Cómo Construir Un Soc Eficiente Para Una Red De Telecomunicaciones Moderna

 La seguridad en las telecomunicaciones sigue siendo un tema candente, ya que tanto las amenazas como los panoramas regulatorios siguen evolucionando. Si bien 4G ya es dominante en las regiones desarrolladas y el despliegue de 5G avanza activamente, muchas empresas de telecomunicaciones también admiten 2/3G. Sin embargo, los protocolos tecnológicos subyacentes (SS7 y SIGTRAN para 2/3G, Diameter para 4G y SIP, GTP) conllevan vulnerabilidades heredadas que las empresas de telecomunicaciones deben reconocer y proteger.

El protocolo de señalización de Diameter es naturalmente más seguro de lo que demostró ser SS7, pero aún es propenso a ciertas amenazas de la industria.

Sin embargo, asegurar los protocolos de señalización es solo un aspecto de la seguridad de las telecomunicaciones. Según Informe de la Comisión Europea, más del 48 % del total de horas de los usuarios se perdieron debido a fallas del sistema y fallas de hardware en particular. Los sistemas heredados ya no hacen frente al aumento de las cargas de manera oportuna. Tampoco están debidamente reforzados para resistir las ciberamenazas emergentes.

A continuación un perito en telecomunicaciones con una vasta experiencia nos explica cómo construir un SOC eficiente para una red de telecomunicaciones moderna.

Los dos tipos de modelos de servicio SOC.

Como unidad comercial dedicada, un centro de operaciones de seguridad (SOC) utiliza una combinación de procedimientos operativos estándar (SOP) y soluciones tecnológicas para monitorear, evaluar, responder y prevenir amenazas cibernéticas en telecomunicaciones.

Dichas unidades pueden establecerse internamente o encargarse «como un servicio» de un proveedor. Construir un SOC internamente requiere niveles más altos de madurez en seguridad cibernética, experiencia en nichos y presupuestos respectivos. Por ejemplo, las empresas con un presupuesto total de seguridad $ 31 millonesasignan un tercio al mantenimiento del SOC.

Optar por los servicios administrados de SOC, por otro lado, elimina los costos OPEX de establecer operaciones internamente. Además, dichas asociaciones operativas brindan acceso inmediato al conocimiento de seguridad de telecomunicaciones requerido, así como a las mejores prácticas operativas y la guía de adopción.

Los dos modelos de servicio SOC más aplicables para telecomunicaciones son SOC administrado y SOC dedicado.

SOC administrado

También conocido como SOC como servicio, el modelo SOC administrado asume la delegación inclusiva de la configuración del centro de operaciones de seguridad, desde la evaluación de seguridad inicial hasta la configuración de la arquitectura SOC, la incorporación del equipo y el mantenimiento continuo.

Una unidad SOC gestionada funciona como una extensión bajo demanda de sus operaciones de seguridad, cubriendo completamente un espectro de necesidades de seguridad como:

  • Compatibilidad con L1/L2/L3
  • Implementación de detección automática de amenazas
  • Implementación e informes de análisis de seguridad
  • Implementación de casos de uso de SOC personalizados, basados en SLA

Todo lo anterior se aborda con las mejores prácticas SIEM (Gestión de eventos de información de seguridad) y SOAR (Respuesta de automatización de orquestación de seguridad) en el núcleo.

El SOC gestionado es la solución óptima para las telecomunicaciones locales y regionales, ya que este modelo de servicio ofrece la relación precio-valor óptima. Un proveedor de SOC administrado con experiencia puede ayudar tanto con la adopción de tecnología como con la dotación de personal.

Lo que recibes:

  • Configuración de arquitectura de seguridad personalizada
  • Configuración del kit de herramientas SIEM/SOAR
  • Cumplimiento de los requisitos normativos aplicables (GDPR, CNPI, etc.)
  • Recursos personales de seguridad, compartidos con otros proveedores

Caso en cuestión: Infopulse ayudó recientemente a un proveedor de telecomunicaciones con la introducción y configuración del sistema SIEM (Azure Sentinel). Después de realizar una evaluación en profundidad de la arquitectura de seguridad del cliente, las necesidades de seguridad y la cartera de tecnología existente, nuestros especialistas en seguridad ayudaron a identificar los casos de uso prioritarios para SIEM e implementarlos. Esto ha ayudado al proveedor a reequilibrar los costos de tecnología y mejorar la cobertura de seguridad.

