Retos al construir y operar un CyberSOC

•Descargar como PPTX, PDF•

0 recomendaciones•490 vistas

Cristian Garcia G.

Presentacion del evento

Tecnología

RETOS
AL CONSTRUIRY OPERAR
UN CYBERSOC COLABORATIVO
REGIONAL
SECURE SOFT CORP
Marcos P. Isasi
Mg. PMP ITIL DataCenter Dynamics ISO/IEC 27032
Gerente Regional CyberSOC
Junio 2019
#ProtectionPeru2019

MARCO DE REFERENCIA PARA LA CONSTRUCCIÓN DE UN CYBERSOC
PLATAFORMAS
CIBER-INTELIGENCIA:
• MITRECRITs
• Cyber SquadThreatConnect
• BAE Detica CyberReveal
• Lockheed Martin Palisade
• OpenDNS
ISO / FIRST / NIST
COBIT MM / CMMI / SEI MM
PCI DSS, STIX, OpenIOC
OODA / ITIL / PMP
Metodologías
Estándares / Buenas prácticas
Modelos de Madurez
Entidades Institutos
SecureSoft Framework

¿QUÉ ES UN CYBERSOC?
01
03
0204
ANALISTAS
SIEM
VULNERABILIDADES
CIBERINTELIGENCIA
1 Reconocimiento
Armamento 2
3 Delivery
5 Instalación
7 Acciones y
Objetivos
Explotación 4
Comando y
Control
6
Cyber Kill Chain
OODA
(Observación Orientación Decisión Acción)
#ProtectionPeru2019

¿Ciberataques expertos?
TENDENCIAS
Ciberataques sociales:
“Cambridge Analytica”

1. NEGOCIO
Objetivos
REFERENCIA DE MODELO DE MADUREZ: SOC - CMM
SERVICIOS
NEGOCIO TECNOLOGÍA
PROCESOS
PERSONAS
SOC - CMM
4 FASES:
Planeación  Diseño  Construcción  Operación
2. SERVICIOS
Catálogo
3. TECNOLOGÍA
Correlación / Analítica
Big Data / Machine Learning
Threat Intelligence
4. PROCESOS
Reporte Incidentes
Análisis Incidentes
Playbooks
Vulnerabilidades
5. PERSONAS
Organización
Habilidades
Experiencia
Entrenamiento

VVBOT MENSAJERO
VENTAJAS
• Awareness
• Tiempo de
respuesta
• Escalamiento
automático
• Seguimiento
Cliente
Soporte N2
CiberinteligenciaInternet
Servidor Alertas
API
Celular
CyberSOC
Operador
CyberSOC
Ticket
SD
Mensaje
Script
Mensaje
AUTOMATIZACIÓN EN UN CYBERSOC (EJEMPLO)
VVTRÓN REPORTEADOR
• Macro Scheduler
• AutoIT
• AutoHotkey
• Sikuli
• TinyTask
• FastKeys
VENTAJAS
• Eficiencia
Capacity
• Foco tareas de
mayor valor

APLICANDO CIBERINTELLIGENCIA EN UN CYBERSOC
¿CÓMO EVALUAR FEEDS?
• ¿Cuál es su número de fuentes?
• ¿Qué tipos de fuentes son?
• ¿Cada cuánto tiempo se actualizan?
• ¿Se puede verificar que la amenaza es real?
• ¿En qué formato entregan feed?
• ¿Cómo complementa el entorno?
Evaluación
de Feeds
INSUMOS PARA SIEM:
• Conexiones permitidas FW
• Conexiones denegadas
• Ratios de reglas denegadas
• Autenticación de usuarios
• Actividades de Bypass de Proxy
• Interrupciones de conexiones BW
• Información de NAT
Eventos
HERRAMIENTAS GESTIÓNVULNERABILIDADES:
• Qualys
• NMAP
• OpenVAS
• Nessus
• Metasploit
• Kali Linux
• Core Impact
Vulnerabilidades
THREAT INTELLIGENCE FEEDS:
• AlienVault
• CrowdStrike
• Cyveilance
• EmergingThreats Net
• FireEye
• InternetIdentity
• iSightPartners
• MalwareCheck
• MalwareDomains
• SecureWorks
• Symantec
• ThreatConnect
• ThreatGrid
• ThreatStop
• ThreatStream
• Verisigninc
Threat
Intelligence
Feeds
Externo
SIEM
EQUIPOS INTERCONECTADOS AL SIEM:
• Switches / Routers
• AD / DNS
• AntiSpam
• Proxy
• FW / IPS
• AV / AM
• Threat Intelligence
Equipos en
SIEM
Interno

