Retos al construir y operar un CyberSOC
•Descargar como PPTX, PDF•
0 recomendaciones•491 vistas
Presentacion del evento
Recomendados
Recomendados
Más contenido relacionado
La actualidad más candente
La actualidad más candente (20)
Similar a Retos al construir y operar un CyberSOC
Similar a Retos al construir y operar un CyberSOC (20)
Más de Cristian Garcia G.
Más de Cristian Garcia G. (20)
Último
Último (10)
Retos al construir y operar un CyberSOC
- 1. RETOS AL CONSTRUIRY OPERAR UN CYBERSOC COLABORATIVO REGIONAL SECURE SOFT CORP Marcos P. Isasi Mg. PMP ITIL DataCenter Dynamics ISO/IEC 27032 Gerente Regional CyberSOC Junio 2019 #ProtectionPeru2019
- 2. MARCO DE REFERENCIA PARA LA CONSTRUCCIÓN DE UN CYBERSOC PLATAFORMAS CIBER-INTELIGENCIA: • MITRECRITs • Cyber SquadThreatConnect • BAE Detica CyberReveal • Lockheed Martin Palisade • OpenDNS ISO / FIRST / NIST COBIT MM / CMMI / SEI MM PCI DSS, STIX, OpenIOC OODA / ITIL / PMP Metodologías Estándares / Buenas prácticas Modelos de Madurez Entidades Institutos SecureSoft Framework
- 3. ¿QUÉ ES UN CYBERSOC? 01 03 0204 ANALISTAS SIEM VULNERABILIDADES CIBERINTELIGENCIA 1 Reconocimiento Armamento 2 3 Delivery 5 Instalación 7 Acciones y Objetivos Explotación 4 Comando y Control 6 Cyber Kill Chain OODA (Observación Orientación Decisión Acción) #ProtectionPeru2019
- 5. 1. NEGOCIO Objetivos REFERENCIA DE MODELO DE MADUREZ: SOC - CMM SERVICIOS NEGOCIO TECNOLOGÍA PROCESOS PERSONAS SOC - CMM 4 FASES: Planeación Diseño Construcción Operación 2. SERVICIOS Catálogo 3. TECNOLOGÍA Correlación / Analítica Big Data / Machine Learning Threat Intelligence 4. PROCESOS Reporte Incidentes Análisis Incidentes Playbooks Vulnerabilidades 5. PERSONAS Organización Habilidades Experiencia Entrenamiento
- 6. VVBOT MENSAJERO VENTAJAS • Awareness • Tiempo de respuesta • Escalamiento automático • Seguimiento Cliente Soporte N2 CiberinteligenciaInternet Servidor Alertas API Celular CyberSOC Operador CyberSOC Ticket SD Mensaje Script Mensaje AUTOMATIZACIÓN EN UN CYBERSOC (EJEMPLO) VVTRÓN REPORTEADOR • Macro Scheduler • AutoIT • AutoHotkey • Sikuli • TinyTask • FastKeys VENTAJAS • Eficiencia Capacity • Foco tareas de mayor valor
- 7. APLICANDO CIBERINTELLIGENCIA EN UN CYBERSOC ¿CÓMO EVALUAR FEEDS? • ¿Cuál es su número de fuentes? • ¿Qué tipos de fuentes son? • ¿Cada cuánto tiempo se actualizan? • ¿Se puede verificar que la amenaza es real? • ¿En qué formato entregan feed? • ¿Cómo complementa el entorno? Evaluación de Feeds INSUMOS PARA SIEM: • Conexiones permitidas FW • Conexiones denegadas • Ratios de reglas denegadas • Autenticación de usuarios • Actividades de Bypass de Proxy • Interrupciones de conexiones BW • Información de NAT Eventos HERRAMIENTAS GESTIÓNVULNERABILIDADES: • Qualys • NMAP • OpenVAS • Nessus • Metasploit • Kali Linux • Core Impact Vulnerabilidades THREAT INTELLIGENCE FEEDS: • AlienVault • CrowdStrike • Cyveilance • EmergingThreats Net • FireEye • InternetIdentity • iSightPartners • MalwareCheck • MalwareDomains • SecureWorks • Symantec • ThreatConnect • ThreatGrid • ThreatStop • ThreatStream • Verisigninc Threat Intelligence Feeds Externo SIEM EQUIPOS INTERCONECTADOS AL SIEM: • Switches / Routers • AD / DNS • AntiSpam • Proxy • FW / IPS • AV / AM • Threat Intelligence Equipos en SIEM Interno
- 8. CLAVE DEL ÉXITO: COMPONENTE HUMANO Man in the middle • Trabajo en Equipo • Transparencia • Eficiencia VALORES • Servicio al Cliente • Transformación #ProtectionPeru2019
- 9. Habilidades y experiencia Gobierno Acceso a información y Sistemas Colaboración CONCLUSIONES Soporte Ejecutivo Presupuesto Programa de Seguridad Procedimientos #ProtectionPeru2019
- 10. RECURSOS • Formato SOC-CMM • Automatización con Macro Scheduler • Notificación de alertas conTelegram • Formato ejemplo de Casos de Uso
Notas del editor
- Historia / Tour / nombre ambicioso / reto nombre / por lo que significa realmente / Gerente financiero
- Capabilities / Desarrollar Capabilities (PMP Tienes el Proyecto y el proyecto del proyecto) Ingredientes / olla receta
- Militares Coronel John Boyd OODA / Qué tienen los militares ahora? Cyber Kill Chain / R W D E I CC AO / es importante reconociendo patrón puedes fortaleces vectores de ataque Conocer al cliente / línea base / clasificar por industrias
- Stakeholders / alinear objetivos SOC con Negocios / identificar Capabilities / Telemetría – LOGS – NTP Proceso enriquecimiento de datos
- Quitamos carga operativa / más análisis Mejoramos tiempo de respuesta, incrementamos nuestro capability de awareness
- Esta lámina les podrá parecer simple, pero es la más compleja…KPI / CASOS INGRESO / CONTRATACIONES / ROTACIÓN / COMPROMISO / ORGANIZACIÓN HORIZONTAL
- KPI / CASOS INGRESO / CONTRATACIONES / ROTACIÓN / COMPROMISO / ORGANIZACIÓN HORIZONTAL Llamen a su representante comercial
- KPI / CASOS INGRESO / CONTRATACIONES / ROTACIÓN / COMPROMISO / ORGANIZACIÓN HORIZONTAL