SOC dedicado

Como su nombre lo indica, una unidad SOC dedicada supone establecer una unidad remota especializada para cubrir todas sus tareas de seguridad las 24 horas del día, los 7 días de la semana. A diferencia de los servicios SOC administrados, el personal no se comparte con otros proveedores y trabaja exclusivamente para su organización.

Los servicios SOC dedicados son una buena alternativa a la creación interna de equipos SOC, ya que este modelo permite:

  • Acceso más rápido al talento requerido
  • Soporte proactivo con el establecimiento de funciones de servicio SOC adecuadas
  • Desarrollo de procedimientos operativos estándar
  • Configuración y endurecimiento de la arquitectura de seguridad
  • Definición de los niveles de dotación de personal del SOC y desarrollo de horarios
  • Apoyo en la implementación y configuración de una solución tecnológica.

Lo anterior, sin embargo, viene con una mayor inversión. No solo necesita crear operaciones SOC, sino también garantizar su eficacia continua. Respectivamente, se requiere un mayor nivel de madurez operativa tanto para el establecimiento como para la supervisión diaria. Esto hace que el modelo SOC dedicado sea más aplicable a las telecomunicaciones más grandes, corporaciones nacionales y globales, que requieren mejores niveles de cobertura regional.

Una unidad de SOC dedicada puede cubrir una gama más amplia de casos de uso de SOC personalizados, que van desde el soporte básico y el monitoreo del tráfico de red hasta la detección de anomalías impulsada por IA y la inteligencia predictiva de amenazas.

Ejemplos de tareas específicas de telecomunicaciones que una unidad SOC dedicada puede cubrir:

Seguridad y protección de los sistemas SIP contra los vectores de ataque comunes (suplantación de identidad del servidor, manipulación de cuerpos de mensajes, etc.).

Protección del protocolo de red SS7 (por ejemplo, contra mensajes intra-PLMN, redirección/inicio de tráfico, etc.)

Casos de fraude de SMS (como escaneo GT, falsificación de SMS, falsificación de SMS, etc.)

Casos de fraude de voz (p. ej., fraude de participación en los ingresos internacionales, supervisión de respuestas falsas, fraude de roaming, secuestro de números, etc.).

Fortalecimiento y protección de redes VoIP (p. ej., utilizando protocolos de administración segura como SDES, ZRTP y DTLS).

La ventaja definitiva de un equipo SOC dedicado es una cobertura de seguridad integral altamente personalizable. Además de recibir asistencia con la arquitectura SOC inicial y la configuración del equipo, también se beneficia de las recomendaciones continuas y las mejoras continuas en sus niveles de seguridad y servicio al cliente.

Caso en cuestión: para garantizar una mejor cobertura regional, Deutsche Telekom estableció recientemente una unidad SOC en Singapur, su centro número 17 del mismo tipo. La empresa informa que enfrenta más de 42 millonesataques cibernéticos por día, con picos ocasionales de 60 millones. Tener una red tan amplia de unidades SOC permite a Deutsche Telekom analizar diariamente más de 2500 millones de eventos relacionados con la seguridad, utilizando una combinación de recursos de seguridad humanos y ba
sados en inteligencia artificial. Tal configuración les permite realizar una corrección de problemas casi inmediata y actualizaciones en tiempo real para los clientes.

Cómo construir un SOC: caso de negocios para adopción en telecomunicaciones

Telecom, como ninguna otra industria, comprende la importancia de la seguridad y el cumplimiento de los datos. De ello se deduce que muchos ya se dan cuenta de la necesidad y el valor de establecer una unidad SOC . Sin embargo, son las complejidades operativas las que ralentizan la adopción. Si ese es su caso, le sugerimos el siguiente marco de tres pasos.

1. Evalúe sus necesidades y procesos de seguridad

Si bien SOC cubre algunos aspectos de la seguridad reactiva , es principalmente una unidad de ciberseguridad proactiva , destinada a la detección de amenazas y la prevención temprana, en lugar de la remediación posterior al ataque.

Respectivamente, debe comprender dónde se encuentra su empresa en cuanto a seguridad antes de elaborar el plan de contingencia óptimo. Esto implica realizar una evaluación exhaustiva de la arquitectura de TI y formalizar:

  • ¿Qué escenario de protección de la infraestructura de TI crítica debe implementarse?
  • ¿Qué prácticas de registro y monitoreo de eventos de referencia deben implementarse?
  • ¿Cómo se debe ejecutar un plan de respuesta de ciberseguridad reactivo?
  • ¿Qué capacidades de detección, prevención y monitoreo de amenazas necesita?

