Ante la amplia superficie de amenazas informáticas a las cuales las
organizaciones deben hacer frente en la actualidad, poco a poco las
mismas se ven en la necesidad de no solamente implementar tecnologías
y dispositivos de seguridad, sino que es necesario contar con un equipo
calificado y dedicado a esa labor, quienes puedan revisar y correlacionar
las alertas y eventos generados en todas esas herramientas para
asegurar los 3 pilares de la seguridad: confiabilidad, integridad y
disponibilidad.
Los llamados “Centro de operaciones de Seguridad” (Security Operations
Center o SOC, por sus siglas en inglés) son la materialización de este
concepto. En el presente trabajo se pretenderá explicar la taxonomía y
composición de los SOC, y cuál es la disposición u oferta más adecuada
para las organizaciones cuyo core o actividad principal no es la Seguridad
Informática.
Centros de Operaciones de Seguridad al servicio del negocio
1. Este trabajo se realizó como parte de la materia de Seguridad en redes
anexo de la “Diplomatura en Ciberseguridad”, dictada en la Universidad de Palermo
por el profesor Javier Vallejos Martínez, durante el mes de septiembre del año 2019.
Centros de Operaciones de Seguridad
al servicio del negocio
Cristian Morillas, Nicolas Raggi
Universidad de Palermo, Mario Bravo 1050, CABA, Buenos Aires,
Argentina
2. 2
3
4
4
5
5
6
8
9
9
10
10
11
12
13
13
13
14
15
15
15
16
16
17
18
19
Indice
1. Introducción……………………………………………………………………………
2. Desarrollo……………………………………………………………………………...
2.1 Contexto………………………………………………………………………….
2.2 Centro de Operaciones de Seguridad (SOC)……………………………...
2.3 Tipos de SOC……………………………………………………………………
2.4 Perfiles, roles y competencias requeridas………………………………...
2.4.1 Certificaciones recomendadas para cada uno de los roles………
2.5 Procesos…………………………………………………………………………
2.5.1 Clasificación de eventos y “triage” ………………………………….
2.5.2 Análisis y priorización…………………………………………………
2.5.3 Remediación y recuperación………………………………………...
2.5.4 Evaluación y Auditoría……………………………………………….
2.5.5 El proceso de escalamiento…………………………………………….
2.6 Herramientas y Tecnologías…………………………………………………
2.6.1 SIEM……………………………………………………………………
2.6.2 NIPS……………………………………………………………………
2.6.3 Protección Antivirus y Anti-malware……………………………….
2.6.4 Tecnologías complementarias………………………………………
2.6.5 Asset Management & Discovery…...............................................
2.6.6 Vulnerability Assessment…………………………………………….
2.6.7 Endpoint Detection & Response (EDR)………………………….
2.6.8 Threat Intelligence…………………………………………………….
3. Conclusión…………………………………………………………………………….
3.1 Próximos pasos……………………………………………………….
4. Bibliografía…………………………………………………………………………….
3. 3
Resumen
Ante la amplia superficie de amenazas informáticas a las cuales las
organizaciones deben hacer frente en la actualidad, poco a poco las
mismas se ven en la necesidad de no solamente implementar tecnologías
y dispositivos de seguridad, sino que es necesario contar con un equipo
calificado y dedicado a esa labor, quienes puedan revisar y correlacionar
las alertas y eventos generados en todas esas herramientas para
asegurar los 3 pilares de la seguridad: confiabilidad, integridad y
disponibilidad.
Los llamados “Centro de operaciones de Seguridad” (Security Operations
Center o SOC, por sus siglas en inglés) son la materialización de este
concepto. En el presente trabajo se pretenderá explicar la taxonomía y
composición de los SOC, y cuál es la disposición u oferta más adecuada
para las organizaciones cuyo core o actividad principal no es la Seguridad
Informática.
1. Introducción
En el contexto actual, y partir de recientes antecedentes mundiales respecto a brechas y fugas de
información, estampidas de malware, y ataques dirigidos o amenazas persistentes que afectan
masivamente a las organizaciones, se viene produciendo un paulatino cambio de paradigma, en
donde, la Seguridad Informática empieza a tener mayor preponderancia para el negocio; ya no se
ve la misma como un gasto sino como una inversión. Ciertas figuras o referentes de dichas áreas,
tales como los CISO (Oficiales de Seguridad de la Información), forman parte de la mesa chica de
las organizaciones (C-level), y participan activamente en la toma de decisiones del negocio.
