Security Operations Center

Contamos con la certificación SOC 2 Tipo II para garantizar que los riesgos de seguridad se aborden de forma rápida y profesional, respaldados por auditorías independientes periódicas que demuestran cómo funcionan nuestros procesos de seguridad a lo largo del tiempo.

Sofistic puede proporcionar el servicio de Managed Detection and Response (MDR) para responder rápidamente ante incidentes de seguridad, ser independiente de las herramientas, administrar o co-administrar entornos, integrar herramientas periféricas, detectar y responder rápidamente a los incidentes y brindar recomendaciones integrales de remediación.

Agenda una visita privada a nuestro Security Operations Center

Back


Inteligencia artificial para la detección y respuesta a incidentes


Desde 2019 basamos nuestro enfoque de respuesta a incidentes en la detección avanzada con inteligencia artificial y algoritmos de Machine Learning que procuran un alertamiento muy filtrado y fiable. De esta manera se reduce el tiempo de detección y el equipo especialista puede entrar en acción más rápidamente. Esa combinación de inteligencia artificial con capacidades e inteligencia humana es la base sobre la que mejoramos continuamente.

Nuestro equipo de investigación del estado del arte identifica, valora y prueba las distintas soluciones que existen en el mercado. Nuestra aproximación a la tecnología siempre ha sido muy selectiva, eligiendo aquellas tecnologías en las que verdaderamente confiamos y vemos que tienen un enfoque moderno e innovador de la ciberseguridad que tendrá sentido durante al menos 5 años. De esta manera recomendamos a nuestros clientes inversiones en soluciones con recorrido futuro, para que cada recurso (tiempo y dinero) invertido en la solución merezca la pena.


Servicio Managed Detection and Response


Servicio diseñado para garantizar una respuesta rápida y eficiente tanto a ciberataques como a brechas de seguridad, con el objetivo de minimizar el impacto del incidente en las operaciones de la empresa. Este servicio asegura que nuestro equipo de expertos esté disponible inmediatamente para ayudar a su organización en el momento crítico de detectar un incidente.  

Anticipación

Se establecen las bases para una respuesta efectiva y se incluyen las siguientes acciones: 

  • Provisionar recursos: Asegurar la disponibilidad de equipo humano y las herramientas necesarias. Dado que Sofistic dispone personal en dos continentes, se asignarán suficientes recursos como para ofrecer un servicio 24x7. 
  • Definir roles y responsabilidades: Identificar quiénes estarán involucrados en la respuesta, tanto a nivel operativo como de gestión.  
  • Crear políticas y procedimientos: Establecer directrices claras para la correcta monitorización y gestión de incidentes.
  • Desarrollo de playbooks a medida: Personalización de playbooks ya desarrollados previamente o desarrollar nuevos playbooks a medida en función de la arquitectura del cliente y el licenciamiento disponible en cada una de las soluciones que ésta la componen. 

Monitorización, detección y análisis

Se identifican y evalúan los incidentes, incluyendo tareas como: 

  • Análisis de Comportamiento: Monitoreo continuo de patrones de comportamiento normales y anómalos en la red y los procesos de los sistemas para identificar posibles indicadores de compromiso. 
  • Alertas Tempranas: Configuración de umbrales y reglas para generar alertas automáticas cuando se detectan actividades sospechosas o amenazas potenciales. 
  • Correlación de Eventos: Análisis de eventos y alertas para identificar relaciones y patrones que podrían indicar una amenaza más amplia o un ataque coordinado. 
  • Validación de Alertas: Verificación de las alertas generadas para eliminar falsos positivos y confirmar la presencia de una amenaza real. 
  • Clasificación de Amenazas: Clasificación de las amenazas detectadas según su gravedad, impacto potencial y métodos de ataque para priorizar la respuesta. 
  • Notificación de Incidentes: Comunicación de los incidentes detectados al equipo de respuesta a incidentes y a los responsables de la seguridad de la organización. 

