Creada por John Tuckner y el equipo de Tines, la plataforma de automatización y flujo de trabajo impulsada por IA, SOC Automation Capability Matrix (SOC ACM) es un conjunto de técnicas diseñadas para ayudar a los equipos de operaciones de seguridad a comprender sus capacidades de automatización y responder de manera más efectiva a los incidentes. Una herramienta personalizable e independiente del proveedor que presenta listas de oportunidades de automatización, ha sido compartida y recomendada por miembros de la comunidad de seguridad desde su lanzamiento en enero de 2023, en particular por el ingeniero de Airbnb Allyn Stott en su charla sobre BSides y Black Hat, Cómo aprendí a detenerme. Preocuparse y construir un programa moderno de detección y respuesta. El SOC ACM ha sido comparado con los marcos MITRE ATT&CK y RE&CT, y un usuario dijo: «podría ser un estándar para la clasificación de automatizaciones SOAR, un poco como el marco RE&CT, pero con más enfoque en la automatización». Ha sido utilizado por organizaciones de tecnología financiera, seguridad en la nube y más, como base para evaluar y optimizar sus programas de automatización de seguridad. Aquí, analizaremos más de cerca cómo funciona SOC ACM y compartiremos cómo puede usarlo en su organización. ¿Qué es la matriz de capacidades de automatización del SOC? La Matriz de capacidades de automatización de SOC es un conjunto interactivo de técnicas que permiten a los equipos de operaciones de seguridad responder de forma proactiva a incidentes comunes de ciberseguridad. No es una lista de casos de uso específicos relacionados con ningún producto o servicio, sino una forma de pensar en las capacidades que una organización podría seguir. Ofrece una base sólida para que los principiantes comprendan lo que es posible con la automatización de la seguridad. Para programas más avanzados, sirve como fuente de inspiración para futuras implementaciones, una herramienta para medir el éxito y un medio para informar los resultados. Si bien la herramienta es independiente del proveedor, combina bien con una plataforma como Tines, que fue desarrollada por profesionales de la seguridad para ayudar a otros profesionales de la seguridad a mejorar sus procesos de misión crítica a través de la automatización del flujo de trabajo y la IA. ¿Cómo funciona la Matriz de Capacidades de Automatización del SOC? El SOC ACM se divide en categorías que contienen capacidades de automatización. Cada capacidad comprende: Descripción: una breve descripción general de lo que está haciendo la capacidad Técnicas: ideas independientes de la tecnología sobre cómo implementar la capacidad Ejemplos: plantillas de flujo de trabajo relevantes de la biblioteca Tines Referencias: otras investigaciones que contribuyen a la capacidad El marco se lee de izquierda a derecha y de arriba a abajo dentro de las categorías. Si bien hay opiniones mínimas sobre qué capacidades aportan el mayor valor o son más fáciles de implementar, el marco se adapta a lo que las organizaciones consideran más valioso. Cada capacidad puede estar independiente en la matriz, pero unir muchas capacidades puede producir resultados muchos más complejos e impactantes. Cómo utilizar la matriz de capacidades de automatización de SOC A continuación, ilustraremos cómo utilizar SOC ACM, tomando como ejemplo la respuesta de phishing. Muchas organizaciones utilizan múltiples técnicas para encontrar y analizar mensajes sospechosos y responder adecuadamente a los correos electrónicos maliciosos. Para comenzar, estos son algunos procesos que una investigación de phishing de rutina podría incluir: Recibir un correo electrónico o una alerta de phishing Enviar una notificación al equipo de seguridad para su procesamiento Crear un ticket para rastrear y registrar el análisis Revisar los elementos del correo electrónico, incluidos archivos adjuntos, enlaces, y encabezados de mensajes de correo electrónico. Si es sospechoso, elimine el correo electrónico y agregue funciones a las listas de bloqueo. Envíe una notificación al destinatario con una actualización de estado. Dentro de la capacidad de la matriz, las alertas de phishing aparecen en la sección Manejo de alertas; menciona que muchas organizaciones implementan herramientas como puertas de enlace de seguridad de correo electrónico para evitar que se envíen correos electrónicos sospechosos a las bandejas de entrada y al mismo tiempo generan alertas de campañas de ataque que podrían automatizarse. La capacidad también describe una estrategia para crear una bandeja de entrada específica para que los usuarios reenvíen fácilmente correos electrónicos de phishing que puedan haber pasado por los filtros. La implementación de ambas capacidades ofrece la oportunidad de comenzar un flujo de trabajo de automatización. Una vez que se ha identificado un mensaje sospechoso, ya sea a través del informe del usuario o de la alerta generada, estarán