El objetivo de la presente investigación es sentar base y ser de referencia a empresas proveedoras
de servicios de Seguridad gestionada (MSSP/MDR), respecto a cuáles son los 3 pilares
fundamentales que se deben considerar para la exitosa creación e implementación de los servicios
de un SOC, ofrecimiento, alcance, y proveyendo también de los argumentos técnicos y
comerciales que aportan estas propuestas.
4. 4
2. Desarrollo
2.1 Contexto
Como se ha mencionado anteriormente, las organizaciones gradualmente empiezan a tomar
conciencia en relación a trabajar en una estrategia de Ciberseguridad, y si bien se cubren
necesidades conceptuales básicas, en la práctica, cuando se necesita madurar y ejecutar
enfoques holísticos (globales, distribuidos y completos), las mismas suelen encontrarse con
alguna o varias de las siguientes limitantes:
A) Los recursos y personal técnico con los que las organizaciones cuentan no son suficientes
para trabajar en una estrategia de ciberseguridad integral (predecir, prevenir, detectar y
responder). En la mayoría de los casos, solo disponen de recursos para actuar de forma
reactiva una vez que se produjo una incidencia, es decir, “detectar” y “responder” dejando de
lado el “predecir” y “prevenir”.
B) El personal técnico dedicado a tratar las problemáticas de ciberseguridad suele ser el mismo
que realiza las tareas en el área de IT, quienes generalmente no fueron formados en seguridad
y no se dedican íntegramente a estar tareas, es decir, no cuentan con todos los
skills necesarios para implementar los 4 enfoques indicados en el punto A.
C) El tiempo que toma conformar un equipo de seguridad maduro, contextuarlo, capacitarlo y
desarrollarlo no es acorde a las expectativas, al presupuesto ni a las necesidades del negocio.
Por otra parte, el panorama de amenazas y tendencias en materia de seguridad, evoluciona
de forma vertiginosa.
D) Falta documentación y formación respecto a cómo actuar en materia de “Respuesta de
incidentes” e “Inteligencia de amenazas”. Se actúa de forma improvisada, y sin un criterio o
metodología unificada.
E) Las tecnologías o dispositivos de seguridad ya implementados son abordados de forma
individual por los responsables de cada servicio (el Administrador del firewall, el encargado de
la solución Anti-malware, el Administrador del IPS), o en muchos casos son
administrados por terceras partes, también de forma individual. No hay un equipo que procese,
analice y correlacione todos esos eventos, y quién saque provecho para hacer labores de
inteligencia con las fuentes y los datos obtenidos.
5. 5
2.2 Centro de operaciones de Seguridad (SOC)
Viendo las problemáticas que se desprenden del análisis, se expone la necesidad de integrar un
Centro de operaciones de Seguridad, el cual, conjugando recursos humanos, procesos y
tecnologías, se encargará de gestionar integrantemente la estrategia de ciberseguridad y la
defensa de una organización.
Entre las tareas y funciones generales que realiza un SOC, podemos nombrar:
Monitoreo, notificación de incidencias, escalamiento, transición diaria de los servicios del SOC,
registro de incidentes, desarrollo de informes de seguridad, creación de tableros para
instrumentación, investigación extendida de los incidentes, velando siempre por la seguridad
general de las operaciones del negocio. También, debería apoyar activamente a las
organizaciones respecto a las siguientes problemáticas: brotes de malware, campañas de
phishing, ingeniería social, fugas de información, etc.
2.3 Tipos de SOC
Se identifican diferentes tipos y esquemas de SOC. Cada uno de ellos es idóneo para cubrir
distintos escenarios; siendo el modelo de MSSP/MDR el que mejor se adapta a la mayoría de las
necesidades, y sobre el cual se profundizará en la presente investigación.
SOC Dedicado Es el esquema más clásico, con
instalaciones en sitio, personal
capacitado, y dedicado a tiempo
completo, implementado
completamente in-house.
Opera 24 × 7.
SOC Distribuido Parte del personal a tiempo completo
y parte a tiempo parcial,
generalmente opera 8 × 5.
SOC/NOC Multifuncional Instalaciones y equipo dedicado que
realiza las funciones de un Centro de
operaciones de redes (NOC) y un
SOC.
SOC Global Un SOC global coordina otros SOC
más pequeños, como los de una
empresa multinacional. Proporciona
inteligencia de amenazas, conciencia
situacional y contextualizada
respecto a la organización.
SOC Virtual No hay instalaciones dedicadas. Los
miembros del equipo son part-time,
generalmente reactivos y activados a
partir de una alerta de alto nivel o un
incidente de seguridad.