Contención

El objetivo es limitar la propagación del incidente. Las principales acciones clave son: 

  • Bloquear el acceso no autorizado: Se debe identificar y detener rápidamente la expansión del ataque eliminando la conexión con el ciberdelincuente. 
  • Aislar sistemas comprometidos: Dependiendo de las herramientas del cliente, se aislará el equipo para evitar que el incidente afecte o se propague a otros sistemas. 
  • Implementar medidas temporales: Ante un incidente, se deberán implementar procesos y procedimientos excepcionales que ayuden a reducir el daño mientras se investiga la causa raíz del incidente. 

 

Active Optimization 

Ajuste constante de las herramientas para minimizar los falsos positivos y la fatiga de alertas para garantizar una detección precisa y eficiente de incidentes de seguridad. Este proceso es una labor continua que implica: 

  • Análisis de Incidentes: Revisar regularmente los incidentes generados por las herramientas de seguridad para identificar patrones y tendencias. 
  • Refinamiento de Reglas: Modificar y ajustar las reglas de detección para reducir falsos positivos sin comprometer la detección de incidentes reales. 
  • Identificación de Patrones: Reconocer patrones recurrentes que podrían indicar un falso positivo y ajustar las herramientas en consecuencia. 
  • Tendencias de Incidentes: Analizar incidentes anteriores para detectar tendencias y puntos débiles en la detección. 

Threat Intelligence

  • Acceso a un TAXII feed con indicadores de compromiso (IoC) identificados por Sofistic o recolectados de diferentes fuentes abiertas y privadas (como foros de FIRST y CSIRT). 
  • Investigación de Indicadores de Compromiso (IoC): búsqueda activa de IoC, tales como direcciones IP, dominios y firmas conocidas de malware, dentro de la propia infraestructura del cliente. Esta funcionalidad quedará limitada a las capacidades del stack tecnológico que esté disponible. 
  • Correlación de Datos: Relación de eventos aparentemente no relacionados para identificar amenazas más complejas.  
  • Análisis de Cadena de Ataque: Desglose detallado de las tácticas, técnicas y procedimientos (TTPs) utilizados por posibles atacantes.  

 

Threat Hunting 

  • Hunting Basado en Inteligencia : Utilizamos Indicadores de Ataque (IOA) que incluyen patrones de tráfico anómalo, firmas de malware conocido y actividades de red sospechosas, permitiendo una respuesta rápida ante posibles infiltraciones.  Además, nos apoyamos en el marco MITRE ATT&CK, una base de datos exhaustiva de tácticas y técnicas utilizadas por los adversarios, que nos permite anticipar y contrarrestar ataques mediante la simulación de patrones de ataque reales. 
  • Hunting Basada en Anomalías: Nos centramos en la identificación de comportamientos inusuales dentro de la red que podrían indicar una amenaza utilizando algoritmos de aprendizaje automático avanzado mediante Machine Learning (ML) para analizar grandes volúmenes de datos y detectar desviaciones respecto a los patrones normales de actividad.  Este análisis se complementa con el uso de herramientas de Análisis de Comportamiento de Entidades y Usuarios (UEBA), que perfilan el comportamiento habitual de los sistemas y usuarios para identificar actividades atípicas que podrían ser precursoras de un ataque. 
  • Hunting basada en Hipótesis: Desarrollamos hipótesis basadas en la inteligencia de amenazas más reciente y nuestra comprensión del panorama de amenazas emergente. Estas hipótesis actúan como guías para investigaciones dirigidas que buscan evidencias de amenazas específicas o patrones de ataque.

Exposure Assessment 

Servicio mediante el cual Sofistic identifica y evalúa los riesgos de seguridad en los sistemas y redes de una empresa. Analizamos cómo y dónde la información crítica puede estar expuesta a amenazas, ofreciendo un panorama claro de las vulnerabilidades.  