disponibles más capacidades de automatización. Una recomendación es crear una ubicación para rastrear el ciclo de vida de cada alerta lo antes posible. Utilizando la capacidad de Ubicación de seguimiento en la sección Seguimiento de problemas, podemos identificar dónde se deben registrar, actualizar e informar estas alertas. Observe cómo el flujo de trabajo ahora se ha movido entre secciones de la Matriz de capacidades de automatización para extender el proceso. Una vez decidida la ubicación de la alerta y el seguimiento, podemos pasar a realizar un análisis exhaustivo de la alerta de phishing en cuestión. Los correos electrónicos de phishing suelen contener archivos adjuntos potencialmente maliciosos y enlaces sospechosos para capturar material de autenticación y, por lo general, se envían desde fuentes falsificadas. Pasando a la fase de enriquecimiento, queremos centrarnos en utilizar algunas capacidades clave como mínimo: Análisis de dominio para cualquier enlace presente en el cuerpo del correo electrónico, Análisis de hash de archivos/Análisis de archivos para ver los archivos adjuntos del correo electrónico y Atributos de correo electrónico para Mire más profundamente los encabezados de los correos electrónicos en busca de signos de correos electrónicos de direcciones falsificadas. Para las oportunidades de enriquecimiento, la cantidad de opciones de herramientas y servicios basados ​​en API que se pueden utilizar para proporcionar estas capacidades crece exponencialmente. Algunas opciones comunes incluyen VirusTotal para archivos, URLscan para dominios y EmailRep para información del remitente. Cada uno de estos resultados de enriquecimiento se puede registrar en la ubicación de seguimiento asociada identificada previamente para documentar los resultados y proporcionar a los analistas una vista de los resultados. Esto muestra cuántas capacidades de la misma sección se pueden aplicar al mismo flujo de trabajo de automatización, en este caso, para proporcionar la mayor cantidad de información posible a los analistas. Una vez que se produce el enriquecimiento, es posible que ya se llegue a un veredicto, pero lo más probable es que el problema requiera una revisión rápida por parte de un analista. En este punto, la sección Interacción del usuario se vuelve crítica. Para comenzar, podemos usar alertas de chat para notificar al equipo de seguridad en un canal de Slack que llegó un correo electrónico de phishing y que se creó un problema de seguimiento, con varios detalles de enriquecimiento agregados a medida que el contexto adicional esté listo para su revisión. Eso se encarga de informar al equipo de seguridad, pero ¿qué pasa con la actualización de los usuarios que podrían verse afectados o que informaron el correo electrónico? Los procesos de respuesta al phishing, en particular, son únicos porque muchas organizaciones capacitan activamente a los usuarios para que informen sobre correos electrónicos que podrían identificar como sospechosos. Informar a estos usuarios con un veredicto confiable en un corto período de tiempo es una excelente manera de potenciar operaciones como la firma rápida de documentos confidenciales o la prevención de brotes masivos de malware. Para hacer esto, podemos utilizar la capacidad de Notificación de usuario para identificar al usuario que informó el correo electrónico y proporcionarle los resultados del análisis del correo electrónico. En el caso de la interacción del usuario, no se trata solo de notificaciones adicionales al equipo de seguridad, sino también de ampliar el alcance y empoderar a otros con información en tiempo real para tomar las decisiones correctas. En este punto, ha habido mucha actividad y tenemos mucho conocimiento a nuestra disposición. Si bien siempre es útil disponer de más información, actuar en consecuencia es lo que más cuenta en última instancia, lo que da lugar a la fase de remediación. Muchos de los puntos de datos (indicadores) que recopilamos antes se pueden utilizar para acciones correctivas. Dependiendo de cómo se haya desarrollado la situación, podríamos seguir algunos de los siguientes pasos: Lista de bloqueo de dominios: agregue cualquier dominio y URL identificados como sospechosos a una lista de bloqueo. Lista de bloqueo de hash de archivos: agregue cualquier hash de archivo identificado como malicioso a una lista de bloqueo. Eliminación de correo electrónico: elimine los correos electrónicos relacionados con una campaña de ataque de las bandejas de entrada. Invalidación de contraseña: cambie las contraseñas de cualquier usuario que haya enviado credenciales a un sitio web de phishing. La clave para cualquier solución es saber qué es posible y empezar poco a poco, especialmente cuando se utiliza la automatización para generar confianza. Una forma de hacerlo es proporcionar enlaces o botones en los que sea necesario hacer clic manualmente para realizar acciones