6. 6
SOC Administrado (MSSP/MDR) La mayoría de organizaciones están
recurriendo a los proveedores de
servicios de seguridad gestionados
(MSSP) quienes les proporcionan
servicios SOC subcontratados. Las
ofertas más modernas se denominan
también como “Detección y
Respuesta Gestionada” (MDR) o
CiberSOC. Los SOC administrados
pueden sub-contratarse por completo
o co-administrarse junto con el
personal de seguridad interno de las
organizaciones que contratan este
servicio.
2.4 Perfiles, roles y competencias requeridas
Haciendo énfasis nuevamente en los 3 pilares sobre los cuales se crea un SOC: personas,
procesos y tecnología; cada vez se fortalece más el concepto de que, si bien es importante contar
con las herramientas y tecnologías de seguridad, estas no tienen el suficiente valor si no se
ejecutan procesos, y si no hay personas que tengan las aptitudes necesarias para explotar la
información de las herramientas eficazmente.
Para la conformación de un SOC administrado/subcontratado, planteamos un equipo de 4 o 5
personas más un rol alternativo, conformado por los siguientes niveles:
2 x T1 (Security Analyst)
1 x T2 (Security Specialist)
1 x T3 (Threat Hunter/Subject Matter Expert)
1 x SOC Manager
1 x Deployment Engineer (alternativo)
El esquema, los roles y las funciones no son estáticos, y pueden variar de
acuerdo a las necesidades de cada implementación, aunque se pretende
servir como referencia general.
7. 7
Nombre del rol Descripción Skills requeridos Responsabilidades
Security Analyst (Tier
1)
Especialista de “triage”
y priorización (quién
separa la paja del trigo)
Alta capacidad
analítica. Conocimiento
de lenguajes de
programación
orientados a scripting
(python, bash shell y
powershell). Formación
en Seguridad
Informática.
Monitorea y revisa las
alertas para determinar
su urgencia y
relevancia. Crea tickets
para las alertas de
incidentes que
requieren la revisión
del T2. Realiza los
informes de evaluación
mensuales.
Security Specialist
(Tier 2)
Especialista de
respuesta a incidentes
o “Incident responder”
Similares a los del T1,
pero con más
experiencia. Enfoque
en análisis forense y
análisis de malware.
Orientado a respuesta
a incidentes y a
encontrar la causa raíz
de los mismos.
Recibe los incidentes
del T1 y realiza un
análisis en profundidad,
correlacionando la
fuente de amenazas
con la naturaleza del
ataque y el contexto
(Inteligencia de
amenazas). Decide
sobre la estrategia de
mitigación, remediación
y recuperación, para
actuar en
consecuencia.
Threat Hunter/SME
(Tier 3)
Especialista en caza de
amenazas o “Threat
Hunter”. Referente
técnico del equipo.
Similar a las del T2
pero aún con más
experiencia. Orientado
a incidentes de alto
nivel. Experiencia con
herramientas de
prueba de penetración,
análisis forense e
ingeniería inversa de
malware.
Revisa nuevos activos
y realiza análisis de
vulnerabilidades y
pruebas de penetración
en los sistemas.
Recomienda cómo
optimizar las
herramientas de
seguridad, y estudia
para identificar nuevas
amenazas y patrones
de ataque.
SOC Manager Encargado de las
operaciones del SOC
Amplia experiencia en
el ámbito de Seguridad
informática y
conocimiento de la
actualidad del
mercado. Fuertes
habilidades de
liderazgo, gestión de
proyectos y
comunicación
Responsable de
contratar y velar por la
capacitación del
personal del SOC.
Encargado de la
estrategia y dirección
general. Administra los
recursos y las
prioridades de los
proyectos. Actúa como
8. 8
punto de contacto, y es
el responsable de cara
al negocio.
Deployment Engineer
(Rol alternativo)
Especialista de
instalación,
mantenimiento y
soporte de las
tecnologías utilizadas
por el SOC.
Experiencia como
SysAdmin
(Windows/Linux/OSx),
Administrador de
Infraestructuras o
DevOps. Idealmente
proveniente de áreas
de operaciones, con
formación en
Seguridad Informática.
Responsable de la
instalación y
arquitectura de los
sistemas de seguridad.
Brinda solución,
orquestación y
mantenimiento de las
herramientas que
utiliza el SOC. A veces
es empleado directo
dentro del SOC y otras
veces apoyando al
mismo como parte de
un equipo de
operaciones.
2.4.1 Certificaciones recomendadas para cada uno de los roles
Existen diversas organizaciones que ofrecen certificaciones y formación respecto a las
distintas disciplinas y especialidades en Seguridad. En la presente sección se nombrarán
algunas de ellas, provistas actualmente por una de las entidades certificadoras con mayor
prestigio, EC Council.