CLAVE DEL ÉXITO: COMPONENTE HUMANO
Man in the middle
• Trabajo en Equipo
• Transparencia
• Eficiencia
VALORES
• Servicio al Cliente
• Transformación
#ProtectionPeru2019

Habilidades y experiencia
Gobierno
Acceso a información
y Sistemas
Colaboración
CONCLUSIONES
Soporte Ejecutivo
Presupuesto
Programa de Seguridad
Procedimientos
#ProtectionPeru2019

RECURSOS
• Formato SOC-CMM
• Automatización con Macro Scheduler
• Notificación de alertas conTelegram
• Formato ejemplo de Casos de Uso

Más contenido relacionado

La actualidad más candente

Strategy considerations for building a security operations centerCMR WORLD TECH

Cyber Threat Intelligence.pptxAbimbolaFisher1

Cyber Security Maturity AssessmentDoreen Loeber

NIST CyberSecurity Framework: An OverviewTandhy Simanjuntak

Free and open cloud security posture monitoringElasticsearch

SOC and SIEM.pptxSandeshUprety4

How to implement NIST cybersecurity standards in my organizationExigent Technologies LLC

The Diamond Model for Intrusion Analysis - Threat IntelligenceThreatConnect

From NIST CSF 1.1 to 2.0.pdfAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001

NIST Cybersecurity Framework 101 Erick Kish, U.S. Commercial Service

Zachman Enterprise Security ArchitectureJoaquin Marques

An introduction to SOC (Security Operation Center)Ahmad Haghighi

Cybersecurity AuditEC-Council

Next-Gen security operation centerMuhammad Sahputra

Bulding Soc In Changing Threat LandscapefinalMahmoud Yassin

Cybersecurity Capability Maturity Model (C2M2)Maganathin Veeraragaloo

7 Steps to Build a SOC with Limited ResourcesLogRhythm

Modelling Security Architecturenarenvivek

Rothke rsa 2012 building a security operations center (soc)Ben Rothke

Industrial_Cyber_SecurityWillianMachadoFonsec

La actualidad más candente (20)

Strategy considerations for building a security operations center

Cyber Threat Intelligence.pptx

Cyber Security Maturity Assessment

NIST CyberSecurity Framework: An Overview

Free and open cloud security posture monitoring

SOC and SIEM.pptx

How to implement NIST cybersecurity standards in my organization

The Diamond Model for Intrusion Analysis - Threat Intelligence

From NIST CSF 1.1 to 2.0.pdf

NIST Cybersecurity Framework 101

Zachman Enterprise Security Architecture

An introduction to SOC (Security Operation Center)

Cybersecurity Audit

Next-Gen security operation center

Bulding Soc In Changing Threat Landscapefinal

Cybersecurity Capability Maturity Model (C2M2)

7 Steps to Build a SOC with Limited Resources

Modelling Security Architecture

Rothke rsa 2012 building a security operations center (soc)

Industrial_Cyber_Security

Similar a Retos al construir y operar un CyberSOC

Foro de Seguridad Sector Telcos JahirDanielLopez113433

Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...Wiktor Nykiel ✔

presentacionForodeSeguridadSectorTelcosJahir.pdferick562350

#avanttic_webinar: Seguridad en Oracle Cloud Infrastructureavanttic Consultoría Tecnológica

