SlideShare una empresa de Scribd logo

Centros de Operaciones de Seguridad al servicio del negocio

N
Nicolás Ezequiel Raggi

Ante la amplia superficie de amenazas informáticas a las cuales las organizaciones deben hacer frente en la actualidad, poco a poco las mismas se ven en la necesidad de no solamente implementar tecnologías y dispositivos de seguridad, sino que es necesario contar con un equipo calificado y dedicado a esa labor, quienes puedan revisar y correlacionar las alertas y eventos generados en todas esas herramientas para asegurar los 3 pilares de la seguridad: confiabilidad, integridad y disponibilidad. Los llamados “Centro de operaciones de Seguridad” (Security Operations Center o SOC, por sus siglas en inglés) son la materialización de este concepto. En el presente trabajo se pretenderá explicar la taxonomía y composición de los SOC, y cuál es la disposición u oferta más adecuada para las organizaciones cuyo core o actividad principal no es la Seguridad Informática.

Tecnología
1 de 19
Este trabajo se realizó como parte de la materia de Seguridad en redes anexo de la “Diplomatura en Ciberseguridad”, dictada en la Universidad de Palermo por el profesor Javier Vallejos Martínez, durante el mes de septiembre del año 2019. Centros de Operaciones de Seguridad al servicio del negocio Cristian Morillas, Nicolas Raggi Universidad de Palermo, Mario Bravo 1050, CABA, Buenos Aires, Argentina
2 3 4 4 5 5 6 8 9 9 10 10 11 12 13 13 13 14 15 15 15 16 16 17 18 19 Indice 1. Introducción…………………………………………………………………………… 2. Desarrollo……………………………………………………………………………... 2.1 Contexto…………………………………………………………………………. 2.2 Centro de Operaciones de Seguridad (SOC)……………………………... 2.3 Tipos de SOC…………………………………………………………………… 2.4 Perfiles, roles y competencias requeridas………………………………... 2.4.1 Certificaciones recomendadas para cada uno de los roles……… 2.5 Procesos………………………………………………………………………… 2.5.1 Clasificación de eventos y “triage” …………………………………. 2.5.2 Análisis y priorización………………………………………………… 2.5.3 Remediación y recuperación………………………………………... 2.5.4 Evaluación y Auditoría………………………………………………. 2.5.5 El proceso de escalamiento……………………………………………. 2.6 Herramientas y Tecnologías………………………………………………… 2.6.1 SIEM…………………………………………………………………… 2.6.2 NIPS…………………………………………………………………… 2.6.3 Protección Antivirus y Anti-malware………………………………. 2.6.4 Tecnologías complementarias……………………………………… 2.6.5 Asset Management & Discovery…............................................... 2.6.6 Vulnerability Assessment……………………………………………. 2.6.7 Endpoint Detection & Response (EDR)…………………………. 2.6.8 Threat Intelligence……………………………………………………. 3. Conclusión……………………………………………………………………………. 3.1 Próximos pasos………………………………………………………. 4. Bibliografía…………………………………………………………………………….
3 Resumen Ante la amplia superficie de amenazas informáticas a las cuales las organizaciones deben hacer frente en la actualidad, poco a poco las mismas se ven en la necesidad de no solamente implementar tecnologías y dispositivos de seguridad, sino que es necesario contar con un equipo calificado y dedicado a esa labor, quienes puedan revisar y correlacionar las alertas y eventos generados en todas esas herramientas para asegurar los 3 pilares de la seguridad: confiabilidad, integridad y disponibilidad. Los llamados “Centro de operaciones de Seguridad” (Security Operations Center o SOC, por sus siglas en inglés) son la materialización de este concepto. En el presente trabajo se pretenderá explicar la taxonomía y composición de los SOC, y cuál es la disposición u oferta más adecuada para las organizaciones cuyo core o actividad principal no es la Seguridad Informática. 1. Introducción En el contexto actual, y partir de recientes antecedentes mundiales respecto a brechas y fugas de información, estampidas de malware, y ataques dirigidos o amenazas persistentes que afectan masivamente a las organizaciones, se viene produciendo un paulatino cambio de paradigma, en donde, la Seguridad Informática empieza a tener mayor preponderancia para el negocio; ya no se ve la misma como un gasto sino como una inversión. Ciertas figuras o referentes de dichas áreas, tales como los CISO (Oficiales de Seguridad de la Información), forman parte de la mesa chica de las organizaciones (C-level), y participan activamente en la toma de decisiones del negocio. El objetivo de la presente investigación es sentar base y ser de referencia a empresas proveedoras de servicios de Seguridad gestionada (MSSP/MDR), respecto a cuáles son los 3 pilares fundamentales que se deben considerar para la exitosa creación e implementación de los servicios de un SOC, ofrecimiento, alcance, y proveyendo también de los argumentos técnicos y comerciales que aportan estas propuestas.
4 2. Desarrollo 2.1 Contexto Como se ha mencionado anteriormente, las organizaciones gradualmente empiezan a tomar conciencia en relación a trabajar en una estrategia de Ciberseguridad, y si bien se cubren necesidades conceptuales básicas, en la práctica, cuando se necesita madurar y ejecutar enfoques holísticos (globales, distribuidos y completos), las mismas suelen encontrarse con alguna o varias de las siguientes limitantes: A) Los recursos y personal técnico con los que las organizaciones cuentan no son suficientes para trabajar en una estrategia de ciberseguridad integral (predecir, prevenir, detectar y responder). En la mayoría de los casos, solo disponen de recursos para actuar de forma reactiva una vez que se produjo una incidencia, es decir, “detectar” y “responder” dejando de lado el “predecir” y “prevenir”. B) El personal técnico dedicado a tratar las problemáticas de ciberseguridad suele ser el mismo que realiza las tareas en el área de IT, quienes generalmente no fueron formados en seguridad y no se dedican íntegramente a estar tareas, es decir, no cuentan con todos los skills necesarios para implementar los 4 enfoques indicados en el punto A. C) El tiempo que toma conformar un equipo de seguridad maduro, contextuarlo, capacitarlo y desarrollarlo no es acorde a las expectativas, al presupuesto ni a las necesidades del negocio. Por otra parte, el panorama de amenazas y tendencias en materia de seguridad, evoluciona de forma vertiginosa. D) Falta documentación y formación respecto a cómo actuar en materia de “Respuesta de incidentes” e “Inteligencia de amenazas”. Se actúa de forma improvisada, y sin un criterio o metodología unificada. E) Las tecnologías o dispositivos de seguridad ya implementados son abordados de forma individual por los responsables de cada servicio (el Administrador del firewall, el encargado de la solución Anti-malware, el Administrador del IPS), o en muchos casos son administrados por terceras partes, también de forma individual. No hay un equipo que procese, analice y correlacione todos esos eventos, y quién saque provecho para hacer labores de inteligencia con las fuentes y los datos obtenidos.
5 2.2 Centro de operaciones de Seguridad (SOC) Viendo las problemáticas que se desprenden del análisis, se expone la necesidad de integrar un Centro de operaciones de Seguridad, el cual, conjugando recursos humanos, procesos y tecnologías, se encargará de gestionar integrantemente la estrategia de ciberseguridad y la defensa de una organización. Entre las tareas y funciones generales que realiza un SOC, podemos nombrar: Monitoreo, notificación de incidencias, escalamiento, transición diaria de los servicios del SOC, registro de incidentes, desarrollo de informes de seguridad, creación de tableros para instrumentación, investigación extendida de los incidentes, velando siempre por la seguridad general de las operaciones del negocio. También, debería apoyar activamente a las organizaciones respecto a las siguientes problemáticas: brotes de malware, campañas de phishing, ingeniería social, fugas de información, etc. 2.3 Tipos de SOC Se identifican diferentes tipos y esquemas de SOC. Cada uno de ellos es idóneo para cubrir distintos escenarios; siendo el modelo de MSSP/MDR el que mejor se adapta a la mayoría de las necesidades, y sobre el cual se profundizará en la presente investigación. SOC Dedicado Es el esquema más clásico, con instalaciones en sitio, personal capacitado, y dedicado a tiempo completo, implementado completamente in-house. Opera 24 × 7. SOC Distribuido Parte del personal a tiempo completo y parte a tiempo parcial, generalmente opera 8 × 5. SOC/NOC Multifuncional Instalaciones y equipo dedicado que realiza las funciones de un Centro de operaciones de redes (NOC) y un SOC. SOC Global Un SOC global coordina otros SOC más pequeños, como los de una empresa multinacional. Proporciona inteligencia de amenazas, conciencia situacional y contextualizada respecto a la organización. SOC Virtual No hay instalaciones dedicadas. Los miembros del equipo son part-time, generalmente reactivos y activados a partir de una alerta de alto nivel o un incidente de seguridad.
6 SOC Administrado (MSSP/MDR) La mayoría de organizaciones están recurriendo a los proveedores de servicios de seguridad gestionados (MSSP) quienes les proporcionan servicios SOC subcontratados. Las ofertas más modernas se denominan también como “Detección y Respuesta Gestionada” (MDR) o CiberSOC. Los SOC administrados pueden sub-contratarse por completo o co-administrarse junto con el personal de seguridad interno de las organizaciones que contratan este servicio. 2.4 Perfiles, roles y competencias requeridas Haciendo énfasis nuevamente en los 3 pilares sobre los cuales se crea un SOC: personas, procesos y tecnología; cada vez se fortalece más el concepto de que, si bien es importante contar con las herramientas y tecnologías de seguridad, estas no tienen el suficiente valor si no se ejecutan procesos, y si no hay personas que tengan las aptitudes necesarias para explotar la información de las herramientas eficazmente. Para la conformación de un SOC administrado/subcontratado, planteamos un equipo de 4 o 5 personas más un rol alternativo, conformado por los siguientes niveles: 2 x T1 (Security Analyst) 1 x T2 (Security Specialist) 1 x T3 (Threat Hunter/Subject Matter Expert) 1 x SOC Manager 1 x Deployment Engineer (alternativo) El esquema, los roles y las funciones no son estáticos, y pueden variar de acuerdo a las necesidades de cada implementación, aunque se pretende servir como referencia general.
7 Nombre del rol Descripción Skills requeridos Responsabilidades Security Analyst (Tier 1) Especialista de “triage” y priorización (quién separa la paja del trigo) Alta capacidad analítica. Conocimiento de lenguajes de programación orientados a scripting (python, bash shell y powershell). Formación en Seguridad Informática. Monitorea y revisa las alertas para determinar su urgencia y relevancia. Crea tickets para las alertas de incidentes que requieren la revisión del T2. Realiza los informes de evaluación mensuales. Security Specialist (Tier 2) Especialista de respuesta a incidentes o “Incident responder” Similares a los del T1, pero con más experiencia. Enfoque en análisis forense y análisis de malware. Orientado a respuesta a incidentes y a encontrar la causa raíz de los mismos. Recibe los incidentes del T1 y realiza un análisis en profundidad, correlacionando la fuente de amenazas con la naturaleza del ataque y el contexto (Inteligencia de amenazas). Decide sobre la estrategia de mitigación, remediación y recuperación, para actuar en consecuencia. Threat Hunter/SME (Tier 3) Especialista en caza de amenazas o “Threat Hunter”. Referente técnico del equipo. Similar a las del T2 pero aún con más experiencia. Orientado a incidentes de alto nivel. Experiencia con herramientas de prueba de penetración, análisis forense e ingeniería inversa de malware. Revisa nuevos activos y realiza análisis de vulnerabilidades y pruebas de penetración en los sistemas. Recomienda cómo optimizar las herramientas de seguridad, y estudia para identificar nuevas amenazas y patrones de ataque. SOC Manager Encargado de las operaciones del SOC Amplia experiencia en el ámbito de Seguridad informática y conocimiento de la actualidad del mercado. Fuertes habilidades de liderazgo, gestión de proyectos y comunicación Responsable de contratar y velar por la capacitación del personal del SOC. Encargado de la estrategia y dirección general. Administra los recursos y las prioridades de los proyectos. Actúa como