correctivas, pero de manera repetible. Si desea introducir una automatización completa, mantener listas de dominios sospechosos que pueden bloquearse le proporciona una gran utilidad, un riesgo menor y se puede solucionar rápidamente con poco impacto general cuando se producen errores. Al analizar el proceso de principio a fin, hemos utilizado las siguientes capacidades para ayudar a automatizar acciones críticas para muchos equipos de ciberseguridad: Alertas de phishing Seguimiento de ubicación Análisis de hash de archivos Análisis de dominio Atributos de correo electrónico Alertas de chat Notificación de usuario Lista de bloqueo de dominio Lista de bloqueo de hash de archivos Eliminación de correo electrónico Invalidación de contraseña Un beneficio importante de desarrollar estas capacidades en su organización para abordar un solo proceso, como el phishing, es que muchas de estas capacidades ahora están disponibles para ser reutilizadas con fines adicionales como la detección de malware o el manejo de inicios de sesión sospechosos, lo que facilita cada oportunidad de automatización posterior. Personalización de la matriz SOC ACM también está disponible en GitHub para aquellos que prefieren ejecutarlo ellos mismos o contribuir. De esta manera, el SOC ACM se puede personalizar completamente para satisfacer sus necesidades. Esto incluye: Agregar nuevas categorías y capacidades Reorganizar según sus prioridades Seguimiento de flujos de trabajo de automatización que se alinean con estas capacidades Exportar la configuración Modo oscuro y claro También puede evaluar diferentes entornos u diferentes organizaciones de manera diferente creando tableros separados. Por ejemplo, si tu organización adquiere una empresa con capacidades diferentes a la tuya, puedes utilizar la matriz para visualizar ese entorno de manera completamente diferente. Toda esta configuración se puede almacenar localmente en su navegador para mayor privacidad. Además de exportar la configuración, puedes importarla para revivir evaluaciones anteriores, todo sin una cuenta de inicio de sesión y sin ningún seguimiento. SOC ACM como herramienta de generación de informes Los equipos que acceden a SOC ACM en GitHub también pueden usar la matriz para demostrar visualmente dónde se encuentran en su viaje de automatización y comunicar el valor de su programa de automatización al liderazgo y otras partes interesadas clave. Poco después de implementar algunas capacidades, los equipos comprenderán qué capacidades están utilizando más, las actividades asociadas y su valor, como el tiempo ahorrado o el tiempo de respuesta reducido. Esto les permite compartir resultados con equipos relevantes y decidir qué priorizar a continuación. Estudio de caso: seguimiento del tiempo ahorrado y ejecuciones para mostrar valor con SOC ACM En el Tines Roadshow: San Francisco, el creador de SOC Automation Capability Matrix, John Tuckner, compartió cómo trabajó con una empresa de tecnología financiera para evaluar y mejorar su programa de automatización. utilizando la matriz. Le dijeron a Tuckner: «La Matriz de Capacidad de Automatización nos ayuda a organizar nuestros flujos de trabajo, identificar qué flujos de trabajo nos ahorran más tiempo y resaltar áreas de oportunidad futuras». Aspectos destacados: 25 capacidades implementadas y etiquetadas 10 flujos de trabajo que utilizan comandos de barra diagonal de Slack con 2000 ejecuciones Envío de flujos de trabajo de avisos multifactor que se ejecutaron 721 veces para ahorrar 6,5 horas de tiempo al mes Recomendaciones: consulte la gestión de listas de IOC para conocer las capacidades de respuesta, «lista de IP», «dominio lista» y «lista hash». Documente y resalte los esfuerzos realizados en el tiempo ahorrado al utilizar la gestión de casos. Estado futuro: qué harán de manera diferente: Abordar las alertas distribuidas, la interacción del usuario a través de Slack Notificación al usuario Respuesta del usuario Actualización de la seguridad Canal de Slack y generación de informes de incidentes para usar un bot de Slack y enrutar informes y solicitudes al subequipo correcto Notificar a los recursos de emergencia Escalamientos cronometrados Comandos de barra Agregue más acciones de respuesta a través de la automatización de Tines a través de nuestro bot Slack Recopilación de artefactos Desactivación del dispositivo MFA Búsqueda de activos (no solo puntos finales, es necesario incluir activos en la nube) La matriz de capacidad de automatización SOC es un recurso útil para los equipos en todas las etapas de su viaje de automatización, ya que brinda inspiración para sus próximas construcciones de automatización y un medio para evaluar su programa de automatización. Si desea explorar la Matriz de capacidades de automatización de SOC con más detalle, la encontrará en Notion, alojado por el equipo de Tines. ¿Encontró interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.