Seguridad en redesdpovedaups123

Viii congreso isaca 2015 grcbalejandre

Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se...Symantec LATAM

Cloud security adoption sophosCSA Argentina

Estrategias de Seguridad para Servicios en la NubeSoftware Guru

Seguridad en sistemas distribuidosTensor

Seguridad para Cloud ComputingGabriel Marcos

Portafolio netBytes 2012netBytes

Semana de la I+D - Proyecto OPOSSUMFrancisco Javier Barrena

Las nuevas ciberamenazas que enfrentamos el 2017 Raúl Díaz

Be Aware Webinar - Asegurando los pos en retailSymantec LATAM

MiscloudfigurationLuciano Moreira da Cruz

Ransomware: cómo recuperar sus datos en la nube de AWSAmazon Web Services LATAM

Ataques de denegacion de servicioCamilo Fernandez

Seguridad en redes corporativas II (PRAXITEC)Jack Daniel Cáceres Meza

Taller Centros de Datos: la innovación irrumpe en sus estructuras y funcional...Mundo Contact

Similar a Retos al construir y operar un CyberSOC (20)

Foro de Seguridad Sector Telcos Jahir

Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...

presentacionForodeSeguridadSectorTelcosJahir.pdf

#avanttic_webinar: Seguridad en Oracle Cloud Infrastructure

Seguridad en redes

Viii congreso isaca 2015 grc

Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se...

Cloud security adoption sophos

Estrategias de Seguridad para Servicios en la Nube

Seguridad en sistemas distribuidos

Seguridad para Cloud Computing

Portafolio netBytes 2012

Semana de la I+D - Proyecto OPOSSUM

Las nuevas ciberamenazas que enfrentamos el 2017

Be Aware Webinar - Asegurando los pos en retail

Miscloudfiguration

Ransomware: cómo recuperar sus datos en la nube de AWS

Ataques de denegacion de servicio

Seguridad en redes corporativas II (PRAXITEC)

Taller Centros de Datos: la innovación irrumpe en sus estructuras y funcional...

Más de Cristian Garcia G.

Making App Security and Delivery Ridiculously EasyCristian Garcia G.

Ciberseguridad Alineada al NegocioCristian Garcia G.

Reducción efectiva del riesgo de ciberseguridadCristian Garcia G.

Operación Segura : SOC y alineación del riesgo con el impacto para el negocio. Cristian Garcia G.

Ciberseguridad en el mundo de la IACristian Garcia G.

Symantec Enterprise CloudCristian Garcia G.

Optimización en la detección de amenazas utilizando analítica (IA/UEBA)Cristian Garcia G.

Protección de los datos en la era Post-DatacenterCristian Garcia G.

La Ciberseguridad como pilar fundamental del Desarrollo TecnológicoCristian Garcia G.

Simplificando la seguridad en entornos de nube híbridos con el Security Fabri...Cristian Garcia G.

Gestión de la ExposiciónCristian Garcia G.

Cómo la gestión de privilegios puede blindar su negocio contra ransomware y o...Cristian Garcia G.

Un enfoque práctico para implementar confianza cero en el trabajo híbridoCristian Garcia G.

La crisis de identidad que se avecinaCristian Garcia G.

Simplifica y Vencerás : La seguridad debe ser simple para garantizar el éxitoCristian Garcia G.

Porqué enfocarnos en el DEX (Experiencia Digital del Empleado) - Cómo la tecn...Cristian Garcia G.

Stay ahead of the Threats: Automate and Simplify SecOps to revolutionize the SOCCristian Garcia G.

La evolución de IBM Qradar SuiteCristian Garcia G.

Ciberseguridad en GTD, SecureSoft en GTD Cristian Garcia G.

Time is Money… and More.- Nuestras Capacidades Regionales de Detección y Resp...Cristian Garcia G.

Más de Cristian Garcia G. (20)

Making App Security and Delivery Ridiculously Easy

Ciberseguridad Alineada al Negocio

Reducción efectiva del riesgo de ciberseguridad

Operación Segura : SOC y alineación del riesgo con el impacto para el negocio.

Ciberseguridad en el mundo de la IA

Symantec Enterprise Cloud

Optimización en la detección de amenazas utilizando analítica (IA/UEBA)

Protección de los datos en la era Post-Datacenter

La Ciberseguridad como pilar fundamental del Desarrollo Tecnológico

Simplificando la seguridad en entornos de nube híbridos con el Security Fabri...