8 punto de contacto, y es el responsable de cara al negocio. Deployment Engineer (Rol alternativo) Especialista de instalación, mantenimiento y soporte de las tecnologías utilizadas por el SOC. Experiencia como SysAdmin (Windows/Linux/OSx), Administrador de Infraestructuras o DevOps. Idealmente proveniente de áreas de operaciones, con formación en Seguridad Informática. Responsable de la instalación y arquitectura de los sistemas de seguridad. Brinda solución, orquestación y mantenimiento de las herramientas que utiliza el SOC. A veces es empleado directo dentro del SOC y otras veces apoyando al mismo como parte de un equipo de operaciones. 2.4.1 Certificaciones recomendadas para cada uno de los roles Existen diversas organizaciones que ofrecen certificaciones y formación respecto a las distintas disciplinas y especialidades en Seguridad. En la presente sección se nombrarán algunas de ellas, provistas actualmente por una de las entidades certificadoras con mayor prestigio, EC Council. Security Analyst (Tier 1): E|CSA (Certified Security Analyst), C|SA (Certified SOC Analyst). Security Specialist (Tier 2): E|CSA (Certified Security Analyst), C|SA (Certified SOC Analyst) y C|TIA (Certified Threat Intelligence Analyst) Threat Hunter/SME (Tier 3): C|SA (Certified SOC Analyst), C|TIA (Certified Threat Intelligence Analyst), LPT (Licensed Penetration Tester), y C|HFI (Computer Hacker Forensic Investigator), E|CNDA (Certified Network Defender Architect) SOC Manager: C|CISO (Certified Chief Information Security Officer) Deployment Engineer: E|CND (Certified Network Defender), E|CNDA (Certified Network Defender Architect)
9 2.5 Procesos Una parte fundamental para que el SOC pueda obtener los resultados deseados, se basa en los procesos que este adopte para ejecutar las tareas de recepción y manipulación de la información, de este modo, y siguiendo procesos pre-establecidos, se garantiza resultados que, si bien pueden tener leves variaciones, deberían ser similares entre sí ya que parten de la misma metodología de trabajo. Uno de las herramientas más valiosas para asegurar el éxito de cualquier actividad es realizar una lista de verificación o checklist. Este método enumera todas y cada una de las actividades a realizar para mantener la seguridad y evitar riesgos para los activos. Hay una larga lista de acciones y procesos regulares que el equipo de un SOC debe de realizar y ejecutar correctamente, entre las más preponderantes se enumeran: 2.5.1 Clasificación de eventos y triage El verdadero valor de recopilar, analizar y correlacionar los datos es la capacidad para encontrar la “señal en el ruido”. Se pueden encontrar indicadores clave de compromiso en las actividades de un usuario, los eventos del sistema o la aceptación o negación de las reglas de un firewall, entre otros. Además, hay secuencias y combinaciones específicas de estos eventos y patrones que pueden indicar que un evento requiere más atención que otros. La clave del éxito en esta etapa es encontrar la forma de clasificar cada evento rápidamente, para que se pueda priorizar y escalar los eventos críticos que requieren investigación adicional. PERSONAS Y ROLES
10 Los analistas de T1 revisarán los eventos que tienen la mayor gravedad o criticidad. Una vez que hayan concluido que estos eventos requieren mayor investigación, escalarán el problema a un especialista de seguridad T2. Es importante documentar todas las actividades y tener una base de conocimientos o de soluciones recurrentes. 2.5.2 Análisis y priorización La priorización es un factor clave en cualquier organización, y es aún más crítica en la Seguridad informática. Hay mucho en juego, y el ritmo y volumen de los ataques continúa aumentando día a día. Por otra parte, los recursos que se tienen para proteger los activos contra estos ataques son limitados. Para concentrarse en los eventos que podrían ser más impactantes para las operaciones del negocio se requiere saber primero cuales son los activos más críticos para la organización. Al final de cuentas, el mantener la continuidad de las operaciones y el principio de la “disponibilidad” es una de las responsabilidades más importantes confiada al equipo de un SOC. La seguridad debe estar siempre al servicio del negocio, y no al revés. 2.5.3 Remediación y recuperación Cuanto más rápido se pueda detectar y responder a un incidente, más probabilidades se tendrá de contener el daño y evitar que ocurra un ataque similar en el futuro. Se debe tener en cuenta que hay un número de decisiones a tomar cuando se investiga un incidente, particularmente hay diferencias si la organización está más interesada en recuperarse del daño o en investigar más del mismo, como si se tratara de un delito, o para informarlo a las autoridades. Es importante el asegurar una comunicación fluida, clara y cercana con el equipo directivo de cada organización, adoptando una sólida estrategia en estos aspectos, ya que la organización podría verse afectada en su reputación si hay cuestiones que no son comunicadas correctamente Cada ataque diferirá en términos de acciones de remediación apropiados para enfrentar los sistemas afectados, pero a menudo, implicará uno o más de los siguientes pasos:  Reinstalación de los sistemas y restauración de copias de seguridad  Instalación de parches o actualizaciones del sistema del Sistema Operativo o software y servicios de terceros  Reconfiguración del acceso a los sistemas (por ejemplo, eliminación de cuentas usuario, restablecimiento de contraseñas)  Reconfiguración de la red (por ejemplo, modificación de las reglas de ACL o de las reglas del firewall, acceso a la VPN, etc.)  Revisar las capacidades de monitoreo en servidores y otros activos (por ejemplo, habilitar un sistema de detección y prevención de intrusos basados en host o HIDS)  Validar y revisar los procedimientos de parcheo y otros controles de seguridad, ejecutando análisis de vulnerabilidades, entre otros.
11 La mayoría de los SOC gestionados transfieren la ejecución de estas tareas a otras áreas de la organización quienes contratan el servicio (generalmente departamentos de IT u alguna otra área de infraestructura). En este caso, el analista de SOC crearía un ticket y/o una solicitud de control de cambio, delegando así la responsabilidad al área encargada de ejecutarlo, asegurando el seguimiento hasta su resolución. Evaluación y auditoría Es importante optimizar el proceso de encontrar y corregir las vulnerabilidades antes de que un atacante pueda aprovecharse de las mismas. La mejor manera de hacerlo es realizar evaluaciones periódicas de vulnerabilidades y revisar detalladamente los informes. Este tipo de actividades es una de las más comunes en un SOC. Este proceso a su vez podría ser sujeto de una mejora continua, exponiéndose ante auditorías internas y externas para verificar el cumplimiento de las políticas, y determinar el rendimiento y la eficacia del SOC. PROCESOS
12 A continuación, se explicará uno de los tantos procesos existentes en el SOC: 2.5.5 El proceso de escalamiento Uno de los procesos más importantes que se deben contemplar, es el de escalamiento de un ticket en el cual confluyen las actividades realizadas por un Analista de seguridad (T1) y las tareas de los niveles superiores o adyacentes al SOC. En este proceso se canaliza el incidente o actividad sospechosa hacía el personal que deberá mitigar el incidente o profundizar en la investigación (T2 o Especialista de seguridad). Este mismo se encarga de realizar tareas adicionales a las que fueron aplicadas por el T1, y así determinar si la actividad reportada corresponde a un falso positivo o si se trata de una verdadera amenaza. El deber ser de este operador de T1 es conocer los distintos niveles de escalamiento existentes y así derivar la problemática al rol correcto. Para este fin se debe contar con documentación especial, llamada “matriz de escalamiento”, en el cual se localizan los distintos niveles o personas dedicadas para cada labor, especificando quién tiene la facultad de tomar decisiones, las cuales pudieran tener un impacto relevante en los activos del cliente. Una breve descripción secuencial para poder lograr este proceso: 1. El Tier 1 debe consultar el primer nivel de escalamiento en la respectiva matriz tomando como criterio la severidad de la alerta que se va a reportar. 2. Una vez determinadas las recomendaciones necesarias mediante el proceso de análisis, se procede a enviarlas al nivel de escalamiento descripto en la matriz. 3. El Tier 1 queda a la espera de feedback por parte del nivel de escalamiento contactado. Si se recibe respuesta por parte del primer nivel de escalamiento, se determina el tipo de esta, que puede ser un requerimiento (extracción de logs, continuidad del monitoreo, etc.), o incidente (Ej: bloqueo de un dominio o dirección IP). En caso de el incidente no haya podido ser resuelto, el Tier 2 canalizará el mismo con el siguiente nivel de escalamiento descripto en la matriz. 4. Si el evento es catalogado finalmente como “falso positivo”, se registrarán los resultados documentando en la base de conocimientos para futuras referencias.
13 2.6 Herramientas y Tecnologías Una vez definida la misión y el alcance del SOC, se debe diseñar su infraestructura subyacente. La misma consta de componentes estructurales y otros complementarios. A continuación, se enumerará las tecnologías y software de seguridad recomendados de implementar, para asegurar una visión global del panorama de amenazas que afectan a una organización. Si bien hay disponibles diversas soluciones y fabricantes para cada una de las tecnologías, en la presente investigación se hará referencia a 1 opción gratuita u Open Source (siempre y cuando sea posible), y otras privativas/comerciales. 2.6.1 SIEM Son sistemas de gestión de información y co-relación de eventos de seguridad (en inglés, Security Information and Event Management), encargados de centralizar el almacenamiento y realizar cierta interpretación de los datos y fuentes de tecnología de seguridad. De esta forma, permiten un análisis de situaciones desde puntos de vista, utilizando un enfoque unificado el cual facilita la detección de tendencias y patrones no habituales. Por otra parte, permiten diferenciar más fácilmente entre actividades maliciosa y falsos positivos. Los SIEM son el corazón tecnológico del SOC, y deben ser la principal fuente de información, debido a que, típicamente, el resto de los dispositivos o software de seguridad envía una copia de los eventos a los mismos. Algunos ejemplos de soluciones SIEM son: IBM Qradar, Splunk, AT&T AlienVault OSSIM & The Hive Project. 2.6.2 NIPS Un Sistema de Prevención de Intrusiones a nivel de red (en inglés, Network Intrusion Prevention System, NIPS), es uno o varios dispositivos/sondas que se encargan de monitorear actividades a nivel de capa 3 (red), y/o a nivel de capa 7 (aplicación) del modelo OSI. El fin de los mismos es identificar comportamientos maliciosos, sospechosos e indebidos, y reaccionar lo más pronto posible por medio de una acción de contingencia o una alerta previamente definida. Los NIPS/NIDS fueron creados con la intensión de ser una alternativa complementaria a otros aparatos de seguridad de redes más convencionales, tales como un firewall o un HIDS, por lo que muchas de sus características principales son heredadas de estas 2 tecnologías, complementadas con la posibilidad de comportarse más proactivo ante ataques y amenazas. Hay principalmente 3 categorías de NIPS, diferenciados principalmente por la forma en la que realizan las detecciones o como las combinan: Por firmas, por políticas o por comportamiento/anomalías. Algunos ejemplos son (Suricata, Snort, The Zeek/Bro y GREYCORTEX Mendel Analyst)