Security Analyst (Tier 1):
E|CSA (Certified Security Analyst), C|SA (Certified SOC Analyst).
Security Specialist (Tier 2):
E|CSA (Certified Security Analyst), C|SA (Certified SOC Analyst) y C|TIA
(Certified Threat Intelligence Analyst)
Threat Hunter/SME (Tier 3):
C|SA (Certified SOC Analyst), C|TIA (Certified Threat Intelligence Analyst),
LPT (Licensed Penetration Tester), y C|HFI (Computer Hacker Forensic
Investigator), E|CNDA (Certified Network Defender Architect)
SOC Manager:
C|CISO (Certified Chief Information Security Officer)
Deployment Engineer:
E|CND (Certified Network Defender), E|CNDA (Certified Network Defender
Architect)
9. 9
2.5 Procesos
Una parte fundamental para que el SOC pueda obtener los resultados deseados, se basa en los
procesos que este adopte para ejecutar las tareas de recepción y manipulación de la información,
de este modo, y siguiendo procesos pre-establecidos, se garantiza resultados que, si bien pueden
tener leves variaciones, deberían ser similares entre sí ya que parten de la misma
metodología de trabajo.
Uno de las herramientas más valiosas para asegurar el éxito de cualquier actividad es realizar una
lista de verificación o checklist. Este método enumera todas y cada una de las actividades a realizar
para mantener la seguridad y evitar riesgos para los activos. Hay una larga lista de acciones y
procesos regulares que el equipo de un SOC debe de realizar y ejecutar correctamente, entre las
más preponderantes se enumeran:
2.5.1 Clasificación de eventos y triage
El verdadero valor de recopilar, analizar y correlacionar los datos es la capacidad para
encontrar la “señal en el ruido”. Se pueden encontrar indicadores clave de compromiso en las
actividades de un usuario, los eventos del sistema o la aceptación o negación de las reglas de
un firewall, entre otros. Además, hay secuencias y combinaciones específicas de estos
eventos y patrones que pueden indicar que un evento requiere más atención
que otros.
La clave del éxito en esta etapa es encontrar la forma de clasificar cada evento rápidamente,
para que se pueda priorizar y escalar los eventos críticos que requieren investigación adicional.
PERSONAS Y ROLES
10. 10
Los analistas de T1 revisarán los eventos que tienen la mayor gravedad o criticidad. Una vez
que hayan concluido que estos eventos requieren mayor investigación, escalarán el problema
a un especialista de seguridad T2. Es importante documentar todas las actividades y tener una
base de conocimientos o de soluciones recurrentes.
2.5.2 Análisis y priorización
La priorización es un factor clave en cualquier organización, y es aún más crítica en la
Seguridad informática. Hay mucho en juego, y el ritmo y volumen de los ataques continúa
aumentando día a día. Por otra parte, los recursos que se tienen para proteger los activos
contra estos ataques son limitados.
Para concentrarse en los eventos que podrían ser más impactantes para las operaciones del
negocio se requiere saber primero cuales son los activos más críticos para la organización. Al
final de cuentas, el mantener la continuidad de las operaciones y el principio de la
“disponibilidad” es una de las responsabilidades más importantes confiada al equipo de un
SOC. La seguridad debe estar siempre al servicio del negocio, y no al revés.
2.5.3 Remediación y recuperación
Cuanto más rápido se pueda detectar y responder a un incidente, más probabilidades se
tendrá de contener el daño y evitar que ocurra un ataque similar en el futuro. Se debe tener
en cuenta que hay un número de decisiones a tomar cuando se investiga un incidente,
particularmente hay diferencias si la organización está más interesada en recuperarse del
daño o en investigar más del mismo, como si se tratara de un delito, o para informarlo a las
autoridades. Es importante el asegurar una comunicación fluida, clara y cercana con el equipo
directivo de cada organización, adoptando una sólida estrategia en estos aspectos, ya que la
organización podría verse afectada en su reputación si hay cuestiones que no son
comunicadas correctamente
Cada ataque diferirá en términos de acciones de remediación apropiados para enfrentar los
sistemas afectados, pero a menudo, implicará uno o más de los siguientes pasos:
Reinstalación de los sistemas y restauración de copias de seguridad
Instalación de parches o actualizaciones del sistema del Sistema Operativo o
software y servicios de terceros
Reconfiguración del acceso a los sistemas (por ejemplo, eliminación de cuentas
usuario, restablecimiento de contraseñas)
Reconfiguración de la red (por ejemplo, modificación de las reglas de ACL o de las
reglas del firewall, acceso a la VPN, etc.)
