¡Acceso ilimitado 24/7 a todos nuestros libros y vídeos! Descubra la Biblioteca Online ENI. Pulse aquí
¡Acceso ilimitado 24/7 a todos nuestros libros y vídeos! Descubra la Biblioteca Online ENI. Pulse aquí
  1. Libros
  2. Resiliencia cibernética en la empresa
  3. Security Operations Center
Extrait - Resiliencia cibernética en la empresa Retos, normas y buenas prácticas
Extractos del libro
Resiliencia cibernética en la empresa Retos, normas y buenas prácticas Volver a la página de compra del libro

Security Operations Center

Introducción

El objetivo de este capítulo es presentar paso a paso el tema del Centro de Operaciones de Seguridad (SOC): origen del problema, necesidad de herramientas potentes de cibervigilancia, explicación detallada del contenido del SOC ideal en tres dimensiones (proceso - humano - tecnología), panorámica de las soluciones existentes en el mercado, estudio de la oportunidad de crear un SOC de código abierto, rentabilidad de la inversión, especificación de un SOC empresarial, presentación de casos de uso. Por último, al final del capítulo se detallará un proyecto para crear un portal que presente un cibercuadro de mando.

Origen del problema

La transición digital de todos los sectores empresariales es como una moneda: tiene dos caras.

  • Lado Cara, es un facilitador, que simplifica la vida de los profesionales, ayuda a mejorar los procesos empresariales y, en definitiva, hace más eficientes los sectores empresariales.

  • Lado Cruz, es fuente de inquietud porque genera nuevos riesgos vinculados a la dependencia de las tecnologías y herramientas, al uso generalizado de la nube y a la interconexión de los sistemas de información.

images/09RI01.png

Las dos caras de la transición digital

El aumento del número de sistemas conectados, es decir, dotados de una dirección IP (privada o pública), multiplica la exposición en las redes de comunicación.

En una red local (una LAN privada por definición), los objetos conectados (PC, conmutadores, terminales Wi-Fi, cortafuegos, autocomunicadores IP, servidores informáticos, escáneres médicos y cualquier otro dispositivo conectado) son fuentes de "ganancia" y codicia potencial para los atacantes externos o internos.

Internet es la menos segura de todas las redes, ya que reúne al público en general, profesionales, ciberdelincuentes, organismos gubernamentales, hospitales, y cualquier objeto conectado puede ser atacado por definición mediante un simple escaneo de IP, rango de IP, nombres de dominio o direcciones de sitios web.

El contexto global...

Herramientas necesarias

La multiplicidad y el carácter dinámico de los ataques, las amenazas, las vulnerabilidades y los riesgos hacen imposible que una sola persona u organización pueda controlarlo y vigilarlo todo y, por tanto, preverlo todo antes de que ocurra lo peor.

Por lo tanto, es esencial disponer de un arsenal de herramientas eficaces, profesionales, robustas y baratas para proporcionar la ayuda más automatizada posible en términos de prevención, detección y remediación.

Contenido del SOC ideal

El SOC tiene tres componentes fundamentales:

  • Organización: con sus propias políticas, procesos, procedimientos e instrucciones de funcionamiento.

  • Equipo: con un equipo totalmente dedicado a las tareas de supervisión, respuesta a incidentes, análisis diversos (post-mortem, vulnerabilidades 0-day*, etc.), pruebas de penetración, escaneos de vulnerabilidades, configuración y mantenimiento en condiciones operativas del software que conforma la plataforma técnica, etc.

  • Técnico: con componentes de software como SIEM (Security Information Event Manager).

El objetivo del SOC es actuar en cuatro áreas principales: prevención, detección, reparación y cumplimiento.

* Vulnerabilidad 0-day: se trata de una vulnerabilidad informática que aún no ha sido remediada (antivirus, parche, etc.). En otras palabras, se trata del peor escenario posible, ya que no existe -a priori- ninguna protección.