14 2.6.3 Protección Antivirus y Anti-malware Son tradicionalmente el control tecnológico más utilizado en las organizaciones. Paradójicamente, el malware es la principal causa por incidentes de seguridad en las empresas. Distintos elementos se combinan para que las oleadas de malware cumplan con sus propósitos. En primera instancia, los atacantes continuamente evolucionan las técnicas para propagar e infectar los sistemas informáticos, al tiempo que las nuevas amenazas se vuelven más sofisticadas, aumentando en cantidad, complejidad y diversidad. Resulta preocupante que, ante la cantidad de malware que se genera diariamente, algunas organizaciones operen sin controles de seguridad para hacer frente a los códigos maliciosos. En otros casos, a pesar de contar con soluciones antimalware, nadie revisa los eventos o detecciones generados por los mismos, se utilizan prácticas que ponen en riesgo la información y los sistemas, como una inadecuada configuración de las soluciones (excepciones que no deberían estar, se apagan o no se activan características), o bien, prácticas de seguridad inadecuadas directamente en los Sistemas Operativos, a saber: configuraciones por defecto, ausencia de instalación de actualizaciones de seguridad, parcheo del sistema y del software de terceros, accesos remotos, recursos compartidos con permisos deficientes, utilización de usuarios con privilegios de administración, entre otros. Se considera a las soluciones antimalware como indispensables, ya que son la primera (o la última) línea de defensa ante la mayoría de las amenazas, y es uno de los controles tecnológicos más cercanos a los usuarios. Una solución Antimalware robusta y funcional, debería contar con las siguientes capacidades:  Instalación, administración, y gestión simplificada desde un punto centralizado (Consola o centro de administración)  Disponibilidad de productos que protejan distintos SO (Windows, Linux, OSx, Android, iOS), y roles (servidores de correo, servidores de archivos, entre otros)  Contar con diferentes tecnologías y módulos para tratar las detecciones en distintos estadios (pre-ejecución, ejecución y post-ejecución), por lo que, si un control fallara, otros podrían actuar.  Brindar herramientas de valor agregado además la detección de malware (control de dispositivos, control web o de navegación, control de aplicaciones) Algunos de los ejemplos son: ESET Endpoint Security & Server Security junto con ESET Security Management Center o Microsoft Defender.
15 2.6.4 Tecnologías complementarias Con el fin de obtener mejores resultados, el SOC debe de tener una visión global y tomar una postura proactiva en cuanto a la gestión de vulnerabilidades, la evaluación de los riesgos, la superficie de ataque existentes y la reconstrucción de los eventos o análisis forense. Adicionalmente es conveniente adoptar un enfoque proactivo mediante inteligencia de amenazas (Threat Intelligence), pudiendo utilizar información de distintas fuentes fidedignas como adición a la estrategia de defensa. 2.6.5 Asset Management & Discovery Es usual que la organización disponga de redes distribuidas y en entornos mixtos: en la nube, virtuales, locales y móviles; sobre las que pueden surgir puntos ciegos, y que podrían convertirse en potencial interés para un atacante. Las soluciones de Asset Management & Discovery les permiten a las organizaciones obtener una mayor visibilidad de su infraestructura y la superficie de ataque. Se debe conocer que sistemas existen (instancias y servidores), así como que hay instalado allí y lo que se está ejecutando en los mismos, (por ejemplo, aplicaciones, servicios y puertos activos). Un inventario de activos confiable junto con la capacidad automatizada de descubrir nuevos activos es fundamental para el éxito de un SOC. Existen tecnologías Open source, como Open-AudiT, OCS Inventory o Snipe-It. En cuanto a soluciones privadas, podemos nombrar Atera, Ninja RMM o Datto RMM, entre otras. 2.6.6 Vulnerability Assessment Las vulnerabilidades representan pequeñas grietas en el software, las cuales un atacante podría aprovechar para infiltrarse en los sistemas mediante utilizando exploits que están disponibles públicamente, y estas pequeñas grietas pueden abrirse cuando uno menos se lo espera. Por ello, es esencial evaluar continuamente toda la infraestructura en busca de vulnerabilidades. Además, las organizaciones podrían estar sujetas a cumplir una serie de mandatos contractuales y reglamentarios en su actividad (por ejemplo, PCI DSS, SOX, etc.), las cuales requieren evaluaciones periódicas de vulnerabilidades para demostrar el cumplimiento de este punto. Entre tecnologías Open Source podemos encontrar: OpenVAS, Metasploit, Nexpose, Zenmap, entre otros. En cuanto a tecnologías privativas se encuentran: Tenable Nessus, Amazon Inspector, Acunetix Web Vulnerability Scanner, entre otros.
16 2.6.7 Endpoint Detection & Response (EDR) No hay ninguna solución de protección para Endpoints que pueda proporcionar una tasa de detección del 100%, sobre todo frente al malware desconocido o 0-day. Para ayudar a los profesionales de seguridad a detectar e investigar a fondo los incidentes de seguridad, amenazas avanzadas, ataques dirigidos o violación de las políticas de seguridad en los equipos, es necesario soluciones de soluciones adicionales, conocidas como los EDR. Un EDR podría monitorear los equipos de la organización para detectar actividades sospechosas, por ejemplo, una modificación masiva de los cambios de las extensiones de archivos, la cual no es una actividad maliciosa en sí misma ya que podría tener causas benignas (como un software que renombra archivos), pero también puede ser un indicador de actividades maliciosas o cifrado de archivos por parte ransomware. Los equipos que operan los SOC definitivamente quisieran recibir este tipo de alertas, o de la utilización y presencia de herramientas como “Mimikatz”, creadas para robar credenciales de usuario de la memoria, o “xDedicRDPPatch”, utilizado para la creación de usuarios adicionales una vez que el atacante se ha infiltrado a un servidor a través de RDP. Las señales de advertencia temprana de intrusión pueden configurarse mediante reglas y alarmas, y estas pueden ser continuamente refinadas con nuevos datos de inteligencia de amenazas, como son los indicadores de compromiso, provenientes de otras fuentes (IOC). Un buen EDR tendrá reglas que le permitirán al administrador encontrar sistemas comprometidos inmediatamente una vez que coincide una regla, para así poder: finalizar procesos, aislar esos sistemas y luego diagnosticar el problema, incluyendo la posibilidad de visualizar el historial de comandos o acciones ejecutadas en los sistemas afectados. Incluso si el atacante borro los registros del sistema, estos previamente fueron recolectados a su vez por el monitoreo y las técnicas implementadas en los sistemas por el EDR. Estas capacidades permiten a los equipos de SOC tener mayor posibilidad de frustrar ataques, responder a los mismos y realizar análisis forense después de que ocurrió un incidente. Algunos ejemplos de estas tecnologías son: ESET Enterprise Inspector o Microsoft Defender Advanced Threat Protection. 2.6.8 Threat Intelligence Este tipo soluciones, recopilan y procesan información sobre amenazas existentes y emergentes, provenientes de varias fuentes. Luego, estos datos se analizan y filtran para generar información de amenazas y reportes de gestión que contienen información (comúnmente IOCs o indicadores de compromiso), los cuales pueden ser utilizados por otras tecnologías de seguridad de forma automatizada, como la importación de IP o dominios en un firewall perimetral, o hashes de archivos maliciosos involucrados en un ataque en un EDR. El concepto de Threat Intelligence está emparentado con la información que una organización utiliza para comprender el panorama global de amenazas. Si ponemos como ejemplo a un
17 banco, le sería muy útil obtener información de ataques dirigidos a otras organizaciones que realizan la misma actividad que ellos, o hacia ellos mismos, ataques o técnicas que ponen en riesgo la información de sus clientes (campañas de phishing, que intentan suplantar la identidad del banco), o la actividad de botnets y troyanos bancarios en la región. Dicha información se utiliza para preparar, prevenir e identificar amenazas que buscan aprovechar recursos y activos valiosos y que nuevamente, podrían manchar la reputación de una organización. Cuando la inteligencia de amenazas se encuentra bien implementada puede ayudar a lograr los siguientes objetivos:  Ayudan a estar más al día con el gran volumen de amenazas, que incluye, información respecto a las técnicas, métodos, vulnerabilidades, objetivos de los ataques y actores maliciosos involucrados.  Permiten ser más proactivos respecto a las futuras amenazas.  Mantienen a todas las partes interesadas informadas mediante reportes dirigidos y customizados, y ayuda a entender las repercusiones que podría tener en el negocio. Algunos ejemplos de este tipo de soluciones son: ESET Threat Intelligence, Crowdstrike Falcon X o AT&T Alienvault Open Threat Exchange 3. Conclusión Los ciberataques e incidentes de seguridad están en aumento. Los controles preventivos estándares de antaño ya no son suficientes contra la creciente sofisticación y diversidad de ataques actuales. Las propuestas de SOC administrados fueron concebidas por la posibilidad de poder ofrecer un servicio más simple y menos costoso de implementar, de mayor calidad, y encargado a personas altamente calificadas. Una buena oferta de MDR combina expertise humano (el factor diferencial), procesos y tecnologías para identificar las amenazas de seguridad prioritarias. La importancia de un Centro de Operaciones de Seguridad radica en su capacidad de detección y contención de incidentes, así como sus tiempos de respuesta frente a los mismos. El cumplimiento de estos objetivos se logra en gran medida gracias a un esquema de procesos y servicio hecho a medida de las organizaciones. Por todos los motivos comentados, se entiende que las implementaciones de SOC-as-service se erigen como un excelente aliado estratégico del negocio, permitiéndoles estar a la altura de las necesidades en tiempo y forma, reinventándose y mejorando de forma continua de cara a la seguridad.
18 3.1 Próximos pasos Las propuestas de servicios administrados se van personalizando cada vez más a las necesidades de las organizaciones y su negocio, potenciado también por nuevas tecnologías que permiten acelerar la normalización de los datos de distintas plataformas para co- relacionarlos, permitiendo una rápida y más eficiente disponibilidad. Un ejemplo claro son los SIEM, los cuales se plantearon como el corazón tecnológico de los SOC, y cómo estas herramientas en su versión next-gen ya incluyen nuevas capacidades, como análisis de comportamiento, aprendizaje automático y automatización, las cuales abren nuevas posibilidades para los analistas de seguridad. El impacto de un SIEM de próxima generación en los SOC puede ser significativo, debido a que ayudaría a reducir la “fatiga” que produce el alto de volumen de las alertas, permitiendo también integrar en un solo producto o appliance distintas soluciones descriptas en la sección 2.6, y pudiendo aprovechar también tecnologías que van más allá de la correlación, ayudando a reducir los falsos positivos y descubriendo amenazas ocultas. Algunos ejemplos de estas soluciones son: AT&T AlienVault USM, Securonix Next-Gen o Exabeam Security Management Platform. Otra aplicación general, es la mejora respecto la integración de las tecnologías con Soluciones de Orquestación de Seguridad, Automatización y Respuesta (Security Orchestration, Automation and Response o SOAR), las cuales se pueden definir como es un conjunto de soluciones o stack que permite a una organización recopilar datos sobre amenazas desde más fuentes y responder a eventos de seguridad de baja severidad, con la menor intervención humana posible.
19 Bibliografía 1. AlienVault, AT&T (2019). “How to build a Security Operations Center on a budget”. 2. Exabeam (2019). “The Modern Security Operations Center, SecOps and SIEM: How they work together". 3. ESET Latinoamérica (2019). “ESET Security Report Latinoamérica 2019”. 4. Hoffman M. (HP, 2014). “How to build a successful SOC”. 5. Cobb S. (ESET, 2018). “RANSOMWARE: an enterprise perspective”. 6. Contreras Salazar R (UNAM, 2018). “Actividades de monitoreo y análisis de un Security Operations Center”. 7. CMMI Institute, ISACA (2017). “Building cybersecurity capability, maturity and resilence”. 8. Wang J (NASA, 2010). "Anatomy of a Security Operations Center".