Revisar las capacidades de monitoreo en servidores y otros activos (por ejemplo,
habilitar un sistema de detección y prevención de intrusos basados en host o HIDS)
Validar y revisar los procedimientos de parcheo y otros controles de seguridad,
ejecutando análisis de vulnerabilidades, entre otros.
11. 11
La mayoría de los SOC gestionados transfieren la ejecución de estas tareas a otras áreas de
la organización quienes contratan el servicio (generalmente departamentos de IT u alguna otra
área de infraestructura). En este caso, el analista de SOC crearía un ticket y/o una solicitud de
control de cambio, delegando así la responsabilidad al área encargada de ejecutarlo,
asegurando el seguimiento hasta su resolución.
Evaluación y auditoría
Es importante optimizar el proceso de encontrar y corregir las vulnerabilidades antes de que
un atacante pueda aprovecharse de las mismas. La mejor manera de hacerlo es realizar
evaluaciones periódicas de vulnerabilidades y revisar detalladamente los informes. Este tipo
de actividades es una de las más comunes en un SOC.
Este proceso a su vez podría ser sujeto de una mejora continua, exponiéndose ante auditorías
internas y externas para verificar el cumplimiento de las políticas, y determinar el rendimiento
y la eficacia del SOC.
PROCESOS
12. 12
A continuación, se explicará uno de los tantos procesos existentes en el
SOC:
2.5.5 El proceso de escalamiento
Uno de los procesos más importantes que se deben contemplar, es el de escalamiento de un
ticket en el cual confluyen las actividades realizadas por un Analista de seguridad (T1) y las
tareas de los niveles superiores o adyacentes al SOC.
En este proceso se canaliza el incidente o actividad sospechosa hacía el personal que deberá
mitigar el incidente o profundizar en la investigación (T2 o Especialista de seguridad). Este
mismo se encarga de realizar tareas adicionales a las que fueron aplicadas por el T1, y así
determinar si la actividad reportada corresponde a un falso positivo o si se trata de una
verdadera amenaza.
El deber ser de este operador de T1 es conocer los distintos niveles de escalamiento
existentes y así derivar la problemática al rol correcto. Para este fin se debe contar con
documentación especial, llamada “matriz de escalamiento”, en el cual se localizan los distintos
niveles o personas dedicadas para cada labor, especificando quién tiene la facultad de tomar
decisiones, las cuales pudieran tener un impacto relevante en los activos del cliente.
Una breve descripción secuencial para poder lograr este proceso:
1. El Tier 1 debe consultar el primer nivel de escalamiento en la respectiva matriz tomando
como criterio la severidad de la alerta que se va a reportar.
2. Una vez determinadas las recomendaciones necesarias mediante el proceso de análisis,
se procede a enviarlas al nivel de escalamiento descripto en la matriz.
3. El Tier 1 queda a la espera de feedback por parte del nivel de escalamiento contactado.
Si se recibe respuesta por parte del primer nivel de escalamiento, se determina el tipo de
esta, que puede ser un requerimiento (extracción de logs, continuidad del monitoreo, etc.),
o incidente (Ej: bloqueo de un dominio o dirección IP). En caso de el
incidente no haya podido ser resuelto, el Tier 2 canalizará el mismo con el siguiente nivel
de escalamiento descripto en la matriz.
4. Si el evento es catalogado finalmente como “falso positivo”, se registrarán los resultados
documentando en la base de conocimientos para futuras referencias.
13. 13
2.6 Herramientas y Tecnologías
Una vez definida la misión y el alcance del SOC, se debe diseñar su infraestructura subyacente.
La misma consta de componentes estructurales y otros complementarios. A continuación, se
enumerará las tecnologías y software de seguridad recomendados de implementar, para asegurar
una visión global del panorama de amenazas que afectan a una organización. Si bien hay
disponibles diversas soluciones y fabricantes para cada una de las tecnologías, en la presente
investigación se hará referencia a 1 opción gratuita u Open Source (siempre y cuando sea posible),
y otras privativas/comerciales.
2.6.1 SIEM
Son sistemas de gestión de información y co-relación de eventos de seguridad (en inglés,
Security Information and Event Management), encargados de centralizar el almacenamiento y
realizar cierta interpretación de los datos y fuentes de tecnología de seguridad. De esta forma,
permiten un análisis de situaciones desde puntos de vista, utilizando un enfoque unificado el
cual facilita la detección de tendencias y patrones no habituales. Por otra parte, permiten
diferenciar más fácilmente entre actividades maliciosa y falsos positivos.
Los SIEM son el corazón tecnológico del SOC, y deben ser la principal fuente de información,
debido a que, típicamente, el resto de los dispositivos o software de seguridad envía una copia
de los eventos a los mismos. Algunos ejemplos de soluciones SIEM son: IBM Qradar, Splunk,
AT&T AlienVault OSSIM & The Hive Project.