1. Componente organizativo

Para funcionar correctamente (idealmente en una organización que cumpla la norma ISO 27001), es esencial escribir lo que se hace y hacer lo que se escribe. Esto significa establecer diversos documentos (políticas, procesos, procedimientos, instrucciones) dentro de un sistema de gestión de documentos al que pueda acceder todo el equipo que compone el SOC, en particular..:

  • Documento de arquitectura técnica (DAT) que describa la solución técnica utilizada; por ejemplo, el software de gestión de logs se definirá desde un punto de vista técnico (diagrama de arquitectura, direcciones IP, lista de máquinas virtuales, potencia de las máquinas virtuales, componentes funcionales, relación con otros elementos de SI como la gestión de tickets, rotación de logs, elementos de copia de seguridad y archivo, reglas de cortafuegos para asegurar el sistema de logs, definición de logs registrados, lista de personas con acceso a la plataforma, etc.). La DAT es un elemento valioso para todo el equipo y debe mejorarse constantemente.

Ejemplo de sección DAT

0 Contexto del proyecto 
1. Tipo de servicio y contexto empresarial  
- Existencias, limitaciones  
- Alcance  
- Usuarios / Clientes  
- Contactos 
2. Arquitectura general Arquitectura general 
3. Arquitectura detallada 
- Esquema técnico 
- Lista de servidores...

Estudio de oportunidad para un SOC de código abierto completo

Es totalmente posible construir un SOC con bloques tecnológicos de alta calidad en una versión comunitaria, es decir, disponible para su descarga gratuita en Internet.

El siguiente cuadro muestra los distintos productos utilizados por el SOC:

Categoría

Productos

Página web

Cortafuegos

pfSense

https://www.pfsense.org/

IPS/IDS

Suricata, Esnifar

https://suricata-ids.org/

https://www.snort.org/

Motor de análisis y clasificación del tráfico de red

Zeek

https://zeek.org/

SIEM

Elasticsearch

Ejemplifique

https://www.elastic.co/es/

https://www.siemplify.co/

Fuente de información sobre amenazas

MISP

https://www.misp-project.org/

EDR

Wazuh

OpenEDR

Bluespawn

OSSEC La Colmena

https://wazuh.com/

https://openedr.com/

https://www.reddit.com/r/netsecstudents/comments/hihlyt/bluespawn_an_opensource_active_defense_and_edr/

https://www.ossec.net/

https://thehive-project.org/

UEBA

OpenUBA

http://openuba.org/

CTI

OpenCTI

https://www.opencti.io/

Cuidado con el tiempo que se tarda en familiarizarse con toda esta panoplia de código abierto. El coste de instalación y mantenimiento en condiciones operativas puede resultar rápidamente inversamente proporcional al ahorro realizado en licencias. Sobre todo porque, sin apoyo comercial, necesitarás un equipo de SOC especialmente experimentado con una inclinación emprendedora/intraemprendedora. ...

Especificación de un SOC empresarial: el SOC sanitario

Con el arsenal presentado a lo largo de este capítulo, resulta interesante crear SOC empresariales, es decir, diseñar técnicas de protección, alerta y gestión de amenazas acordes con el negocio de la organización a proteger.

Por ejemplo, en el caso de un hospital, tras realizar un análisis de riesgos EBIOS adecuado, es posible enumerar las entidades de riesgo, es decir, aquellas en las que el riesgo médico está demostrado debido a anomalías digitales:

  • Un empleado sospechoso o con un perfil cibernético por debajo de la norma establecida (esto es posible gracias a las técnicas UEBA).

  • Un activo como un registro electrónico de pacientes o un servidor de aplicaciones que muestra pocos signos de compromiso.

  • Equipos Wi-Fi totalmente locos e incontrolables (una cámara de videovigilancia, por ejemplo) que toman el control de equipos de resonancia magnética o de los marcapasos de pacientes hospitalizados (en resumen, ¡el peor de los escenarios que esperamos que nunca ocurra!).

