque el acceso interno nunca se diseñó para ser verificado.  

El SOC está limpiando el desastre que el medio ambiente fue diseñado para crear.

Zero Trust cambia lo que su SOC tiene que detectar en primer lugar. Al aplicar el principio de mínimo privilegio, verificar la identidad de forma continua y segmentar las cargas de trabajo de manera que el movimiento de este a oeste requiera autorización explícita, se reduce fundamentalmente la superficie de ataque que deben cubrir las herramientas de detección.  

Dejas de agrandar el pajar y empiezas a reducirlo.

La solución arquitectónica que Erik y Anton describieron durante nuestra conversación implica reconstruir los supuestos fundamentales sobre cómo deberían funcionar el acceso y la conectividad.

Un SOC de los años 90 con IA sigue siendo un SOC de los años 90.

Ambos coincidieron en que la IA tiene un valor real en las operaciones de seguridad. Pero aplicar la IA a un SOC estructuralmente defectuoso produce una versión más rápida de los mismos resultados defectuosos.

Anton argumentó que demasiadas organizaciones están empleando la inversión en IA como excusa para evitar una reestructuración más profunda. La inteligencia artificial distrajo a muchos equipos de seguridad de realizar este trabajo fundamental pero crítico.

Cuando el modelo SOC tiene 30 años, la IA simplemente acelera los procesos antiguos sin abordar por qué el proceso produce tan poca señal. El entorno que monitoriza el SOC nunca se diseñó para mostrar la información correcta de forma fiable, y el análisis más rápido de señales poco fiables sigue siendo poco fiable.

“Con la IA, ciertos eslabones pueden ir mucho más rápido, quizás mucho mejor, pero la cadena en su conjunto sigue estando prácticamente igual”, dijo Anton.

Una arquitectura de confianza cero cambia la cadena en sí misma.  

Cuando la red está segmentada y las cargas de trabajo solo pueden comunicar a través de rutas explícitamente permitidas, el SOC tiene una superficie de detección mucho menor que cubrir.  

Esto significa que la IA que se aplica a ese entorno puede funcionar según lo previsto, ya que el problema de la relación señal-ruido se reduce con la superficie de ataque. El modelo de confianza cero hace que la IA en el SOC sea útil.

Cada historia de éxito en la transformación de un SOC comienza con la arquitectura.

Durante nuestra conversación, Anton describió el puñado de organizaciones que realmente lograron romper ese ciclo.  

Netflix dejó de usar su plataforma SOC en 2018. Google emplea un modelo de detección basado en la ingeniería. Anton incluso mencionó un importante banco europeo que reconstruyó completamente su SOC desde cero.

Lo que hicieron estas organizaciones de manera diferente fue abordar la arquitectura de frente. Eso implica reconstruir cómo funciona el acceso, cómo se gestiona la confianza en el tráfico y cómo se estructura el entorno.  

Es un trabajo lento y costoso. La mayoría de las organizaciones optan por comprar herramientas, y el ciclo continúa.

Para salir del estancamiento se requiere voluntad organizacional, el apoyo de la dirección ejecutiva y la disposición a dejar de poner parches y empezar a reconstruir. También requiere un objetivo arquitectónico claro.  

Zero Trust establece ese objetivo como un conjunto de principios de diseño que, al aplicar al entorno que monitoriza su SOC, cambian la economía fundamental de la detección.

Zero Trust es la única respuesta a una superficie de ataque que no deja de crecer.

La IA está ampliando la superficie de ataque más rápido que cualquier ola tecnológica anterior, y la mayoría de los centros de operaciones de seguridad (SOC) no están diseñados para gestionarla.  

La suposición de que el perímetro era válido ya se rompió antes de la llegada de la IA. Agregar herramientas de IA sobre esa base deficiente produce el mismo resultado que cada oleada anterior de inversión en herramientas: procesos más rápidos, pero los mismos resultados.

Tanto Erik como Anton fueron claros en dos puntos. Los problemas arquitectónicos fundamentales que provocan resultados de detección deficientes son bien conocidos, pero en gran medida no se abordaron. Y los equipos que deciden abordar estos problemas están, sin duda, en mejor situación.

El enfoque de Zero Trust es donde comienza ese trabajo. Replantea la arquitectura, pasando de considerarla una restricción fija a convertirla en el problema central a resolver. Esa nueva perspectiva está al alcance de cualquier líder de seguridad, independientemente del tamaño de la organización, la cotización o la deuda heredada.  

Escucha el episodio completo de The Segment: A Zero Trust Leadership Podcast en Apple Podcasts, Spotify, o Nuestro sitio web.