Gestión de la Exposición

Cómo la gestión de privilegios puede blindar su negocio contra ransomware y o...

Un enfoque práctico para implementar confianza cero en el trabajo híbrido

La crisis de identidad que se avecina

Simplifica y Vencerás : La seguridad debe ser simple para garantizar el éxito

Porqué enfocarnos en el DEX (Experiencia Digital del Empleado) - Cómo la tecn...

Stay ahead of the Threats: Automate and Simplify SecOps to revolutionize the SOC

La evolución de IBM Qradar Suite

Ciberseguridad en GTD, SecureSoft en GTD

Time is Money… and More.- Nuestras Capacidades Regionales de Detección y Resp...

Último

Proyecto integrador. Las TIC en la sociedad S4.pptx241521559

La era de la educación digital y sus desafiosFundación YOD YOD

Hernandez_Hernandez_Practica web de la sesion 12.pptxJOSEMANUELHERNANDEZH11

International Women's Day Sucre 2024 (IWD)GDGSucre

Cortes-24-de-abril-Tungurahua-3 año 2024GiovanniJavierHidalg

ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...FacuMeza2

Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology

PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfSergioMendoza354770

EPA-pdf resultado da prova presencial UninoveFagnerLisboa3

POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2

trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill

Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez

SalmorejoTech 2024 - Spring Boot <3 TestcontainersIván López Martín

Plan de aula informatica segundo periodo.docxpabonheidy28

Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...AlanCedillo9

CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega

guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM

KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD

Trabajo Mas Completo De Excel en clase tecnologíassuserf18419

Retos al construir y operar un CyberSOC

1. RETOS AL CONSTRUIRY OPERAR UN CYBERSOC COLABORATIVO REGIONAL SECURE SOFT CORP Marcos P. Isasi Mg. PMP ITIL DataCenter Dynamics ISO/IEC 27032 Gerente Regional CyberSOC Junio 2019 #ProtectionPeru2019

2. MARCO DE REFERENCIA PARA LA CONSTRUCCIÓN DE UN CYBERSOC PLATAFORMAS CIBER-INTELIGENCIA: • MITRECRITs • Cyber SquadThreatConnect • BAE Detica CyberReveal • Lockheed Martin Palisade • OpenDNS ISO / FIRST / NIST COBIT MM / CMMI / SEI MM PCI DSS, STIX, OpenIOC OODA / ITIL / PMP Metodologías Estándares / Buenas prácticas Modelos de Madurez Entidades Institutos SecureSoft Framework

3. ¿QUÉ ES UN CYBERSOC? 01 03 0204 ANALISTAS SIEM VULNERABILIDADES CIBERINTELIGENCIA 1 Reconocimiento Armamento 2 3 Delivery 5 Instalación 7 Acciones y Objetivos Explotación 4 Comando y Control 6 Cyber Kill Chain OODA (Observación Orientación Decisión Acción) #ProtectionPeru2019

4. ¿Ciberataques expertos? TENDENCIAS Ciberataques sociales: “Cambridge Analytica”

5. 1. NEGOCIO Objetivos REFERENCIA DE MODELO DE MADUREZ: SOC - CMM SERVICIOS NEGOCIO TECNOLOGÍA PROCESOS PERSONAS SOC - CMM 4 FASES: Planeación  Diseño  Construcción  Operación 2. SERVICIOS Catálogo 3. TECNOLOGÍA Correlación / Analítica Big Data / Machine Learning Threat Intelligence 4. PROCESOS Reporte Incidentes Análisis Incidentes Playbooks Vulnerabilidades 5. PERSONAS Organización Habilidades Experiencia Entrenamiento

6. VVBOT MENSAJERO VENTAJAS • Awareness • Tiempo de respuesta • Escalamiento automático • Seguimiento Cliente Soporte N2 CiberinteligenciaInternet Servidor Alertas API Celular CyberSOC Operador CyberSOC Ticket SD Mensaje Script Mensaje AUTOMATIZACIÓN EN UN CYBERSOC (EJEMPLO) VVTRÓN REPORTEADOR • Macro Scheduler • AutoIT • AutoHotkey • Sikuli • TinyTask • FastKeys VENTAJAS • Eficiencia Capacity • Foco tareas de mayor valor