Otros casos de uso deben considerarse como ciberriesgos (robo de datos, falsificación de datos, usurpación de identidad, revelación de datos):

  • Un médico que se conecta al expediente de un paciente 30 veces al día.

  • Un médico intenta conectarse al expediente del paciente de uno de sus colegas.

  • Un médico...

Cuadro de mandos de seguridad (Cyberboard)

Cada cliente debe disponer de un cuadro de mandos de ciberseguridad compuesto por apartados y elementos de los bloques tecnológicos de las soluciones de protección utilizadas.

En el ejemplo siguiente, el arsenal tecnológico consta de los siguientes elementos: FortiAnalyzer / Nessus / F-Secure RDR.

Un cuestionario de auditoría flash basado en la norma ISO 21827 y una ficha de noticias cibernéticas completan el paquete.

El Cyberboard estará disponible en un entorno web y móvil (iOS/Android) con un sistema de notificación/alerta (correo electrónico + notificaciones de aplicaciones móviles). Es importante que los clientes estén al tanto de los problemas de ciberseguridad: número de intrusiones, número de mensajes spam bloqueados, número de virus, botnets, malware, etc. detenidos, nuevas reglas de cortafuegos, nuevos proveedores de acceso, ancho de banda sobrecalentado, etc.

Cualquier señal fuerte o débil debe ser transmitida al cliente. En cada apartado, unos puntos con indicadores visuales (números, indicadores, etc.) hacen saber al cliente que hay información nueva.

images/12RI01N.png

Ejemplo de Cyberboard

1. Usuarios

  • Inicio de sesión/contraseña/OTP

    El portal permite la conexión mediante un nombre de usuario, contraseña y OTP (o dispositivo equivalente). Se trata de la cuenta principal del representante del cliente. Las credenciales las facilita el ciberoperador al suscribirse al servicio.

  • Gestión de usuarios

    El portal permite gestionar usuarios: se pueden añadir/modificar/eliminar cuentas secundarias y conceder derechos de acceso a fichas; por ejemplo, un asociado, un técnico de preparación o personal administrativo del sector médico-social. 

    Una base de datos central de USUARIOS alojada en la infraestructura del ciberoperador centraliza todos los usuarios de las sedes de los clientes. Esta base de datos se utilizará desde todos los buzones cliente para la autenticación de los usuarios mediante un protocolo de tipo RADIUS o LDAP.

2. Incidentes SOC

Este apartado da acceso a la lista de incidentes en curso, tanto desde un punto de vista central como local. Esta sección está tomada del FortiAnalyzer (informede incidentes SOC). Los incidentes SOC son introducidos por el equipo SOC en la herramienta FortiSOC...

12 preguntas para evaluar su madurez SSI

1. Cinco niveles de madurez

ISO/IEC 21827 define cinco niveles de madurez de la SI. Representan la forma en que una organización ejecuta, controla, mantiene y supervisa un proceso:

1. Práctica informal: prácticas básicas aplicadas de manera informal y reactiva por iniciativa de quienes creen necesitarlas.

2. Práctica repetible y continuada: prácticas básicas aplicadas de forma planificada y continuada, con relativo apoyo de la organización.

3. Proceso definido: aplicación de un proceso descrito, adaptado a la organización, generalizado y bien comprendido por la dirección y quienes lo llevan a cabo.

4. Proceso controlado: el proceso se coordina y controla mediante indicadores para corregir los fallos observados.

5. Procesos continuamente optimizados: la mejora de los procesos es dinámica, está institucionalizada y tiene en cuenta la evolución de las circunstancias.

2. ¿Por qué evaluar la madurez de su SSI?

Controlar los costes del SSI

El nivel de madurez de la SSI determina las acciones y herramientas que corresponden a los retos reales de seguridad. Por tanto, los gastos de SSI en que se incurra corresponderán a las medidas necesarias y suficientes.

Adaptar sus acciones SSI

El análisis de los retos de seguridad justifica el nivel de las medidas y define las directrices para cada ámbito de la SI. Contribuye a la elaboración del plan de acción para...