  • Footprinting para recopilar información sobre la organización, sus sistemas y su presencia en línea. El objetivo es identificar activos digitales, comprender el entorno de seguridad de la organización y detectar posibles amenazas o vulnerabilidades. Para ello realizaremos las siguientes acciones: 
  • External Attack Surface Management (eASM) consiste en la continua visibilidad de dominios e IPs, para incrementar el conocimiento de la superficie de ataque en el entorno del cliente, cuentas de usuarios o aplicaciones cloud. De esta forma se podrá validar qué riesgos representan dichas exposiciones y gestionar de forma efectiva la exposición. 
  • Human Footprinting: El servicio de human footprinting, se centra en el análisis de la información que se encuentra disponible en las brechas de seguridad publicadas. Así, partiendo del dominio realizaremos una búsqueda de los emails filtrados, sobre los que trabajaremos para: 

Attack Simulation 

Servicio que permite a las empresas evaluar su seguridad simulando ciberataques en un entorno controlado, identificando así vulnerabilidades sin riesgo real. 

  • Simulación de amenazas con malware: Realización de ejercicios controlados con malware inocuo desarrollado por Sofistic, para identificar posibles brechas de seguridad. Estos ejercicios se realizarán de forma planificada con el cliente. 
  • Red Team: Auditorias de seguridad en las que se simula un ataque realista a una organización desde la perspectiva de un equipo de ataque o adversario externo para evaluar y poner a prueba la infraestructura, políticas y procedimientos de seguridad de una organización. En estos ejercicios, un equipo de profesionales de seguridad, conocidos como el "equipo Red Team," utiliza tácticas, técnicas y procedimientos avanzados para intentar penetrar en la infraestructura de la organización, comprometer sistemas, robar datos o realizar otras actividades maliciosas similares a las que podrían llevar a cabo ciberdelincuentes reales. 

Certificaciones


Nuestros analistas de ciberseguridad y expertos en mitigación de amenazas más experimentados han asegurado activos de misión crítica en entornos de seguridad nacional 24 horas al día, 7 días a la semana, 365 días al año.

Nuestro Security Operations Center está certificado y opera bajo los mismos procesos, metodologías y tecnologías en sus sedes de España, Colombia y Panamá, con una estrategia follow the sun. Esto garantiza una coherencia en la calidad del servicio y una consistencia en la aplicación de las mejores prácticas de ciberseguridad cerca de nuestros clientes.

Un reconocimiento internacional a la efectividad de los controles internos y los procesos del SOC de Sofistic que demuestra nuestro compromiso con la seguridad y la integridad de los datos.

ISO 27001 promueve la mejora continua al requerir que las organizaciones revisen y actualicen regularmente su SGSI para garantizar su eficacia y relevancia. Esto fomenta una cultura de mejora continua en materia de seguridad de la información.

Ser miembros de FIRST permite a nuestros equipos de respuesta a incidentes responder de manera más efectiva a los incidentes de seguridad, tanto reactivos como proactivos.

Sofistic es miembro y mantiene relación con multitud de centros nacionales e internaciones de ciberseguridad como CSIRT.es, en los que es un miembro muy activo. La relación con las Fuerzas y Cuerpos de Seguridad del Estado y con el Centro Nacional de Inteligencia (CNI) también es muy cercana.

 

 

La certificación del Esquema Nacional de Seguridad de España es fundamental para garantizar la seguridad de la información y los sistemas de información en las organizaciones públicas y privadas del país. Proporciona un marco normativo sólido y establece requisitos claros que ayudan a proteger los activos de información y a mitigar los riesgos de

Solicita una reunión para presupuestar el servicio de Managed Detection and Response

Back

Preguntas frecuentes sobre MDR (Managed Detection and Response)

Los contratos del servicio de Managed Detection and Response son anuales.

Para establecer el precio del servicio nos basamos en tres métricas:
1. El número y alcance de los servicios a prestar dentro del contrato.
2. Las herramientas y soluciones de ciberseguridad que se van a utilizar, así como su nivel de licenciamiento.
3. La volumetría de endpoints y usuarios a monitorizar.
Con todo ello podemos estimar la cantidad de casos que vamos a gestionar en un año y la metodología de gestión y equipo que será necesario. Nuestro enfoque siempre es cost-effective, para tener la mayor efectividad en la respuesta a incidentes al menor costo posible.