2.6.2 NIPS
Un Sistema de Prevención de Intrusiones a nivel de red (en inglés, Network Intrusion
Prevention System, NIPS), es uno o varios dispositivos/sondas que se encargan de monitorear
actividades a nivel de capa 3 (red), y/o a nivel de capa 7 (aplicación) del modelo OSI. El fin de
los mismos es identificar comportamientos maliciosos, sospechosos e indebidos, y reaccionar
lo más pronto posible por medio de una acción de contingencia o una alerta previamente
definida.
Los NIPS/NIDS fueron creados con la intensión de ser una alternativa complementaria a otros
aparatos de seguridad de redes más convencionales, tales como un firewall o un HIDS, por lo
que muchas de sus características principales son heredadas de estas 2 tecnologías,
complementadas con la posibilidad de comportarse más proactivo ante ataques y amenazas.
Hay principalmente 3 categorías de NIPS, diferenciados principalmente por la forma en la que
realizan las detecciones o como las combinan: Por firmas, por políticas o por
comportamiento/anomalías. Algunos ejemplos son (Suricata, Snort, The Zeek/Bro y
GREYCORTEX Mendel Analyst)
14. 14
2.6.3 Protección Antivirus y Anti-malware
Son tradicionalmente el control tecnológico más utilizado en las organizaciones.
Paradójicamente, el malware es la principal causa por incidentes de seguridad en las
empresas. Distintos elementos se combinan para que las oleadas de malware cumplan
con sus propósitos. En primera instancia, los atacantes continuamente evolucionan las
técnicas para propagar e infectar los sistemas informáticos, al tiempo que las nuevas
amenazas se vuelven más sofisticadas, aumentando en cantidad, complejidad y diversidad.
Resulta preocupante que, ante la cantidad de malware que se genera diariamente, algunas
organizaciones operen sin controles de seguridad para hacer frente a los códigos maliciosos.
En otros casos, a pesar de contar con soluciones antimalware, nadie revisa los eventos o
detecciones generados por los mismos, se utilizan prácticas que ponen en riesgo la
información y los sistemas, como una inadecuada configuración de las soluciones
(excepciones que no deberían estar, se apagan o no se activan características), o bien,
prácticas de seguridad inadecuadas directamente en los Sistemas Operativos, a saber:
configuraciones por defecto, ausencia de instalación de actualizaciones de seguridad, parcheo
del sistema y del software de terceros, accesos remotos, recursos compartidos con permisos
deficientes, utilización de usuarios con privilegios de administración, entre otros.
Se considera a las soluciones antimalware como indispensables, ya que son la primera (o la
última) línea de defensa ante la mayoría de las amenazas, y es uno de los controles
tecnológicos más cercanos a los usuarios. Una solución Antimalware robusta y funcional,
debería contar con las siguientes capacidades:
Instalación, administración, y gestión simplificada desde un punto centralizado
(Consola o centro de administración)
Disponibilidad de productos que protejan distintos SO (Windows, Linux, OSx, Android,
iOS), y roles (servidores de correo, servidores de archivos, entre otros)
Contar con diferentes tecnologías y módulos para tratar las detecciones en distintos
estadios (pre-ejecución, ejecución y post-ejecución), por lo que, si un control fallara,
otros podrían actuar.
Brindar herramientas de valor agregado además la detección de malware (control de
dispositivos, control web o de navegación, control de aplicaciones)
Algunos de los ejemplos son: ESET Endpoint Security & Server Security junto con ESET Security
Management Center o Microsoft Defender.
15. 15
2.6.4 Tecnologías complementarias
Con el fin de obtener mejores resultados, el SOC debe de tener una visión global y tomar una
postura proactiva en cuanto a la gestión de vulnerabilidades, la evaluación de los riesgos, la
superficie de ataque existentes y la reconstrucción de los eventos o análisis forense.
Adicionalmente es conveniente adoptar un enfoque proactivo mediante inteligencia de
amenazas (Threat Intelligence), pudiendo utilizar información de distintas fuentes fidedignas
como adición a la estrategia de defensa.
2.6.5 Asset Management & Discovery
Es usual que la organización disponga de redes distribuidas y en entornos mixtos: en la nube,
virtuales, locales y móviles; sobre las que pueden surgir puntos ciegos, y que podrían
convertirse en potencial interés para un atacante.