7. APLICANDO CIBERINTELLIGENCIA EN UN CYBERSOC ¿CÓMO EVALUAR FEEDS? • ¿Cuál es su número de fuentes? • ¿Qué tipos de fuentes son? • ¿Cada cuánto tiempo se actualizan? • ¿Se puede verificar que la amenaza es real? • ¿En qué formato entregan feed? • ¿Cómo complementa el entorno? Evaluación de Feeds INSUMOS PARA SIEM: • Conexiones permitidas FW • Conexiones denegadas • Ratios de reglas denegadas • Autenticación de usuarios • Actividades de Bypass de Proxy • Interrupciones de conexiones BW • Información de NAT Eventos HERRAMIENTAS GESTIÓNVULNERABILIDADES: • Qualys • NMAP • OpenVAS • Nessus • Metasploit • Kali Linux • Core Impact Vulnerabilidades THREAT INTELLIGENCE FEEDS: • AlienVault • CrowdStrike • Cyveilance • EmergingThreats Net • FireEye • InternetIdentity • iSightPartners • MalwareCheck • MalwareDomains • SecureWorks • Symantec • ThreatConnect • ThreatGrid • ThreatStop • ThreatStream • Verisigninc Threat Intelligence Feeds Externo SIEM EQUIPOS INTERCONECTADOS AL SIEM: • Switches / Routers • AD / DNS • AntiSpam • Proxy • FW / IPS • AV / AM • Threat Intelligence Equipos en SIEM Interno

8. CLAVE DEL ÉXITO: COMPONENTE HUMANO Man in the middle • Trabajo en Equipo • Transparencia • Eficiencia VALORES • Servicio al Cliente • Transformación #ProtectionPeru2019

9. Habilidades y experiencia Gobierno Acceso a información y Sistemas Colaboración CONCLUSIONES Soporte Ejecutivo Presupuesto Programa de Seguridad Procedimientos #ProtectionPeru2019

10. RECURSOS • Formato SOC-CMM • Automatización con Macro Scheduler • Notificación de alertas conTelegram • Formato ejemplo de Casos de Uso

11. GRACIAS. #ProtectionPeru2019

Notas del editor

Historia / Tour / nombre ambicioso / reto nombre / por lo que significa realmente / Gerente financiero
Capabilities / Desarrollar Capabilities (PMP Tienes el Proyecto y el proyecto del proyecto) Ingredientes / olla receta
Militares Coronel John Boyd OODA / Qué tienen los militares ahora? Cyber Kill Chain / R W D E I CC AO / es importante reconociendo patrón puedes fortaleces vectores de ataque Conocer al cliente / línea base / clasificar por industrias
Stakeholders / alinear objetivos SOC con Negocios / identificar Capabilities / Telemetría – LOGS – NTP Proceso enriquecimiento de datos
Quitamos carga operativa / más análisis Mejoramos tiempo de respuesta, incrementamos nuestro capability de awareness
Esta lámina les podrá parecer simple, pero es la más compleja…KPI / CASOS INGRESO / CONTRATACIONES / ROTACIÓN / COMPROMISO / ORGANIZACIÓN HORIZONTAL
KPI / CASOS INGRESO / CONTRATACIONES / ROTACIÓN / COMPROMISO / ORGANIZACIÓN HORIZONTAL Llamen a su representante comercial
KPI / CASOS INGRESO / CONTRATACIONES / ROTACIÓN / COMPROMISO / ORGANIZACIÓN HORIZONTAL

Retos al construir y operar un CyberSOC

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

Similar a Retos al construir y operar un CyberSOC

Similar a Retos al construir y operar un CyberSOC (20)

Más de Cristian Garcia G.

Más de Cristian Garcia G. (20)

Último

Último (19)

Retos al construir y operar un CyberSOC

Notas del editor