Recomendados

Centros de Operaciones de Seguridad - IV Jornada Pribatua
Centros de Operaciones de Seguridad - IV Jornada PribatuaCentros de Operaciones de Seguridad - IV Jornada Pribatua
Centros de Operaciones de Seguridad - IV Jornada PribatuaPribatua
 
Dlp notes
Dlp notesDlp notes
Dlp notesanuepcet
 
Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Intellectus services and consulting
 
La Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónLa Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónPECB
 
Pasos para el análisis de riesgos basados en MAGERIT
Pasos para el análisis de riesgos basados en MAGERITPasos para el análisis de riesgos basados en MAGERIT
Pasos para el análisis de riesgos basados en MAGERITJaime Barrios Cantillo
 
Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)
Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)
Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)Carlos Luque, CISA
 
OWASP LA – SharePoint Hacking – 22Feb2012 – Slides.PDF
OWASP LA – SharePoint Hacking – 22Feb2012 – Slides.PDFOWASP LA – SharePoint Hacking – 22Feb2012 – Slides.PDF
OWASP LA – SharePoint Hacking – 22Feb2012 – Slides.PDFBishop Fox
 
Funciones de un ceo, cio y el encargado de seguridad en informática
Funciones de un ceo, cio y el encargado de seguridad en informáticaFunciones de un ceo, cio y el encargado de seguridad en informática
Funciones de un ceo, cio y el encargado de seguridad en informáticaCarlos Andres Perez Cabrales
 

Recomendados

Centros de Operaciones de Seguridad - IV Jornada Pribatua
Centros de Operaciones de Seguridad - IV Jornada PribatuaCentros de Operaciones de Seguridad - IV Jornada Pribatua
Centros de Operaciones de Seguridad - IV Jornada PribatuaPribatua
 
Dlp notes
Dlp notesDlp notes
Dlp notesanuepcet
 
Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Intellectus services and consulting
 
La Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónLa Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónPECB
 
Pasos para el análisis de riesgos basados en MAGERIT
Pasos para el análisis de riesgos basados en MAGERITPasos para el análisis de riesgos basados en MAGERIT
Pasos para el análisis de riesgos basados en MAGERITJaime Barrios Cantillo
 
Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)
Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)
Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)Carlos Luque, CISA
 
OWASP LA – SharePoint Hacking – 22Feb2012 – Slides.PDF
OWASP LA – SharePoint Hacking – 22Feb2012 – Slides.PDFOWASP LA – SharePoint Hacking – 22Feb2012 – Slides.PDF
OWASP LA – SharePoint Hacking – 22Feb2012 – Slides.PDFBishop Fox
 
Funciones de un ceo, cio y el encargado de seguridad en informática
Funciones de un ceo, cio y el encargado de seguridad en informáticaFunciones de un ceo, cio y el encargado de seguridad en informática
Funciones de un ceo, cio y el encargado de seguridad en informáticaCarlos Andres Perez Cabrales
 
Stress au travail: comprendre et prévenir
Stress au travail: comprendre et prévenirStress au travail: comprendre et prévenir
Stress au travail: comprendre et prévenirHR SCOPE
 
How to Detect a Cryptolocker Infection with AlienVault USM
How to Detect a Cryptolocker Infection with AlienVault USMHow to Detect a Cryptolocker Infection with AlienVault USM
How to Detect a Cryptolocker Infection with AlienVault USMAlienVault
 
Gestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéGestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéPECB
 
Analisis de riesgo informatico
Analisis de riesgo informaticoAnalisis de riesgo informatico
Analisis de riesgo informaticoJordy Luna Palacios
 
IT Infrastrucutre Security
IT Infrastrucutre SecurityIT Infrastrucutre Security
IT Infrastrucutre SecurityS Periyakaruppan CISM,ISO31000,C-EH,ITILF
 
Presentation ansi
Presentation ansiPresentation ansi
Presentation ansiBlidaoui Abdelhak
 
Algorithme de chiffrement RC4, A5/1 & A5/2
Algorithme de chiffrement RC4, A5/1 & A5/2Algorithme de chiffrement RC4, A5/1 & A5/2
Algorithme de chiffrement RC4, A5/1 & A5/2Max Benana
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAbbes Rharrab
 
Threat hunting in cyber world
Threat hunting in cyber worldThreat hunting in cyber world
Threat hunting in cyber worldAkash Sarode
 
Introduction To Vulnerability Assessment & Penetration Testing
Introduction To Vulnerability Assessment & Penetration TestingIntroduction To Vulnerability Assessment & Penetration Testing
Introduction To Vulnerability Assessment & Penetration TestingRaghav Bisht
 
Cybersecurity Risk Quantification
Cybersecurity Risk QuantificationCybersecurity Risk Quantification
Cybersecurity Risk QuantificationMatthew Karnas
 
Inc 15 Scada Cyber Security
Inc 15 Scada Cyber SecurityInc 15 Scada Cyber Security
Inc 15 Scada Cyber SecurityBGA Cyber Security
 
Magerit
MageritMagerit
MageritGabriel Del Castillo
 
Cybersecurity Audit
Cybersecurity AuditCybersecurity Audit
Cybersecurity AuditEC-Council
 
CYBERSECURITY - Best Practices,Concepts & Case Study (Mindmap)
CYBERSECURITY - Best Practices,Concepts & Case Study (Mindmap)CYBERSECURITY - Best Practices,Concepts & Case Study (Mindmap)
CYBERSECURITY - Best Practices,Concepts & Case Study (Mindmap)WAJAHAT IQBAL
 
Cybercriminalité, défi incontournable de l'entreprise moderne.
Cybercriminalité, défi incontournable de l'entreprise moderne.Cybercriminalité, défi incontournable de l'entreprise moderne.
Cybercriminalité, défi incontournable de l'entreprise moderne.meryam benboubker
 
Is Cyber Resilience Really That Difficult?
Is Cyber Resilience Really That Difficult?Is Cyber Resilience Really That Difficult?
Is Cyber Resilience Really That Difficult?John Gilligan
 
BSidesAugusta 2022 - The Power of the OT Security Playbook
BSidesAugusta 2022 - The Power of the OT Security PlaybookBSidesAugusta 2022 - The Power of the OT Security Playbook
BSidesAugusta 2022 - The Power of the OT Security PlaybookChris Sistrunk
 
Ch_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdfCh_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdfNafissa11
 
Cyber attaques APT avec le framework MITRE ATT&CK
Cyber attaques APT avec le framework MITRE ATT&CKCyber attaques APT avec le framework MITRE ATT&CK
Cyber attaques APT avec le framework MITRE ATT&CKEyesOpen Association
 
Analisis y-modelado-de-amenazas
Analisis y-modelado-de-amenazasAnalisis y-modelado-de-amenazas
Analisis y-modelado-de-amenazasAlex Pin
 
Perfiles profesionales-seguridad-informatica-practico
Perfiles profesionales-seguridad-informatica-practicoPerfiles profesionales-seguridad-informatica-practico
Perfiles profesionales-seguridad-informatica-practicoALEX VALENZUELA
 

Más contenido relacionado

La actualidad más candente

Stress au travail: comprendre et prévenir
Stress au travail: comprendre et prévenirStress au travail: comprendre et prévenir
Stress au travail: comprendre et prévenirHR SCOPE
 
How to Detect a Cryptolocker Infection with AlienVault USM
How to Detect a Cryptolocker Infection with AlienVault USMHow to Detect a Cryptolocker Infection with AlienVault USM
How to Detect a Cryptolocker Infection with AlienVault USMAlienVault
 
Gestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéGestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéPECB
 
Algorithme de chiffrement RC4, A5/1 & A5/2
Algorithme de chiffrement RC4, A5/1 & A5/2Algorithme de chiffrement RC4, A5/1 & A5/2
Algorithme de chiffrement RC4, A5/1 & A5/2Max Benana
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAbbes Rharrab
 
Threat hunting in cyber world
Threat hunting in cyber worldThreat hunting in cyber world
Threat hunting in cyber worldAkash Sarode
 
Introduction To Vulnerability Assessment & Penetration Testing
Introduction To Vulnerability Assessment & Penetration TestingIntroduction To Vulnerability Assessment & Penetration Testing
Introduction To Vulnerability Assessment & Penetration TestingRaghav Bisht
 
Cybersecurity Risk Quantification
Cybersecurity Risk QuantificationCybersecurity Risk Quantification
Cybersecurity Risk QuantificationMatthew Karnas
 
Cybersecurity Audit
Cybersecurity AuditCybersecurity Audit
Cybersecurity AuditEC-Council
 
CYBERSECURITY - Best Practices,Concepts & Case Study (Mindmap)
CYBERSECURITY - Best Practices,Concepts & Case Study (Mindmap)CYBERSECURITY - Best Practices,Concepts & Case Study (Mindmap)
CYBERSECURITY - Best Practices,Concepts & Case Study (Mindmap)WAJAHAT IQBAL
 
Cybercriminalité, défi incontournable de l'entreprise moderne.
Cybercriminalité, défi incontournable de l'entreprise moderne.Cybercriminalité, défi incontournable de l'entreprise moderne.
Cybercriminalité, défi incontournable de l'entreprise moderne.meryam benboubker
 