Además, según recomendaciones ETSI, vale la pena determinar por separado:

  • Objetivo de medición (TOM) : la parte mínima de la infraestructura que debe monitorearse continuamente para garantizar la seguridad operativa.
  • Vista de garantía de seguridad (SAV) : una representación detallada de los resultados de la medición (es decir, cómo se informará la información sobre la garantía de seguridad operativa).

Estas dos métricas deberían ayudarlo a crear un terreno común para la confianza entre todos los equipos de seguridad y estandarizar los informes y la comunicación sobre incidentes de seguridad.

2. Crear una lista de requisitos para operaciones SOC

Una vez identificados los trabajos de seguridad a realizar, debe traducirlos en funciones específicas que asumirá su equipo SOC.

La mayoría de los proveedores de SOC administrados proponen planes de cobertura de servicios escalonados. Acercarse a la selección con una lista personalizada lo ayudará a seleccionar el paquete de servicio óptimo o negociar casos de uso personalizados para evitar brechas en la cobertura.

Específicamente, una lista de requisitos para SOC debe incluir:

  • Monitoreo de seguridad (por ejemplo, 24/7, monitoreo en tiempo real para una lista de componentes de red, aplicaciones OSS/BSS, entornos y sistemas operativos host).
  • Gestión de incidentes (p. ej., métricas específicas de SLA para tiempo de respuesta inicial, tiempo medio de recuperación, etc.).
  • Requisitos de personal (p. ej., tipos de roles de seguridad cibernética que busca desempeñar, horario óptimo de personal).
  • Capacidades de detección de amenazas (p. ej., implementación de SIEM/SOAR en Azure o detección de amenazas de VoIP).
  • Requisitos de fortalecimiento de la red (p. ej., si desea implementar protección adicional para redes IoT o implementar una red definida por software (SDN), etc.).
  • Esencialmente, debe tener requisitos claros para dos niveles: tecnológico y operativo.

Detengámonos un poco más. La composición del equipo SOC y los atributos generales son factores cruciales para el éxito. Un horario mediocre dará como resultado una cobertura incompleta y roles de seguridad faltantes.

Un equipo de SOC de telecomunicaciones con buen desempeño debe cubrir cuatro roles esenciales:

  • Analista de seguridad
  • Especialista en seguridad
  • Investigador de amenazas
  • Gerente SOC

Estos especialistas deben tener una lista limitada de responsabilidades, horarios de rotación factibles y recibir capacitación continua sobre nuevos procedimientos operativos.

Obtenga más información sobre las características clave de los equipos SOC de alto rendimiento en telecomunicaciones.

3. Comparar proveedores

Una vez que sepa qué activos necesita proteger y cómo hacerlo mejor, vuelva a la selección del modelo de servicio SOC.

Los servicios SOC administrados ofrecen el beneficio de una implementación más rápida. Esta opción también es más adecuada para empresas de telecomunicaciones con niveles generales más bajos de madurez en ciberseguridad, ya que se beneficia de la experiencia y orientación del proveedor en lo que respecta a la selección de tecnología y el establecimiento del procedimiento operativo. Los costos operativos también son altamente competitivos, ya que comparte personal rotativo con otros clientes. Sin embargo, este factor puede ser un factor decisivo para las telecomunicaciones más grandes, que requieren un monitoreo más extenso y un aislamiento completo de datos/operaciones según los requisitos de cumplimiento.

En ese sentido, tiene sentido establecer una unidad SOC dedicada. Planifique una línea de tiempo de configuración más larga, pero aproveche el alcance ilimitado de las tareas de seguridad y los casos de uso de SOC que la entidad recién establecida puede manejar. Un SOC dedicado es una opción firme para los proveedores, ya que requiere experiencia y recursos locales adicionales, así como acceso a las últimas herramientas tecnológicas sin el costo de abrir otra oficina en la región.

Para concluir

Las herramientas de seguridad de última generación no pueden hacer frente por sí solas al volumen alarmante de amenazas diarias que enfrentan las telecomunicaciones en la actualidad. La ciberseguridad en las telecomunicaciones es un acto de equilibrio entre talento, tecnología y procedimientos comprobados para localizar vulnerabilidades potenciales y cubrir esas brechas antes de que se manifiesten en infracciones disruptivas. Esencialmente, eso es lo que ofrece la unidad SOC.

Scroll al inicio