Este documento describe el concepto de un Centro de Operaciones de Seguridad (SOC) y su función en el mundo de la ciberseguridad. Explica que un SOC monitorea eventos de seguridad las 24 horas los 7 días de la semana para detectar incidentes y alertar tempranamente. También describe las generaciones de los SOCs y sus características como la detección proactiva, alertas en tiempo real y mejora continua. Finalmente, explica que los objetivos de un SOC son detectar, analizar e investigar incidentes para defender la organización.
2. -SOC Manager- invinsec
-Tutor de la materia de Informática Forense-UNED
-Investigador Criminal-OIJ
Estudios
- Licenciatura en Ingeniería Informática con
énfasis en Gerencia Informática
- Cursos varios en área de Ciberseguridad-Criminalistica
- Formación en Inv. Criminal – Esc.Jud.
Estudiante
-Maestría de Ciberseguridad-Cenfotec (5toC)
Otros
Miembro de la Comisión de Ciberseguridad - CPIC
Sobre mi …
Kenneth I.Monge Quiros
3. Agenda
S O C e n e l m u n d o d e l a C i b e r s e g u r i d a d
• Triada
• SOC
• Generaciones de SOC
• Caracteristicas
• Objetivos
• Hechos
• Alcanse
• Como funciona
4. CEO de Cisco Systems, John Chambers, dijo, “There are two types of companies: those who have
been hacked and those who don’t yet know they have been hacked.”
Lo que todos queremos es mantener los servicios
funcionando y Triada de la información intacta
“Existen dos tipos de empresas: las que han sido hackeadas y
las que aún no saben que fueron hackeadas”
John Chambers
S O C e n e l m u n d o d e l a C i b e r s e g u r i d a d
5. SOC ( SecurityOperations Center)
• Ciber SOC en las empresas lo podemos comparar con el Sistema nervioso
central
• Alerta temprana de incidentes y ataques 24/7/365
• Herramienta SIEM (Security Incident and Event Management)
• Visualizar y explorar datos que se encuentran indexados
S O C e n e l m u n d o d e l a C i b e r s e g u r i d a d
6. S O C e n e l m u n d o d e l a C i b e r s e g u r i d a d
Analytics and big data,
intelligence-driven
methodology,
information sharing,
human adversary
approach
Fifth Generation
1975-1995 1996-2001 2002-2006 2007-2012 2013-?
Generaciones de SOC
7. Como funciona?
S O C e n e l m u n d o d e l a C i b e r s e g u r i d a d
• Monitoreo de seguridad: Solución diseñada para monitorear y detectar eventos de seguridad de la información que
podrían afectar negativamente los activos y recursos de información
• Inteligencia de amenazas: La inteligencia de amenazas permite centrar sus esfuerzos y recursos disponibles en las
amenazas más relevantes para el entorno del cliente, ayudando a estar preparado para ataques
• Respuesta a incidentes: Permite a los manejadores de incidentes el apalancamiento como comunicadores primarios para
coordinar eficazmente la respuesta a un ataque tanto en el lado monitoreado como en el lado que monitorea
• Análisis forense: Permite que al personal del SOC enfocar los esfuerzos de investigación en el transcurso de un ciclo de
vida de incidentes, liberando al manejador de incidentes para que se centre en controlar el ataque
8. Características
S O C e n e l m u n d o d e l a C i b e r s e g u r i d a d
• Defensa proactiva
• Alertas en tiempo real
• Se implementa la mejora continua SO
+ dispositivos
• Materia prima = logs
10. Hechos
S O C e n e l m u n d o d e l a C i b e r s e g u r i d a d
• Ataques más sofisticados
• Incidente = - $
• Afectación d reputación personal ó empresarial = - $
• Áreas de TI regularmente priorizan desarrollo de sistemas y
otros pero no en ciberseguridad
• Por reputación no se pública que se ha sido victima de …ó
no se tiene a quien consultar
• Se compran soluciones de seguridad y el personal tiene
poca o ninguna preparación en el uso de herramientas
11. Alcanse
S O C e n e l m u n d o d e l a C i b e r s e g u r i d a d
Evento
Incidente
Incidente de seguridad
de la información
Cualquier punto de datos registrados en un
sistema o dispositivo de red o cualquier usuario
relacionado con la seguridad
Cualquier incidente que comprometa la
confidencialidad, integridad o disponibilidad de la
información y crea una amenaza potencial de pérdida o
interrupción de las operaciones comerciales, la
reputación o los activos Y también es una violación de
la política de seguridad explícita o implícita o prácticas
de seguridad generales
Cualquier ocurrencia observable considerada inusual
ya que no se ajusta al comportamiento operativo
estándar o esperado
12. Manejo de Incidentes
S O C e n e l m u n d o d e l a C i b e r s e g u r i d a d
IH
TTMA
SOC
Manager
Niveles dependen de la empresa
16. Referencias
S O C e n e l m u n d o d e l a C i b e r s e g u r i d a d
• Security Operations Center: Building, Operating and Maintaining your SOC by Joey Muniz, Nadhem
AlFardan, Gary McIntyre
• https://www.slideshare.net/ahmadhagh/an-introduction-to-soc-security-operation-center
• https://www.adictosaltrabajo.com/tutoriales/introduccion-a-kibana/
• http://www.cnmeonline.com/myresources/hpe/docs/HP_ArcSight_WhitePapers_5GSOC_SOC_Generatio
ns.PDF
• https://www.youtube.com/watch?v=CgMRge_uruQ