Is Cyber Resilience Really That Difficult?
Is Cyber Resilience Really That Difficult?Is Cyber Resilience Really That Difficult?
Is Cyber Resilience Really That Difficult?John Gilligan
 
BSidesAugusta 2022 - The Power of the OT Security Playbook
BSidesAugusta 2022 - The Power of the OT Security PlaybookBSidesAugusta 2022 - The Power of the OT Security Playbook
BSidesAugusta 2022 - The Power of the OT Security PlaybookChris Sistrunk
 
Ch_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdfCh_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdfNafissa11
 
Cyber attaques APT avec le framework MITRE ATT&CK
Cyber attaques APT avec le framework MITRE ATT&CKCyber attaques APT avec le framework MITRE ATT&CK
Cyber attaques APT avec le framework MITRE ATT&CKEyesOpen Association
 

La actualidad más candente (20)

Stress au travail: comprendre et prévenir
Stress au travail: comprendre et prévenirStress au travail: comprendre et prévenir
Stress au travail: comprendre et prévenir
 
How to Detect a Cryptolocker Infection with AlienVault USM
How to Detect a Cryptolocker Infection with AlienVault USMHow to Detect a Cryptolocker Infection with AlienVault USM
How to Detect a Cryptolocker Infection with AlienVault USM
 
Gestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéGestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivité
 
Analisis de riesgo informatico
Analisis de riesgo informaticoAnalisis de riesgo informatico
Analisis de riesgo informatico
 
IT Infrastrucutre Security
IT Infrastrucutre SecurityIT Infrastrucutre Security
IT Infrastrucutre Security
 
Presentation ansi
Presentation ansiPresentation ansi
Presentation ansi
 
Algorithme de chiffrement RC4, A5/1 & A5/2
Algorithme de chiffrement RC4, A5/1 & A5/2Algorithme de chiffrement RC4, A5/1 & A5/2
Algorithme de chiffrement RC4, A5/1 & A5/2
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’information
 
Threat hunting in cyber world
Threat hunting in cyber worldThreat hunting in cyber world
Threat hunting in cyber world
 
Introduction To Vulnerability Assessment & Penetration Testing
Introduction To Vulnerability Assessment & Penetration TestingIntroduction To Vulnerability Assessment & Penetration Testing
Introduction To Vulnerability Assessment & Penetration Testing
 
Cybersecurity Risk Quantification
Cybersecurity Risk QuantificationCybersecurity Risk Quantification
Cybersecurity Risk Quantification
 
Inc 15 Scada Cyber Security
Inc 15 Scada Cyber SecurityInc 15 Scada Cyber Security
Inc 15 Scada Cyber Security
 
Magerit
MageritMagerit
Magerit
 
Cybersecurity Audit
Cybersecurity AuditCybersecurity Audit
Cybersecurity Audit
 
CYBERSECURITY - Best Practices,Concepts & Case Study (Mindmap)
CYBERSECURITY - Best Practices,Concepts & Case Study (Mindmap)CYBERSECURITY - Best Practices,Concepts & Case Study (Mindmap)
CYBERSECURITY - Best Practices,Concepts & Case Study (Mindmap)
 
Cybercriminalité, défi incontournable de l'entreprise moderne.
Cybercriminalité, défi incontournable de l'entreprise moderne.Cybercriminalité, défi incontournable de l'entreprise moderne.
Cybercriminalité, défi incontournable de l'entreprise moderne.
 
Is Cyber Resilience Really That Difficult?
Is Cyber Resilience Really That Difficult?Is Cyber Resilience Really That Difficult?
Is Cyber Resilience Really That Difficult?
 
BSidesAugusta 2022 - The Power of the OT Security Playbook
BSidesAugusta 2022 - The Power of the OT Security PlaybookBSidesAugusta 2022 - The Power of the OT Security Playbook
BSidesAugusta 2022 - The Power of the OT Security Playbook
 
Ch_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdfCh_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdf
 
Cyber attaques APT avec le framework MITRE ATT&CK
Cyber attaques APT avec le framework MITRE ATT&CKCyber attaques APT avec le framework MITRE ATT&CK
Cyber attaques APT avec le framework MITRE ATT&CK
 

Similar a Centros de Operaciones de Seguridad al servicio del negocio

Analisis y-modelado-de-amenazas
Analisis y-modelado-de-amenazasAnalisis y-modelado-de-amenazas
Analisis y-modelado-de-amenazasAlex Pin
 
Perfiles profesionales-seguridad-informatica-practico
Perfiles profesionales-seguridad-informatica-practicoPerfiles profesionales-seguridad-informatica-practico
Perfiles profesionales-seguridad-informatica-practicoALEX VALENZUELA
 
ADQUISICION E IMPLEMENTACION
ADQUISICION E IMPLEMENTACIONADQUISICION E IMPLEMENTACION
ADQUISICION E IMPLEMENTACIONAny López
 
politicas de seguridad informatica normas
politicas de seguridad informatica normaspoliticas de seguridad informatica normas
politicas de seguridad informatica normasgalactico_87
 
Políticas de seguridad
Políticas de seguridadPolíticas de seguridad
Políticas de seguridadGuiro Lin
 
Informe OBS: Ciberseguridad y Hackers
Informe OBS: Ciberseguridad y HackersInforme OBS: Ciberseguridad y Hackers
Informe OBS: Ciberseguridad y HackersOBS Business School
 
Cisco 2016 asr_012816_es-xl
Cisco 2016 asr_012816_es-xlCisco 2016 asr_012816_es-xl
Cisco 2016 asr_012816_es-xljoselito delgado
 
Csi consultoria en_seguridad_informatica final
Csi consultoria en_seguridad_informatica finalCsi consultoria en_seguridad_informatica final
Csi consultoria en_seguridad_informatica finalDiseno_proyecto
 
Creacion de un centro de operaciones de seguridad
Creacion de un centro de operaciones de seguridadCreacion de un centro de operaciones de seguridad
Creacion de un centro de operaciones de seguridadEdmundo Diego Bonini ஃ
 
Foro primer bloque teoria de la seguridad
Foro primer bloque teoria de la seguridadForo primer bloque teoria de la seguridad
Foro primer bloque teoria de la seguridadMao Sierra
 
Tarea 2.4 lizeth rubio.segundo_asist
Tarea 2.4 lizeth rubio.segundo_asistTarea 2.4 lizeth rubio.segundo_asist
Tarea 2.4 lizeth rubio.segundo_asistLizeth Rubio
 
Portafolio 2 seguridad informatica
Portafolio 2 seguridad informaticaPortafolio 2 seguridad informatica
Portafolio 2 seguridad informaticaHerbert Arevalo
 

Similar a Centros de Operaciones de Seguridad al servicio del negocio (20)

Analisis y-modelado-de-amenazas
Analisis y-modelado-de-amenazasAnalisis y-modelado-de-amenazas
Analisis y-modelado-de-amenazas
 
Perfiles profesionales-seguridad-informatica-practico
Perfiles profesionales-seguridad-informatica-practicoPerfiles profesionales-seguridad-informatica-practico
Perfiles profesionales-seguridad-informatica-practico
 
ADQUISICION E IMPLEMENTACION
ADQUISICION E IMPLEMENTACIONADQUISICION E IMPLEMENTACION
ADQUISICION E IMPLEMENTACION
 
Evaluación de riesgos
Evaluación de riesgosEvaluación de riesgos
Evaluación de riesgos
 
Evaluacion de la seguridad
Evaluacion de la seguridadEvaluacion de la seguridad
Evaluacion de la seguridad
 
politicas de seguridad informatica normas
politicas de seguridad informatica normaspoliticas de seguridad informatica normas
politicas de seguridad informatica normas
 
Políticas de seguridad
Políticas de seguridadPolíticas de seguridad
Políticas de seguridad
 
Pdictseguridadinformaticapoliticas
PdictseguridadinformaticapoliticasPdictseguridadinformaticapoliticas
Pdictseguridadinformaticapoliticas
 
trabajokamita
trabajokamitatrabajokamita
trabajokamita
 
trabajokamita
trabajokamitatrabajokamita
trabajokamita
 
Informe OBS: Ciberseguridad y Hackers
Informe OBS: Ciberseguridad y HackersInforme OBS: Ciberseguridad y Hackers
Informe OBS: Ciberseguridad y Hackers
 
Cisco 2016 asr_012816_es-xl
Cisco 2016 asr_012816_es-xlCisco 2016 asr_012816_es-xl
Cisco 2016 asr_012816_es-xl
 
Cicyt
CicytCicyt
Cicyt
 
Csi consultoria en_seguridad_informatica final
Csi consultoria en_seguridad_informatica finalCsi consultoria en_seguridad_informatica final
Csi consultoria en_seguridad_informatica final
 
Preparación -Seguridad Informática
Preparación -Seguridad Informática Preparación -Seguridad Informática
Preparación -Seguridad Informática
 
Creacion de un centro de operaciones de seguridad
Creacion de un centro de operaciones de seguridadCreacion de un centro de operaciones de seguridad
Creacion de un centro de operaciones de seguridad
 
Informe agregado
Informe agregadoInforme agregado
Informe agregado
 
Foro primer bloque teoria de la seguridad
Foro primer bloque teoria de la seguridadForo primer bloque teoria de la seguridad
Foro primer bloque teoria de la seguridad
 
Tarea 2.4 lizeth rubio.segundo_asist
Tarea 2.4 lizeth rubio.segundo_asistTarea 2.4 lizeth rubio.segundo_asist
Tarea 2.4 lizeth rubio.segundo_asist
 
Portafolio 2 seguridad informatica
Portafolio 2 seguridad informaticaPortafolio 2 seguridad informatica
Portafolio 2 seguridad informatica
 

Último

Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024GiovanniJavierHidalg
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudianteAndreaHuertas24
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafiosFundación YOD YOD
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxJOSEMANUELHERNANDEZH11
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxpabonheidy28
 

Último (16)

Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafios
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptx
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docx
 