Las soluciones de Asset Management & Discovery les permiten a las organizaciones obtener
una mayor visibilidad de su infraestructura y la superficie de ataque. Se debe conocer que
sistemas existen (instancias y servidores), así como que hay instalado allí y lo que se está
ejecutando en los mismos, (por ejemplo, aplicaciones, servicios y puertos activos). Un
inventario de activos confiable junto con la capacidad automatizada de descubrir nuevos
activos es fundamental para el éxito de un SOC.
Existen tecnologías Open source, como Open-AudiT, OCS Inventory o Snipe-It. En cuanto a
soluciones privadas, podemos nombrar Atera, Ninja RMM o Datto RMM, entre otras.
2.6.6 Vulnerability Assessment
Las vulnerabilidades representan pequeñas grietas en el software, las cuales un atacante
podría aprovechar para infiltrarse en los sistemas mediante utilizando exploits que están
disponibles públicamente, y estas pequeñas grietas pueden abrirse cuando uno menos se lo
espera. Por ello, es esencial evaluar continuamente toda la infraestructura en busca de
vulnerabilidades. Además, las organizaciones podrían estar sujetas a cumplir una serie de
mandatos contractuales y reglamentarios en su actividad (por ejemplo, PCI DSS, SOX, etc.),
las cuales requieren evaluaciones periódicas de vulnerabilidades para demostrar el
cumplimiento de este punto.
Entre tecnologías Open Source podemos encontrar: OpenVAS, Metasploit, Nexpose, Zenmap,
entre otros. En cuanto a tecnologías privativas se encuentran: Tenable Nessus, Amazon
Inspector, Acunetix Web Vulnerability Scanner, entre otros.
16. 16
2.6.7 Endpoint Detection & Response (EDR)
No hay ninguna solución de protección para Endpoints que pueda proporcionar una tasa de
detección del 100%, sobre todo frente al malware desconocido o 0-day. Para ayudar a los
profesionales de seguridad a detectar e investigar a fondo los incidentes de seguridad,
amenazas avanzadas, ataques dirigidos o violación de las políticas de seguridad en los
equipos, es necesario soluciones de soluciones adicionales, conocidas como los EDR.
Un EDR podría monitorear los equipos de la organización para detectar actividades
sospechosas, por ejemplo, una modificación masiva de los cambios de las extensiones de
archivos, la cual no es una actividad maliciosa en sí misma ya que podría tener causas
benignas (como un software que renombra archivos), pero también puede ser un indicador de
actividades maliciosas o cifrado de archivos por parte ransomware. Los equipos que operan
los SOC definitivamente quisieran recibir este tipo de alertas, o de la utilización y presencia de
herramientas como “Mimikatz”, creadas para robar credenciales de usuario de la memoria, o
“xDedicRDPPatch”, utilizado para la creación de usuarios adicionales una vez que el atacante
se ha infiltrado a un servidor a través de RDP.
Las señales de advertencia temprana de intrusión pueden configurarse mediante reglas y
alarmas, y estas pueden ser continuamente refinadas con nuevos datos de inteligencia de
amenazas, como son los indicadores de compromiso, provenientes de otras fuentes (IOC).
Un buen EDR tendrá reglas que le permitirán al administrador encontrar sistemas
comprometidos inmediatamente una vez que coincide una regla, para así poder: finalizar
procesos, aislar esos sistemas y luego diagnosticar el problema, incluyendo la posibilidad de
visualizar el historial de comandos o acciones ejecutadas en los sistemas afectados. Incluso
si el atacante borro los registros del sistema, estos previamente fueron recolectados a su vez
por el monitoreo y las técnicas implementadas en los sistemas por el EDR. Estas capacidades
permiten a los equipos de SOC tener mayor posibilidad de frustrar ataques, responder a los
mismos y realizar análisis forense después de que ocurrió un incidente.
Algunos ejemplos de estas tecnologías son: ESET Enterprise Inspector o Microsoft Defender
Advanced Threat Protection.
2.6.8 Threat Intelligence
Este tipo soluciones, recopilan y procesan información sobre amenazas existentes y
emergentes, provenientes de varias fuentes. Luego, estos datos se analizan y filtran para
generar información de amenazas y reportes de gestión que contienen información
(comúnmente IOCs o indicadores de compromiso), los cuales pueden ser utilizados por otras
tecnologías de seguridad de forma automatizada, como la importación de IP o dominios en
un firewall perimetral, o hashes de archivos maliciosos involucrados en un ataque en un EDR.
