1. RETOS
AL CONSTRUIRY OPERAR
UN CYBERSOC COLABORATIVO
REGIONAL
SECURE SOFT CORP
Marcos P. Isasi
Mg. PMP ITIL DataCenter Dynamics ISO/IEC 27032
Gerente Regional CyberSOC
Junio 2019
#ProtectionPeru2019
2. MARCO DE REFERENCIA PARA LA CONSTRUCCIÓN DE UN CYBERSOC
PLATAFORMAS
CIBER-INTELIGENCIA:
• MITRECRITs
• Cyber SquadThreatConnect
• BAE Detica CyberReveal
• Lockheed Martin Palisade
• OpenDNS
ISO / FIRST / NIST
COBIT MM / CMMI / SEI MM
PCI DSS, STIX, OpenIOC
OODA / ITIL / PMP
Metodologías
Estándares / Buenas prácticas
Modelos de Madurez
Entidades Institutos
SecureSoft Framework
3. ¿QUÉ ES UN CYBERSOC?
01
03
0204
ANALISTAS
SIEM
VULNERABILIDADES
CIBERINTELIGENCIA
1 Reconocimiento
Armamento 2
3 Delivery
5 Instalación
7 Acciones y
Objetivos
Explotación 4
Comando y
Control
6
Cyber Kill Chain
OODA
(Observación Orientación Decisión Acción)
#ProtectionPeru2019
5. 1. NEGOCIO
Objetivos
REFERENCIA DE MODELO DE MADUREZ: SOC - CMM
SERVICIOS
NEGOCIO TECNOLOGÍA
PROCESOS
PERSONAS
SOC - CMM
4 FASES:
Planeación Diseño Construcción Operación
2. SERVICIOS
Catálogo
3. TECNOLOGÍA
Correlación / Analítica
Big Data / Machine Learning
Threat Intelligence
4. PROCESOS
Reporte Incidentes
Análisis Incidentes
Playbooks
Vulnerabilidades
5. PERSONAS
Organización
Habilidades
Experiencia
Entrenamiento
6. VVBOT MENSAJERO
VENTAJAS
• Awareness
• Tiempo de
respuesta
• Escalamiento
automático
• Seguimiento
Cliente
Soporte N2
CiberinteligenciaInternet
Servidor Alertas
API
Celular
CyberSOC
Operador
CyberSOC
Ticket
SD
Mensaje
Script
Mensaje
AUTOMATIZACIÓN EN UN CYBERSOC (EJEMPLO)
VVTRÓN REPORTEADOR
• Macro Scheduler
• AutoIT
• AutoHotkey
• Sikuli
• TinyTask
• FastKeys
VENTAJAS
• Eficiencia
Capacity
• Foco tareas de
mayor valor
7. APLICANDO CIBERINTELLIGENCIA EN UN CYBERSOC
¿CÓMO EVALUAR FEEDS?
• ¿Cuál es su número de fuentes?
• ¿Qué tipos de fuentes son?
• ¿Cada cuánto tiempo se actualizan?
• ¿Se puede verificar que la amenaza es real?
• ¿En qué formato entregan feed?
• ¿Cómo complementa el entorno?
Evaluación
de Feeds
INSUMOS PARA SIEM:
• Conexiones permitidas FW
• Conexiones denegadas
• Ratios de reglas denegadas
• Autenticación de usuarios
• Actividades de Bypass de Proxy
• Interrupciones de conexiones BW
• Información de NAT
Eventos
HERRAMIENTAS GESTIÓNVULNERABILIDADES:
• Qualys
• NMAP
• OpenVAS
• Nessus
• Metasploit
• Kali Linux
• Core Impact
Vulnerabilidades
THREAT INTELLIGENCE FEEDS:
• AlienVault
• CrowdStrike
• Cyveilance
• EmergingThreats Net
• FireEye
• InternetIdentity
• iSightPartners
• MalwareCheck
• MalwareDomains
• SecureWorks
• Symantec
• ThreatConnect
• ThreatGrid
• ThreatStop
• ThreatStream
• Verisigninc
Threat
Intelligence
Feeds
Externo
SIEM
EQUIPOS INTERCONECTADOS AL SIEM:
• Switches / Routers
• AD / DNS
• AntiSpam
• Proxy
• FW / IPS
• AV / AM
• Threat Intelligence
Equipos en
SIEM
Interno
8. CLAVE DEL ÉXITO: COMPONENTE HUMANO
Man in the middle
• Trabajo en Equipo
• Transparencia
• Eficiencia
VALORES
• Servicio al Cliente
• Transformación
#ProtectionPeru2019
9. Habilidades y experiencia
Gobierno
Acceso a información
y Sistemas
Colaboración
CONCLUSIONES
Soporte Ejecutivo
Presupuesto
Programa de Seguridad
Procedimientos
#ProtectionPeru2019
10. RECURSOS
• Formato SOC-CMM
• Automatización con Macro Scheduler
• Notificación de alertas conTelegram
• Formato ejemplo de Casos de Uso
Historia / Tour / nombre ambicioso / reto nombre / por lo que significa realmente / Gerente financiero
Capabilities / Desarrollar Capabilities (PMP Tienes el Proyecto y el proyecto del proyecto)
Ingredientes / olla receta
Militares Coronel John Boyd OODA / Qué tienen los militares ahora?
Cyber Kill Chain / R W D E I CC AO / es importante reconociendo patrón puedes fortaleces vectores de ataque
Conocer al cliente / línea base / clasificar por industrias
Stakeholders / alinear objetivos SOC con Negocios / identificar Capabilities / Telemetría – LOGS – NTP
Proceso enriquecimiento de datos
Quitamos carga operativa / más análisis
Mejoramos tiempo de respuesta, incrementamos nuestro capability de awareness
Esta lámina les podrá parecer simple, pero es la más compleja…KPI / CASOS INGRESO / CONTRATACIONES / ROTACIÓN / COMPROMISO / ORGANIZACIÓN HORIZONTAL
KPI / CASOS INGRESO / CONTRATACIONES / ROTACIÓN / COMPROMISO / ORGANIZACIÓN HORIZONTAL
Llamen a su representante comercial