Centros de Operaciones de Seguridad al servicio del negocio

  • 1. Este trabajo se realizó como parte de la materia de Seguridad en redes anexo de la “Diplomatura en Ciberseguridad”, dictada en la Universidad de Palermo por el profesor Javier Vallejos Martínez, durante el mes de septiembre del año 2019. Centros de Operaciones de Seguridad al servicio del negocio Cristian Morillas, Nicolas Raggi Universidad de Palermo, Mario Bravo 1050, CABA, Buenos Aires, Argentina
  • 2. 2 3 4 4 5 5 6 8 9 9 10 10 11 12 13 13 13 14 15 15 15 16 16 17 18 19 Indice 1. Introducción…………………………………………………………………………… 2. Desarrollo……………………………………………………………………………... 2.1 Contexto…………………………………………………………………………. 2.2 Centro de Operaciones de Seguridad (SOC)……………………………... 2.3 Tipos de SOC…………………………………………………………………… 2.4 Perfiles, roles y competencias requeridas………………………………... 2.4.1 Certificaciones recomendadas para cada uno de los roles……… 2.5 Procesos………………………………………………………………………… 2.5.1 Clasificación de eventos y “triage” …………………………………. 2.5.2 Análisis y priorización………………………………………………… 2.5.3 Remediación y recuperación………………………………………... 2.5.4 Evaluación y Auditoría………………………………………………. 2.5.5 El proceso de escalamiento……………………………………………. 2.6 Herramientas y Tecnologías………………………………………………… 2.6.1 SIEM…………………………………………………………………… 2.6.2 NIPS…………………………………………………………………… 2.6.3 Protección Antivirus y Anti-malware………………………………. 2.6.4 Tecnologías complementarias……………………………………… 2.6.5 Asset Management & Discovery…............................................... 2.6.6 Vulnerability Assessment……………………………………………. 2.6.7 Endpoint Detection & Response (EDR)…………………………. 2.6.8 Threat Intelligence……………………………………………………. 3. Conclusión……………………………………………………………………………. 3.1 Próximos pasos………………………………………………………. 4. Bibliografía…………………………………………………………………………….
  • 3. 3 Resumen Ante la amplia superficie de amenazas informáticas a las cuales las organizaciones deben hacer frente en la actualidad, poco a poco las mismas se ven en la necesidad de no solamente implementar tecnologías y dispositivos de seguridad, sino que es necesario contar con un equipo calificado y dedicado a esa labor, quienes puedan revisar y correlacionar las alertas y eventos generados en todas esas herramientas para asegurar los 3 pilares de la seguridad: confiabilidad, integridad y disponibilidad. Los llamados “Centro de operaciones de Seguridad” (Security Operations Center o SOC, por sus siglas en inglés) son la materialización de este concepto. En el presente trabajo se pretenderá explicar la taxonomía y composición de los SOC, y cuál es la disposición u oferta más adecuada para las organizaciones cuyo core o actividad principal no es la Seguridad Informática. 1. Introducción En el contexto actual, y partir de recientes antecedentes mundiales respecto a brechas y fugas de información, estampidas de malware, y ataques dirigidos o amenazas persistentes que afectan masivamente a las organizaciones, se viene produciendo un paulatino cambio de paradigma, en donde, la Seguridad Informática empieza a tener mayor preponderancia para el negocio; ya no se ve la misma como un gasto sino como una inversión. Ciertas figuras o referentes de dichas áreas, tales como los CISO (Oficiales de Seguridad de la Información), forman parte de la mesa chica de las organizaciones (C-level), y participan activamente en la toma de decisiones del negocio. El objetivo de la presente investigación es sentar base y ser de referencia a empresas proveedoras de servicios de Seguridad gestionada (MSSP/MDR), respecto a cuáles son los 3 pilares fundamentales que se deben considerar para la exitosa creación e implementación de los servicios de un SOC, ofrecimiento, alcance, y proveyendo también de los argumentos técnicos y comerciales que aportan estas propuestas.
  • 4. 4 2. Desarrollo 2.1 Contexto Como se ha mencionado anteriormente, las organizaciones gradualmente empiezan a tomar conciencia en relación a trabajar en una estrategia de Ciberseguridad, y si bien se cubren necesidades conceptuales básicas, en la práctica, cuando se necesita madurar y ejecutar enfoques holísticos (globales, distribuidos y completos), las mismas suelen encontrarse con alguna o varias de las siguientes limitantes: A) Los recursos y personal técnico con los que las organizaciones cuentan no son suficientes para trabajar en una estrategia de ciberseguridad integral (predecir, prevenir, detectar y responder). En la mayoría de los casos, solo disponen de recursos para actuar de forma reactiva una vez que se produjo una incidencia, es decir, “detectar” y “responder” dejando de lado el “predecir” y “prevenir”. B) El personal técnico dedicado a tratar las problemáticas de ciberseguridad suele ser el mismo que realiza las tareas en el área de IT, quienes generalmente no fueron formados en seguridad y no se dedican íntegramente a estar tareas, es decir, no cuentan con todos los skills necesarios para implementar los 4 enfoques indicados en el punto A. C) El tiempo que toma conformar un equipo de seguridad maduro, contextuarlo, capacitarlo y desarrollarlo no es acorde a las expectativas, al presupuesto ni a las necesidades del negocio. Por otra parte, el panorama de amenazas y tendencias en materia de seguridad, evoluciona de forma vertiginosa. D) Falta documentación y formación respecto a cómo actuar en materia de “Respuesta de incidentes” e “Inteligencia de amenazas”. Se actúa de forma improvisada, y sin un criterio o metodología unificada. E) Las tecnologías o dispositivos de seguridad ya implementados son abordados de forma individual por los responsables de cada servicio (el Administrador del firewall, el encargado de la solución Anti-malware, el Administrador del IPS), o en muchos casos son administrados por terceras partes, también de forma individual. No hay un equipo que procese, analice y correlacione todos esos eventos, y quién saque provecho para hacer labores de inteligencia con las fuentes y los datos obtenidos.
  • 5. 5 2.2 Centro de operaciones de Seguridad (SOC) Viendo las problemáticas que se desprenden del análisis, se expone la necesidad de integrar un Centro de operaciones de Seguridad, el cual, conjugando recursos humanos, procesos y tecnologías, se encargará de gestionar integrantemente la estrategia de ciberseguridad y la defensa de una organización. Entre las tareas y funciones generales que realiza un SOC, podemos nombrar: Monitoreo, notificación de incidencias, escalamiento, transición diaria de los servicios del SOC, registro de incidentes, desarrollo de informes de seguridad, creación de tableros para instrumentación, investigación extendida de los incidentes, velando siempre por la seguridad general de las operaciones del negocio. También, debería apoyar activamente a las organizaciones respecto a las siguientes problemáticas: brotes de malware, campañas de phishing, ingeniería social, fugas de información, etc. 2.3 Tipos de SOC Se identifican diferentes tipos y esquemas de SOC. Cada uno de ellos es idóneo para cubrir distintos escenarios; siendo el modelo de MSSP/MDR el que mejor se adapta a la mayoría de las necesidades, y sobre el cual se profundizará en la presente investigación. SOC Dedicado Es el esquema más clásico, con instalaciones en sitio, personal capacitado, y dedicado a tiempo completo, implementado completamente in-house. Opera 24 × 7. SOC Distribuido Parte del personal a tiempo completo y parte a tiempo parcial, generalmente opera 8 × 5. SOC/NOC Multifuncional Instalaciones y equipo dedicado que realiza las funciones de un Centro de operaciones de redes (NOC) y un SOC. SOC Global Un SOC global coordina otros SOC más pequeños, como los de una empresa multinacional. Proporciona inteligencia de amenazas, conciencia situacional y contextualizada respecto a la organización. SOC Virtual No hay instalaciones dedicadas. Los miembros del equipo son part-time, generalmente reactivos y activados a partir de una alerta de alto nivel o un incidente de seguridad.
  • 6. 6 SOC Administrado (MSSP/MDR) La mayoría de organizaciones están recurriendo a los proveedores de servicios de seguridad gestionados (MSSP) quienes les proporcionan servicios SOC subcontratados. Las ofertas más modernas se denominan también como “Detección y Respuesta Gestionada” (MDR) o CiberSOC. Los SOC administrados pueden sub-contratarse por completo o co-administrarse junto con el personal de seguridad interno de las organizaciones que contratan este servicio. 2.4 Perfiles, roles y competencias requeridas Haciendo énfasis nuevamente en los 3 pilares sobre los cuales se crea un SOC: personas, procesos y tecnología; cada vez se fortalece más el concepto de que, si bien es importante contar con las herramientas y tecnologías de seguridad, estas no tienen el suficiente valor si no se ejecutan procesos, y si no hay personas que tengan las aptitudes necesarias para explotar la información de las herramientas eficazmente. Para la conformación de un SOC administrado/subcontratado, planteamos un equipo de 4 o 5 personas más un rol alternativo, conformado por los siguientes niveles: 2 x T1 (Security Analyst) 1 x T2 (Security Specialist) 1 x T3 (Threat Hunter/Subject Matter Expert) 1 x SOC Manager 1 x Deployment Engineer (alternativo) El esquema, los roles y las funciones no son estáticos, y pueden variar de acuerdo a las necesidades de cada implementación, aunque se pretende servir como referencia general.
  • 7. 7 Nombre del rol Descripción Skills requeridos Responsabilidades Security Analyst (Tier 1) Especialista de “triage” y priorización (quién separa la paja del trigo) Alta capacidad analítica. Conocimiento de lenguajes de programación orientados a scripting (python, bash shell y powershell). Formación en Seguridad Informática. Monitorea y revisa las alertas para determinar su urgencia y relevancia. Crea tickets para las alertas de incidentes que requieren la revisión del T2. Realiza los informes de evaluación mensuales. Security Specialist (Tier 2) Especialista de respuesta a incidentes o “Incident responder” Similares a los del T1, pero con más experiencia. Enfoque en análisis forense y análisis de malware. Orientado a respuesta a incidentes y a encontrar la causa raíz de los mismos. Recibe los incidentes del T1 y realiza un análisis en profundidad, correlacionando la fuente de amenazas con la naturaleza del ataque y el contexto (Inteligencia de amenazas). Decide sobre la estrategia de mitigación, remediación y recuperación, para actuar en consecuencia. Threat Hunter/SME (Tier 3) Especialista en caza de amenazas o “Threat Hunter”. Referente técnico del equipo. Similar a las del T2 pero aún con más experiencia. Orientado a incidentes de alto nivel. Experiencia con herramientas de prueba de penetración, análisis forense e ingeniería inversa de malware. Revisa nuevos activos y realiza análisis de vulnerabilidades y pruebas de penetración en los sistemas. Recomienda cómo optimizar las herramientas de seguridad, y estudia para identificar nuevas amenazas y patrones de ataque. SOC Manager Encargado de las operaciones del SOC Amplia experiencia en el ámbito de Seguridad informática y conocimiento de la actualidad del mercado. Fuertes habilidades de liderazgo, gestión de proyectos y comunicación Responsable de contratar y velar por la capacitación del personal del SOC. Encargado de la estrategia y dirección general. Administra los recursos y las prioridades de los proyectos. Actúa como
