Modelo de CCMAD para el reparto y coordinación de responsabilidades de los equipos de ciberseguridad en una gran ciudad, usando como ejemplo la atención a un incidente.
3. Centro de Ciberseguridad Ayuntamiento de Madrid
#CCMAD - @gobispo
Si Vis Pace Para Bellum
¿Desde dónde llegan los inputs?
Dirección
SOC-OPS Auditoría
Ingeniería
Cultura GRC
Malabares
4. Centro de Ciberseguridad Ayuntamiento de Madrid
#CCMAD - @gobispo
Si Vis Pace Para Bellum
El día del ransomware serendipitoso
Caso 100% absolutamente real
(salvo lo que me he inventado)
«Era un día laborable como cualquier otro, cuando
nuestro amigo Antonio (nombre en clave) hizo una
llamada telefónica serendipitosa, para presentarse ante el
responsable de seguridad de una unidad del
Ayuntamiento a la que quería proponer una revisión de
sus sistemas…»
—Buenos días. Soy Antonio, del CCMAD. ¿Podría
hablar con el responsable de seguridad de una unidad del
Ayuntamiento a la que..?
—¡Oh, no! ¿Antonio, del CCMAD? ¡Cielo Santo! ¿Me
llamas por lo del Ransomware, verdad?
—Por supuesto. ¿Por qué otra cosa habría de llamar?
5. Centro de Ciberseguridad Ayuntamiento de Madrid
#CCMAD - @gobispo
Si Vis Pace Para Bellum
Adquisición de conocimiento
DETECCIÓN CONTENCIÓN MITIGACIÓN RECUPERACIÓN
POST
INCIDENTE
SOC-OPS Auditoría Ingeniería Cultura
Ciber
GRC
Toma de control
Monitorización
específica
Registro de evidencias
Búsqueda por
indicadores
Las
personas
mienten
6. Centro de Ciberseguridad Ayuntamiento de Madrid
#CCMAD - @gobispo
Si Vis Pace Para Bellum
Reducción del impacto
DETECCIÓN CONTENCIÓN MITIGACIÓN RECUPERACIÓN
POST
INCIDENTE
SOC-OPS Auditoría Cultura
Ciber
GRC
Triaje
Procedimiento de
contención
Comunicación con
responsables
Valoración del impacto
Ingeniería
7. Centro de Ciberseguridad Ayuntamiento de Madrid
#CCMAD - @gobispo
Si Vis Pace Para Bellum
Aplicación de las medidas de protección
DETECCIÓN CONTENCIÓN MITIGACIÓN RECUPERACIÓN
POST
INCIDENTE
SOC-OPS Auditoría Cultura
Ciber
GRC
Análisis de
causas y síntomas
Comunicación con
afectados
Ingeniería
Verificación de
medidas adoptadas
Medidas de protección
Imputación formal
de responsabilidades
8. Centro de Ciberseguridad Ayuntamiento de Madrid
#CCMAD - @gobispo
Si Vis Pace Para Bellum
Retorno al nivel de operación
DETECCIÓN CONTENCIÓN MITIGACIÓN RECUPERACIÓN
POST
INCIDENTE
SOC-OPS Auditoría Cultura
Ciber
GRC
Aceptación de las
medidas adoptadas
Ingeniería
Monitorización de
sistemas afectados
Retorno al nivel de
operación
Comunicación de
vuelta al servicio
Planificación del seguimiento
9. Centro de Ciberseguridad Ayuntamiento de Madrid
#CCMAD - @gobispo
Si Vis Pace Para Bellum
Lecciones aprendidas
DETECCIÓN CONTENCIÓN MITIGACIÓN RECUPERACIÓN
POST
INCIDENTE
SOC-OPS Auditoría Cultura
Ciber
GRC
Elaboración de informe
sobre incidente
Ingeniería
Descubrimiento de
casos afines
Formación y
concienciación
Revisiones de mejora
en configuraciones
Revisiones de mejora
procedimentales
10. Centro de Ciberseguridad Ayuntamiento de Madrid
#CCMAD - @gobispo
Si Vis Pace Para Bellum
Dice que va a ayudar,
pero no lo hace
No tiene ni idea de
nada de lo que se
habla
Aparece solo para la
última reunión
Hace el 99% del
trabajo previsto
Trabajar en grupo es facilísimo
Trabajar en grupo es facilísimo…
Estudio tipológico del comportamiento
individual en un equipo de trabajo
EJECUTOR
REMATADOR
PROMETEDOR
ABSTRACTOR
11. Centro de Ciberseguridad Ayuntamiento de Madrid
#CCMAD - @gobispo
Si Vis Pace Para Bellum
Sujétame el cubata
Trabajar en grupo es facilísimo… cuando estoy solo
12. Centro de Ciberseguridad Ayuntamiento de Madrid
#CCMAD - @gobispo
Si Vis Pace Para Bellum
Un equipo serendipitoso
Allá donde se cruzan los caminos
¡GRACIAS!
Notas del editor
SOC-OPS: 3 canales de Teams
CCMAD SOC-OPS Perenne
CCMAD + Interesados unidad afectada
CCMAD + Unidades tecnológicas IAM
Auditoría: Escaneo de IPs y puertos
GRC: Comienza a imputar responsabilidades y determinar criticidad
Ingeniería: Estudio de atribución y estado de los activos comprometidos
SOC-OPS: Clasificación y priorización
CCMAD
Auditoría: Evidencias de activos afectados
Ingeniería: Recolección de IOCs
GRC: Constatación de la criticidad de la información y los sistemas
SOC-OPS: Decisiones: relación de acciones de contención
Bloqueo de direcciones y puertos
Inactivación de cuentas y credenciales de acceso
Cultura ciber: En caso necesario avisa a los responsables de negocio (funcionales)
SOC-OPS
Identificar TTPs
En caso necesario notificación al CSIRT
Proponer medidas de protección
GRC: Asociación de medidas con responsables
Ingeniería: Asignación de medidas de protección a unidades tecnológicas
Actualización de productos (parcheado)
Reseteo de credenciales
Modificación de configuraciones
Auditoría: Verificación del estado de las medidas de protección solicitadas
Cultura ciber: En caso necesario avisa a usuarios del servicio, opinión pública, etc.
Auditoría: Las medidas solicitadas ya se están cumpliendo
Identificar TTPs
En caso necesario notificación al CSIRT
Proponer medidas de protección
SOC-OPS: Cierre del incidente, vuelta a la normalidad
CCMAD
GRC: Seguimiento de riesgos en activos afectados
Ingeniería: Seguimiento de unidades tecnológicas afectadas
Cultura ciber: En caso necesario avisa a usuarios del retorno al nivel de operación
SOC-OPS: Recopila todos los datos para informe, incluyendo forense y cede el testigo
Auditoría: Propone revisiones de auditoría técnica sobre casos similares
Ingeniería: Actualiza los Requisitos de Seguridad en Sistemas, Infraestructura, Desarrollo y/o Puesto de Trabajo
GRC: Actualiza la tabla de riesgos y los procedimientos de actuación
Cultura ciber: Registra necesidades de formación o concienciación detectadas y propone acciones
Rematador: Tiene reuniones en el calendario hasta para “cepillarse los dientes”
Protemedor: Siempre está en cursos de formación, preparándose para mejorar
Abstractor: Es capaz de realizar preguntas que nadie sabría responder nunca