Un marco de métricas sociotécnicas para centros de operaciones de red y seguridad

En enero de 2019, publiqué un artículo en Information Security Buzz titulado " ¿Quieres ser una estrella de seguridad?", que exploraba la falta actual de talento en seguridad disponible, la educación requerida, el día típico de un analista de SOC, la fatiga laboral real y las formas de mejorar la moral de los trabajadores de seguridad de la información. También analizamos en profundidad un estudio de 2015, Un modelo de capital humano para mitigar el agotamiento del analista de seguridad , que adoptó un enfoque antropológico para explorar el fenómeno del agotamiento. Pudieron capacitar y luego ubicar a investigadores en diferentes Centros de Operaciones de Seguridad para comprender mejor, más allá de las entrevistas, qué es lo que impulsa el agotamiento. Analizaron la moral, la automatización, la eficiencia operativa, las métricas de gestión y, por supuesto, cómo esto conduce al agotamiento de los analistas. El estudio identificó cuatro factores que inciden en la creación y preservación de analistas de seguridad eficientes: Habilidades, Empoderamiento, Creatividad y Crecimiento.

Mientras nos preparábamos para publicar, me comuniqué con uno de los autores del estudio, Alex Bardas , actualmente profesor adjunto de Ciencias de la Computación en la Universidad de Kansas . Quería agradecerle por la investigación y darle la oportunidad de revisar cómo representamos el estudio.

Durante esa conversación, Alex mencionó que estaba trabajando en una nueva propuesta de subvención a la Fundación Nacional de Ciencias (NSF) para otro proyecto de investigación. Esta propuesta se centró en desarrollar un nuevo marco de métricas para los centros de operaciones de seguridad (SOC) que mide y valida el rendimiento del SOC frente a la seguridad de la red empresarial. Es una colaboración con el profesor Bradley Fidler del Instituto de Tecnología Stevens, quien estudia la evolución a largo plazo de las arquitecturas de red desde una perspectiva social e institucional. Alex preguntó si F5 estaría interesado en colaborar en este proyecto de dos años y el SOC de F5 aceptó con entusiasmo.

Los centros de operaciones de red y los centros de operaciones de seguridad (NOC/SOC) son componentes centrales de las redes empresariales modernas. Las organizaciones implementan NOC/SOC para administrar sus operaciones de red, defenderse de amenazas cibernéticas y mantener el cumplimiento normativo. Tradicionalmente, a estas organizaciones se les proporciona una visión abstracta de la seguridad de la red a través de la interfaz de las métricas NOC/SOC, y el NOC/SOC, a su vez, interactúa con la red a través del software de monitoreo. Al aislar un subconjunto estrecho de mediciones de “rendimiento”, generalmente un recuento cerrado de tickets, estas métricas tergiversan tanto la efectividad del NOC/SOC como la postura de seguridad de la red misma. Estas métricas tienden a incentivar un comportamiento improductivo en un NOC/SOC, ocultar vulnerabilidades de seguridad potencialmente fundamentales en la propia red y desencadenar procesos desestabilizadores de “dimensionamiento” en la organización controladora.

Alex y su equipo quieren desarrollar un nuevo marco de métricas que armonizará el rendimiento del NOC/SOC con la seguridad de la red empresarial. Están construyendo métricas que sirven como indicadores de factores tales como la planificación estratégica y de largo plazo, y brindan a los operadores NOC/SOC sobre el terreno formas de incorporar el conocimiento local en las decisiones de nivel superior. Al final, quieren:

1.Ser transformador en la capacidad de comunicar la eficacia de la seguridad en el mundo real,

2.Adaptarse a las prácticas operativas y de gestión preexistentes del NOC/SOC,

3.Servir como base para una nueva generación de herramientas de seguridad de red empresarial

(lo que a su vez, en última instancia…)

4.Solucionar el círculo vicioso entre las prácticas del NOC/SOC y la toma de decisiones de gestión.

Al tratar las redes, los componentes de seguridad y el personal de operaciones como parte de un sistema interdependiente, las métricas podrán tener en cuenta factores tales como vulnerabilidades de seguridad pendientes, planificación estratégica y de largo plazo e intereses de los distritos electorales, y brindarán a los analistas del SOC en el terreno formas de incorporar conocimiento local en decisiones de nivel superior. Esto podría tener el potencial de desencadenar un cambio importante en el panorama de seguridad al proporcionar un nuevo y poderoso marco para evaluaciones de seguridad en el mundo real.

Hasta ahora, su equipo de investigación ha incorporado a un investigador académico a un centro de operaciones de seguridad separado y está analizando la evolución de las interfaces entre el personal del NOC/SOC, el software de monitoreo de red y la arquitectura de red empresarial. Todavía están en las primeras etapas del proyecto y nuestra participación ha sido más consultiva que práctica. Esperamos poder probar potencialmente algunos de los elementos de la hipótesis del estudio y brindar retroalimentación al equipo cuando sea apropiado.

De cara al futuro, planeamos publicar actualizaciones periódicas del proyecto de investigación, incluidos hitos, análisis iniciales y, con suerte, algunos resultados que puedan ayudarlo en sus operaciones NOC/SOC.