  • 8. 8 punto de contacto, y es el responsable de cara al negocio. Deployment Engineer (Rol alternativo) Especialista de instalación, mantenimiento y soporte de las tecnologías utilizadas por el SOC. Experiencia como SysAdmin (Windows/Linux/OSx), Administrador de Infraestructuras o DevOps. Idealmente proveniente de áreas de operaciones, con formación en Seguridad Informática. Responsable de la instalación y arquitectura de los sistemas de seguridad. Brinda solución, orquestación y mantenimiento de las herramientas que utiliza el SOC. A veces es empleado directo dentro del SOC y otras veces apoyando al mismo como parte de un equipo de operaciones. 2.4.1 Certificaciones recomendadas para cada uno de los roles Existen diversas organizaciones que ofrecen certificaciones y formación respecto a las distintas disciplinas y especialidades en Seguridad. En la presente sección se nombrarán algunas de ellas, provistas actualmente por una de las entidades certificadoras con mayor prestigio, EC Council. Security Analyst (Tier 1): E|CSA (Certified Security Analyst), C|SA (Certified SOC Analyst). Security Specialist (Tier 2): E|CSA (Certified Security Analyst), C|SA (Certified SOC Analyst) y C|TIA (Certified Threat Intelligence Analyst) Threat Hunter/SME (Tier 3): C|SA (Certified SOC Analyst), C|TIA (Certified Threat Intelligence Analyst), LPT (Licensed Penetration Tester), y C|HFI (Computer Hacker Forensic Investigator), E|CNDA (Certified Network Defender Architect) SOC Manager: C|CISO (Certified Chief Information Security Officer) Deployment Engineer: E|CND (Certified Network Defender), E|CNDA (Certified Network Defender Architect)
  • 9. 9 2.5 Procesos Una parte fundamental para que el SOC pueda obtener los resultados deseados, se basa en los procesos que este adopte para ejecutar las tareas de recepción y manipulación de la información, de este modo, y siguiendo procesos pre-establecidos, se garantiza resultados que, si bien pueden tener leves variaciones, deberían ser similares entre sí ya que parten de la misma metodología de trabajo. Uno de las herramientas más valiosas para asegurar el éxito de cualquier actividad es realizar una lista de verificación o checklist. Este método enumera todas y cada una de las actividades a realizar para mantener la seguridad y evitar riesgos para los activos. Hay una larga lista de acciones y procesos regulares que el equipo de un SOC debe de realizar y ejecutar correctamente, entre las más preponderantes se enumeran: 2.5.1 Clasificación de eventos y triage El verdadero valor de recopilar, analizar y correlacionar los datos es la capacidad para encontrar la “señal en el ruido”. Se pueden encontrar indicadores clave de compromiso en las actividades de un usuario, los eventos del sistema o la aceptación o negación de las reglas de un firewall, entre otros. Además, hay secuencias y combinaciones específicas de estos eventos y patrones que pueden indicar que un evento requiere más atención que otros. La clave del éxito en esta etapa es encontrar la forma de clasificar cada evento rápidamente, para que se pueda priorizar y escalar los eventos críticos que requieren investigación adicional. PERSONAS Y ROLES
  • 10. 10 Los analistas de T1 revisarán los eventos que tienen la mayor gravedad o criticidad. Una vez que hayan concluido que estos eventos requieren mayor investigación, escalarán el problema a un especialista de seguridad T2. Es importante documentar todas las actividades y tener una base de conocimientos o de soluciones recurrentes. 2.5.2 Análisis y priorización La priorización es un factor clave en cualquier organización, y es aún más crítica en la Seguridad informática. Hay mucho en juego, y el ritmo y volumen de los ataques continúa aumentando día a día. Por otra parte, los recursos que se tienen para proteger los activos contra estos ataques son limitados. Para concentrarse en los eventos que podrían ser más impactantes para las operaciones del negocio se requiere saber primero cuales son los activos más críticos para la organización. Al final de cuentas, el mantener la continuidad de las operaciones y el principio de la “disponibilidad” es una de las responsabilidades más importantes confiada al equipo de un SOC. La seguridad debe estar siempre al servicio del negocio, y no al revés. 2.5.3 Remediación y recuperación Cuanto más rápido se pueda detectar y responder a un incidente, más probabilidades se tendrá de contener el daño y evitar que ocurra un ataque similar en el futuro. Se debe tener en cuenta que hay un número de decisiones a tomar cuando se investiga un incidente, particularmente hay diferencias si la organización está más interesada en recuperarse del daño o en investigar más del mismo, como si se tratara de un delito, o para informarlo a las autoridades. Es importante el asegurar una comunicación fluida, clara y cercana con el equipo directivo de cada organización, adoptando una sólida estrategia en estos aspectos, ya que la organización podría verse afectada en su reputación si hay cuestiones que no son comunicadas correctamente Cada ataque diferirá en términos de acciones de remediación apropiados para enfrentar los sistemas afectados, pero a menudo, implicará uno o más de los siguientes pasos:  Reinstalación de los sistemas y restauración de copias de seguridad  Instalación de parches o actualizaciones del sistema del Sistema Operativo o software y servicios de terceros  Reconfiguración del acceso a los sistemas (por ejemplo, eliminación de cuentas usuario, restablecimiento de contraseñas)  Reconfiguración de la red (por ejemplo, modificación de las reglas de ACL o de las reglas del firewall, acceso a la VPN, etc.)  Revisar las capacidades de monitoreo en servidores y otros activos (por ejemplo, habilitar un sistema de detección y prevención de intrusos basados en host o HIDS)  Validar y revisar los procedimientos de parcheo y otros controles de seguridad, ejecutando análisis de vulnerabilidades, entre otros.
  • 11. 11 La mayoría de los SOC gestionados transfieren la ejecución de estas tareas a otras áreas de la organización quienes contratan el servicio (generalmente departamentos de IT u alguna otra área de infraestructura). En este caso, el analista de SOC crearía un ticket y/o una solicitud de control de cambio, delegando así la responsabilidad al área encargada de ejecutarlo, asegurando el seguimiento hasta su resolución. Evaluación y auditoría Es importante optimizar el proceso de encontrar y corregir las vulnerabilidades antes de que un atacante pueda aprovecharse de las mismas. La mejor manera de hacerlo es realizar evaluaciones periódicas de vulnerabilidades y revisar detalladamente los informes. Este tipo de actividades es una de las más comunes en un SOC. Este proceso a su vez podría ser sujeto de una mejora continua, exponiéndose ante auditorías internas y externas para verificar el cumplimiento de las políticas, y determinar el rendimiento y la eficacia del SOC. PROCESOS
  • 12. 12 A continuación, se explicará uno de los tantos procesos existentes en el SOC: 2.5.5 El proceso de escalamiento Uno de los procesos más importantes que se deben contemplar, es el de escalamiento de un ticket en el cual confluyen las actividades realizadas por un Analista de seguridad (T1) y las tareas de los niveles superiores o adyacentes al SOC. En este proceso se canaliza el incidente o actividad sospechosa hacía el personal que deberá mitigar el incidente o profundizar en la investigación (T2 o Especialista de seguridad). Este mismo se encarga de realizar tareas adicionales a las que fueron aplicadas por el T1, y así determinar si la actividad reportada corresponde a un falso positivo o si se trata de una verdadera amenaza. El deber ser de este operador de T1 es conocer los distintos niveles de escalamiento existentes y así derivar la problemática al rol correcto. Para este fin se debe contar con documentación especial, llamada “matriz de escalamiento”, en el cual se localizan los distintos niveles o personas dedicadas para cada labor, especificando quién tiene la facultad de tomar decisiones, las cuales pudieran tener un impacto relevante en los activos del cliente. Una breve descripción secuencial para poder lograr este proceso: 1. El Tier 1 debe consultar el primer nivel de escalamiento en la respectiva matriz tomando como criterio la severidad de la alerta que se va a reportar. 2. Una vez determinadas las recomendaciones necesarias mediante el proceso de análisis, se procede a enviarlas al nivel de escalamiento descripto en la matriz. 3. El Tier 1 queda a la espera de feedback por parte del nivel de escalamiento contactado. Si se recibe respuesta por parte del primer nivel de escalamiento, se determina el tipo de esta, que puede ser un requerimiento (extracción de logs, continuidad del monitoreo, etc.), o incidente (Ej: bloqueo de un dominio o dirección IP). En caso de el incidente no haya podido ser resuelto, el Tier 2 canalizará el mismo con el siguiente nivel de escalamiento descripto en la matriz. 4. Si el evento es catalogado finalmente como “falso positivo”, se registrarán los resultados documentando en la base de conocimientos para futuras referencias.
  • 13. 13 2.6 Herramientas y Tecnologías Una vez definida la misión y el alcance del SOC, se debe diseñar su infraestructura subyacente. La misma consta de componentes estructurales y otros complementarios. A continuación, se enumerará las tecnologías y software de seguridad recomendados de implementar, para asegurar una visión global del panorama de amenazas que afectan a una organización. Si bien hay disponibles diversas soluciones y fabricantes para cada una de las tecnologías, en la presente investigación se hará referencia a 1 opción gratuita u Open Source (siempre y cuando sea posible), y otras privativas/comerciales. 2.6.1 SIEM Son sistemas de gestión de información y co-relación de eventos de seguridad (en inglés, Security Information and Event Management), encargados de centralizar el almacenamiento y realizar cierta interpretación de los datos y fuentes de tecnología de seguridad. De esta forma, permiten un análisis de situaciones desde puntos de vista, utilizando un enfoque unificado el cual facilita la detección de tendencias y patrones no habituales. Por otra parte, permiten diferenciar más fácilmente entre actividades maliciosa y falsos positivos. Los SIEM son el corazón tecnológico del SOC, y deben ser la principal fuente de información, debido a que, típicamente, el resto de los dispositivos o software de seguridad envía una copia de los eventos a los mismos. Algunos ejemplos de soluciones SIEM son: IBM Qradar, Splunk, AT&T AlienVault OSSIM & The Hive Project. 2.6.2 NIPS Un Sistema de Prevención de Intrusiones a nivel de red (en inglés, Network Intrusion Prevention System, NIPS), es uno o varios dispositivos/sondas que se encargan de monitorear actividades a nivel de capa 3 (red), y/o a nivel de capa 7 (aplicación) del modelo OSI. El fin de los mismos es identificar comportamientos maliciosos, sospechosos e indebidos, y reaccionar lo más pronto posible por medio de una acción de contingencia o una alerta previamente definida. Los NIPS/NIDS fueron creados con la intensión de ser una alternativa complementaria a otros aparatos de seguridad de redes más convencionales, tales como un firewall o un HIDS, por lo que muchas de sus características principales son heredadas de estas 2 tecnologías, complementadas con la posibilidad de comportarse más proactivo ante ataques y amenazas. Hay principalmente 3 categorías de NIPS, diferenciados principalmente por la forma en la que realizan las detecciones o como las combinan: Por firmas, por políticas o por comportamiento/anomalías. Algunos ejemplos son (Suricata, Snort, The Zeek/Bro y GREYCORTEX Mendel Analyst)