El concepto de Threat Intelligence está emparentado con la información que una organización
utiliza para comprender el panorama global de amenazas. Si ponemos como ejemplo a un
17. 17
banco, le sería muy útil obtener información de ataques dirigidos a otras organizaciones que
realizan la misma actividad que ellos, o hacia ellos mismos, ataques o técnicas que ponen en
riesgo la información de sus clientes (campañas de phishing, que intentan suplantar la
identidad del banco), o la actividad de botnets y troyanos bancarios en la región. Dicha
información se utiliza para preparar, prevenir e identificar amenazas que buscan aprovechar
recursos y activos valiosos y que nuevamente, podrían manchar la reputación de una
organización.
Cuando la inteligencia de amenazas se encuentra bien implementada puede ayudar a lograr
los siguientes objetivos:
Ayudan a estar más al día con el gran volumen de amenazas, que incluye, información
respecto a las técnicas, métodos, vulnerabilidades, objetivos de los ataques y actores
maliciosos involucrados.
Permiten ser más proactivos respecto a las futuras amenazas.
Mantienen a todas las partes interesadas informadas mediante reportes dirigidos y
customizados, y ayuda a entender las repercusiones que podría tener en el negocio.
Algunos ejemplos de este tipo de soluciones son: ESET Threat Intelligence, Crowdstrike Falcon X
o AT&T Alienvault Open Threat Exchange
3. Conclusión
Los ciberataques e incidentes de seguridad están en aumento. Los controles preventivos
estándares de antaño ya no son suficientes contra la creciente sofisticación y diversidad de
ataques actuales.
Las propuestas de SOC administrados fueron concebidas por la posibilidad de poder ofrecer un
servicio más simple y menos costoso de implementar, de mayor calidad, y encargado a personas
altamente calificadas. Una buena oferta de MDR combina expertise humano (el factor diferencial),
procesos y tecnologías para identificar las amenazas de seguridad prioritarias. La importancia de
un Centro de Operaciones de Seguridad radica en su capacidad de detección y contención de
incidentes, así como sus tiempos de respuesta frente a los mismos. El cumplimiento de estos
objetivos se logra en gran medida gracias a un esquema de procesos y servicio hecho a medida
de las organizaciones.
Por todos los motivos comentados, se entiende que las implementaciones de SOC-as-service se
erigen como un excelente aliado estratégico del negocio, permitiéndoles estar a la altura de las
necesidades en tiempo y forma, reinventándose y mejorando de forma continua de cara a la
seguridad.
18. 18
3.1 Próximos pasos
Las propuestas de servicios administrados se van personalizando cada vez más a las
necesidades de las organizaciones y su negocio, potenciado también por nuevas tecnologías
que permiten acelerar la normalización de los datos de distintas plataformas para co-
relacionarlos, permitiendo una rápida y más eficiente disponibilidad.
Un ejemplo claro son los SIEM, los cuales se plantearon como el corazón tecnológico de los
SOC, y cómo estas herramientas en su versión next-gen ya incluyen nuevas capacidades,
como análisis de comportamiento, aprendizaje automático y automatización, las cuales
abren nuevas posibilidades para los analistas de seguridad. El impacto de un SIEM de
próxima generación en los SOC puede ser significativo, debido a que ayudaría a reducir la
“fatiga” que produce el alto de volumen de las alertas, permitiendo también integrar en un
solo producto o appliance distintas soluciones descriptas en la sección 2.6, y pudiendo
aprovechar también tecnologías que van más allá de la correlación, ayudando a reducir los
falsos positivos y descubriendo amenazas ocultas. Algunos ejemplos de estas soluciones
son: AT&T AlienVault USM, Securonix Next-Gen o Exabeam Security Management Platform.
Otra aplicación general, es la mejora respecto la integración de las tecnologías con
Soluciones de Orquestación de Seguridad, Automatización y Respuesta (Security
Orchestration, Automation and Response o SOAR), las cuales se pueden definir como es un
conjunto de soluciones o stack que permite a una organización recopilar datos sobre
amenazas desde más fuentes y responder a eventos de seguridad de baja severidad, con la
menor intervención humana posible.
19. 19
Bibliografía
1. AlienVault, AT&T (2019). “How to build a Security Operations Center on a budget”.
2. Exabeam (2019). “The Modern Security Operations Center, SecOps and SIEM: How they
work together".
3. ESET Latinoamérica (2019). “ESET Security Report Latinoamérica 2019”.
4. Hoffman M. (HP, 2014). “How to build a successful SOC”.
5. Cobb S. (ESET, 2018). “RANSOMWARE: an enterprise perspective”.
6. Contreras Salazar R (UNAM, 2018). “Actividades de monitoreo y análisis de un Security
Operations Center”.
7. CMMI Institute, ISACA (2017). “Building cybersecurity capability, maturity and
resilence”.
8. Wang J (NASA, 2010). "Anatomy of a Security Operations Center".