  • 14. 14 2.6.3 Protección Antivirus y Anti-malware Son tradicionalmente el control tecnológico más utilizado en las organizaciones. Paradójicamente, el malware es la principal causa por incidentes de seguridad en las empresas. Distintos elementos se combinan para que las oleadas de malware cumplan con sus propósitos. En primera instancia, los atacantes continuamente evolucionan las técnicas para propagar e infectar los sistemas informáticos, al tiempo que las nuevas amenazas se vuelven más sofisticadas, aumentando en cantidad, complejidad y diversidad. Resulta preocupante que, ante la cantidad de malware que se genera diariamente, algunas organizaciones operen sin controles de seguridad para hacer frente a los códigos maliciosos. En otros casos, a pesar de contar con soluciones antimalware, nadie revisa los eventos o detecciones generados por los mismos, se utilizan prácticas que ponen en riesgo la información y los sistemas, como una inadecuada configuración de las soluciones (excepciones que no deberían estar, se apagan o no se activan características), o bien, prácticas de seguridad inadecuadas directamente en los Sistemas Operativos, a saber: configuraciones por defecto, ausencia de instalación de actualizaciones de seguridad, parcheo del sistema y del software de terceros, accesos remotos, recursos compartidos con permisos deficientes, utilización de usuarios con privilegios de administración, entre otros. Se considera a las soluciones antimalware como indispensables, ya que son la primera (o la última) línea de defensa ante la mayoría de las amenazas, y es uno de los controles tecnológicos más cercanos a los usuarios. Una solución Antimalware robusta y funcional, debería contar con las siguientes capacidades:  Instalación, administración, y gestión simplificada desde un punto centralizado (Consola o centro de administración)  Disponibilidad de productos que protejan distintos SO (Windows, Linux, OSx, Android, iOS), y roles (servidores de correo, servidores de archivos, entre otros)  Contar con diferentes tecnologías y módulos para tratar las detecciones en distintos estadios (pre-ejecución, ejecución y post-ejecución), por lo que, si un control fallara, otros podrían actuar.  Brindar herramientas de valor agregado además la detección de malware (control de dispositivos, control web o de navegación, control de aplicaciones) Algunos de los ejemplos son: ESET Endpoint Security & Server Security junto con ESET Security Management Center o Microsoft Defender.
  • 15. 15 2.6.4 Tecnologías complementarias Con el fin de obtener mejores resultados, el SOC debe de tener una visión global y tomar una postura proactiva en cuanto a la gestión de vulnerabilidades, la evaluación de los riesgos, la superficie de ataque existentes y la reconstrucción de los eventos o análisis forense. Adicionalmente es conveniente adoptar un enfoque proactivo mediante inteligencia de amenazas (Threat Intelligence), pudiendo utilizar información de distintas fuentes fidedignas como adición a la estrategia de defensa. 2.6.5 Asset Management & Discovery Es usual que la organización disponga de redes distribuidas y en entornos mixtos: en la nube, virtuales, locales y móviles; sobre las que pueden surgir puntos ciegos, y que podrían convertirse en potencial interés para un atacante. Las soluciones de Asset Management & Discovery les permiten a las organizaciones obtener una mayor visibilidad de su infraestructura y la superficie de ataque. Se debe conocer que sistemas existen (instancias y servidores), así como que hay instalado allí y lo que se está ejecutando en los mismos, (por ejemplo, aplicaciones, servicios y puertos activos). Un inventario de activos confiable junto con la capacidad automatizada de descubrir nuevos activos es fundamental para el éxito de un SOC. Existen tecnologías Open source, como Open-AudiT, OCS Inventory o Snipe-It. En cuanto a soluciones privadas, podemos nombrar Atera, Ninja RMM o Datto RMM, entre otras. 2.6.6 Vulnerability Assessment Las vulnerabilidades representan pequeñas grietas en el software, las cuales un atacante podría aprovechar para infiltrarse en los sistemas mediante utilizando exploits que están disponibles públicamente, y estas pequeñas grietas pueden abrirse cuando uno menos se lo espera. Por ello, es esencial evaluar continuamente toda la infraestructura en busca de vulnerabilidades. Además, las organizaciones podrían estar sujetas a cumplir una serie de mandatos contractuales y reglamentarios en su actividad (por ejemplo, PCI DSS, SOX, etc.), las cuales requieren evaluaciones periódicas de vulnerabilidades para demostrar el cumplimiento de este punto. Entre tecnologías Open Source podemos encontrar: OpenVAS, Metasploit, Nexpose, Zenmap, entre otros. En cuanto a tecnologías privativas se encuentran: Tenable Nessus, Amazon Inspector, Acunetix Web Vulnerability Scanner, entre otros.
  • 16. 16 2.6.7 Endpoint Detection & Response (EDR) No hay ninguna solución de protección para Endpoints que pueda proporcionar una tasa de detección del 100%, sobre todo frente al malware desconocido o 0-day. Para ayudar a los profesionales de seguridad a detectar e investigar a fondo los incidentes de seguridad, amenazas avanzadas, ataques dirigidos o violación de las políticas de seguridad en los equipos, es necesario soluciones de soluciones adicionales, conocidas como los EDR. Un EDR podría monitorear los equipos de la organización para detectar actividades sospechosas, por ejemplo, una modificación masiva de los cambios de las extensiones de archivos, la cual no es una actividad maliciosa en sí misma ya que podría tener causas benignas (como un software que renombra archivos), pero también puede ser un indicador de actividades maliciosas o cifrado de archivos por parte ransomware. Los equipos que operan los SOC definitivamente quisieran recibir este tipo de alertas, o de la utilización y presencia de herramientas como “Mimikatz”, creadas para robar credenciales de usuario de la memoria, o “xDedicRDPPatch”, utilizado para la creación de usuarios adicionales una vez que el atacante se ha infiltrado a un servidor a través de RDP. Las señales de advertencia temprana de intrusión pueden configurarse mediante reglas y alarmas, y estas pueden ser continuamente refinadas con nuevos datos de inteligencia de amenazas, como son los indicadores de compromiso, provenientes de otras fuentes (IOC). Un buen EDR tendrá reglas que le permitirán al administrador encontrar sistemas comprometidos inmediatamente una vez que coincide una regla, para así poder: finalizar procesos, aislar esos sistemas y luego diagnosticar el problema, incluyendo la posibilidad de visualizar el historial de comandos o acciones ejecutadas en los sistemas afectados. Incluso si el atacante borro los registros del sistema, estos previamente fueron recolectados a su vez por el monitoreo y las técnicas implementadas en los sistemas por el EDR. Estas capacidades permiten a los equipos de SOC tener mayor posibilidad de frustrar ataques, responder a los mismos y realizar análisis forense después de que ocurrió un incidente. Algunos ejemplos de estas tecnologías son: ESET Enterprise Inspector o Microsoft Defender Advanced Threat Protection. 2.6.8 Threat Intelligence Este tipo soluciones, recopilan y procesan información sobre amenazas existentes y emergentes, provenientes de varias fuentes. Luego, estos datos se analizan y filtran para generar información de amenazas y reportes de gestión que contienen información (comúnmente IOCs o indicadores de compromiso), los cuales pueden ser utilizados por otras tecnologías de seguridad de forma automatizada, como la importación de IP o dominios en un firewall perimetral, o hashes de archivos maliciosos involucrados en un ataque en un EDR. El concepto de Threat Intelligence está emparentado con la información que una organización utiliza para comprender el panorama global de amenazas. Si ponemos como ejemplo a un
  • 17. 17 banco, le sería muy útil obtener información de ataques dirigidos a otras organizaciones que realizan la misma actividad que ellos, o hacia ellos mismos, ataques o técnicas que ponen en riesgo la información de sus clientes (campañas de phishing, que intentan suplantar la identidad del banco), o la actividad de botnets y troyanos bancarios en la región. Dicha información se utiliza para preparar, prevenir e identificar amenazas que buscan aprovechar recursos y activos valiosos y que nuevamente, podrían manchar la reputación de una organización. Cuando la inteligencia de amenazas se encuentra bien implementada puede ayudar a lograr los siguientes objetivos:  Ayudan a estar más al día con el gran volumen de amenazas, que incluye, información respecto a las técnicas, métodos, vulnerabilidades, objetivos de los ataques y actores maliciosos involucrados.  Permiten ser más proactivos respecto a las futuras amenazas.  Mantienen a todas las partes interesadas informadas mediante reportes dirigidos y customizados, y ayuda a entender las repercusiones que podría tener en el negocio. Algunos ejemplos de este tipo de soluciones son: ESET Threat Intelligence, Crowdstrike Falcon X o AT&T Alienvault Open Threat Exchange 3. Conclusión Los ciberataques e incidentes de seguridad están en aumento. Los controles preventivos estándares de antaño ya no son suficientes contra la creciente sofisticación y diversidad de ataques actuales. Las propuestas de SOC administrados fueron concebidas por la posibilidad de poder ofrecer un servicio más simple y menos costoso de implementar, de mayor calidad, y encargado a personas altamente calificadas. Una buena oferta de MDR combina expertise humano (el factor diferencial), procesos y tecnologías para identificar las amenazas de seguridad prioritarias. La importancia de un Centro de Operaciones de Seguridad radica en su capacidad de detección y contención de incidentes, así como sus tiempos de respuesta frente a los mismos. El cumplimiento de estos objetivos se logra en gran medida gracias a un esquema de procesos y servicio hecho a medida de las organizaciones. Por todos los motivos comentados, se entiende que las implementaciones de SOC-as-service se erigen como un excelente aliado estratégico del negocio, permitiéndoles estar a la altura de las necesidades en tiempo y forma, reinventándose y mejorando de forma continua de cara a la seguridad.
  • 18. 18 3.1 Próximos pasos Las propuestas de servicios administrados se van personalizando cada vez más a las necesidades de las organizaciones y su negocio, potenciado también por nuevas tecnologías que permiten acelerar la normalización de los datos de distintas plataformas para co- relacionarlos, permitiendo una rápida y más eficiente disponibilidad. Un ejemplo claro son los SIEM, los cuales se plantearon como el corazón tecnológico de los SOC, y cómo estas herramientas en su versión next-gen ya incluyen nuevas capacidades, como análisis de comportamiento, aprendizaje automático y automatización, las cuales abren nuevas posibilidades para los analistas de seguridad. El impacto de un SIEM de próxima generación en los SOC puede ser significativo, debido a que ayudaría a reducir la “fatiga” que produce el alto de volumen de las alertas, permitiendo también integrar en un solo producto o appliance distintas soluciones descriptas en la sección 2.6, y pudiendo aprovechar también tecnologías que van más allá de la correlación, ayudando a reducir los falsos positivos y descubriendo amenazas ocultas. Algunos ejemplos de estas soluciones son: AT&T AlienVault USM, Securonix Next-Gen o Exabeam Security Management Platform. Otra aplicación general, es la mejora respecto la integración de las tecnologías con Soluciones de Orquestación de Seguridad, Automatización y Respuesta (Security Orchestration, Automation and Response o SOAR), las cuales se pueden definir como es un conjunto de soluciones o stack que permite a una organización recopilar datos sobre amenazas desde más fuentes y responder a eventos de seguridad de baja severidad, con la menor intervención humana posible.
  • 19. 19 Bibliografía 1. AlienVault, AT&T (2019). “How to build a Security Operations Center on a budget”. 2. Exabeam (2019). “The Modern Security Operations Center, SecOps and SIEM: How they work together". 3. ESET Latinoamérica (2019). “ESET Security Report Latinoamérica 2019”. 4. Hoffman M. (HP, 2014). “How to build a successful SOC”. 5. Cobb S. (ESET, 2018). “RANSOMWARE: an enterprise perspective”. 6. Contreras Salazar R (UNAM, 2018). “Actividades de monitoreo y análisis de un Security Operations Center”. 7. CMMI Institute, ISACA (2017). “Building cybersecurity capability, maturity and resilence”. 8. Wang J (NASA, 2010). "Anatomy of a Security Operations Center".