Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Centro de Operaciones de Seguridad (SOC)


 Los Centros de Operaciones de Seguridad (SOC) son un elemento esencial en un mundo hiperconectado y cada vez más expuesto a ataques globales capaces de paralizar la actividad empresarial. ¿Qué roles debe incorporar un SOC?.  Cada vez hay más corporaciones que deciden contar con un Centro de Operaciones de Seguridad (SOC, en sus siglas en inglés).


  • SOC - "Security Operations Center” “Blue Team” or “Incident Response Team” or “Incident Handling Team”. 

¿Qué es un SOC o Centro de Operaciones de Seguridad?

En IT, un Centro de Operaciones de Seguridad o SOC (del inglés Security Operations Center) o Centro de Operaciones de Seguridad Informática (ISOC) es una ubicación centralizada en la que el equipo de seguridad de una organización monitoriza, analiza, detecta y resuelve cualquier incidente de seguridad que pudiera surgir. Un SOC se suele establecer para proteger datos sensibles y cumplir con las regulaciones de organismos gubernamentales o de un sector empresarial específico. Lo cual implica abordar la ciberseguridad de forma muy proactiva y también una gran inversión.

Una ubicación centralizada para las operaciones de seguridad

Esta unidad centralizada de seguridad aborda los problemas de seguridad tanto desde el punto de vista técnico como organizativo. Así que, las instalaciones de un SOC suelen estar muy protegidas por medidas de seguridad física, electrónica e informática. En un ISOC, los sistemas informáticos de la empresa —centros de datos, servidores, redes, aplicaciones, sitios web, bases de datos, etc.— se monitorizan, analizan y protegen frente a cualquier problema o amenaza de ciberseguridad. Lo mismo ocurre con el Centro de Operaciones de Red o NOC (del inglés Network Operations Center), el cual hoy en día a menudo comparte espacio con el SOC.

Al tratarse de una ubicación centralizada para las operaciones de seguridad, los Centro de Operaciones de Seguridad de las empresas están operativos 24/7. El personal, los procesos y la tecnología se organizan dentro del SOC para gestionar y mejorar la postura de seguridad de la empresa. Para ello se conciencia del estado de la seguridad mediante la monitorización, detección, contención y resolución de ciberamenazas.


Para establecer un SOC es necesario: definir una estrategia e implementar la infraestructura y tecnología necesarias para apoyar dicha estrategia. Los SOCs suelen disponer de un sistema de Información de seguridad y gestión de eventos o SIEM (del inglés Security Information and Event Management) para agregar los datos de las diferentes fuentes, por ejemplo:

  • Software GRC (del inglés Governance Risk Management and Compliance)
  • Soluciones de análisis de vulnerabilidades
  • Herramientas EDR (del inglés Endpoint Detection and Remediation)
  • Sistemas de prevención de intrusiones o IPS (del inglés Intrusion Prevention Systems)
  • Soluciones de análisis de comportamiento de usuarios y entidades o UEBA (del inglés User and Entity Behavior Analytics)

stas son algunas de las tareas de las que se encarga el Centro de Operaciones de Seguridad:

  • Mantener el control y la visibilidad sobre todos los recursos disponibles, desde los dispositivos, aplicaciones y procesos que hay que proteger, hasta los sistemas y herramientas que se usan para monitorizarlos, detectarlos y protegerlos.
  • Garantizar la monitorización continua y proactiva para la detección temprana o incluso anticipada de amenazas, a fin de mitigar y prevenir daños.
  • Implementar medidas preventivas manteniéndose al día de las últimas innovaciones de seguridad, diseñando un plan de Disaster Recovery y una roadmap de seguridad, y actualizando, parcheando y manteniendo los sistemas de forma periódica. La mejora continua es esencial para anticiparse a los cibercriminales.
  • Analizar y gestionar las alertas para clasificarlas según su criticidad y prioridad.
  • Gestionar y analizar el log de toda la actividad de red para detectar amenazas de forma proactiva y evitar problemas de seguridad. Los sistemas SIEM se suelen usar para agregar todos los datos de los terminales, apps, sistemas operativos y firewalls.
  • Responder y llevar a cabo las acciones necesarias para asegurar que el impacto en la continuidad del negocio sea mínimo, cuando se confirma un incidente de seguridad. Así como restaurar los sistemas y recuperar los datos que pueden haberse visto comprometidos o perdidos.
  • Analizar e informar del origen y causa de los incidentes de seguridad para ayudar a evitar problemas similares en el futuro.
  • Garantizar el cumplimiento de la regulación.

¿Y qué profesionales conforman los SOC?  Según el informe ‘Future SOC: SANS 2017 Securit Operations Centers Survey’, elaborado por SANS Institute’, los encuestados se describen con mayor frecuencia como profesionales técnicos (50%), con roles como desarrollador, arquitecto, analista, administrador u operador de algún tipo. Y el 40% de los consultados se emplaza en la categoría de managers (manager, director, officer o C-Level -ejecutivos de nivel C).


Carmen Dufur, directora de Estrategia de Ciberseguridad de Capgemini, hace hincapié en que “es muy importante que existan distintos perfiles y que el equipo esté en constante formación, ya que los vectores de amenaza están continuamente cambiando”. Podemos hacer una clasificación básica en tres niveles.




Nivel 1: monitorización y análisis

Dufur especifica que “el primer nivel suele estar formado por uno o varios analistas, que monitorizan de formas constante las alertas y las amenazas que puedan existir en la compañía. Hacen un triaje basándose en la información que son capaces de recopilar e investigar para determinar si estas alertas y amenazas se pueden convertir en un incidente de seguridad o si son ‘falsos positivos’”.

Asimismo, el informe ‘Building a World-Class Security Operations Center: A Roadmap’, elaborado también por SANS Institute, señala que este nivel se encarga de monitorizar continuamente la cola de alertas y realizar su triaje y recopilar datos y generar el contexto necesario antes de pasar al nivel 2. De este modo, los empleados en estas tareas deben contar con formación en el procedimiento de triaje y la detección de intrusos o de actividades sospechosas que amenacen los sistemas de la empresa.

Miguel Ángel Pérez Acevedo, gerente de Marketing de Producto Línea de Seguridad de Telefónica, indica que “los dos skills más relevantes en el ámbito de monitorización son ingeniero de sistemas, responsable de implantar configuraciones y auditoría en los sistemas de su responsabilidad, a fin de permitir rastrear lo que ocurre en una instalación; y experto en monitorización, responsable de agregar trazas de múltiples fuentes identificando comportamientos fuera de lo común o no autorizados”.

Por su parte, Auxi Ureña, gerente de negocio de Servicios Gestionados de Ingenia, apunta que en este nivel nos encontramos con los operadores de seguridad. “Son los encargados del seguimiento de los eventos de seguridad, de su primer análisis y del registro y la clasificación de los incidentes”, aclara.





Nivel 2: análisis profundo y respuesta

El siguiente nivel se encarga de responder al incidente tras el triaje inicial. “Ese nivel 2 tiene un nivel de ‘expertise’ mayor. A través de una metodología y unos procedimientos definidos, se realiza un análisis del incidente, cotejando información de distintas fuentes, determinando si afecta a sistemas críticos y revisando qué conjunto de datos se han visto impactados. También recomienda qué remedio se puede aplicar y proporciona soporte para realizar un análisis de este incidente. Es muy importante que tenga como fuente de información una inteligencia bien construida, creada tanto por el histórico disponible como por pertenecer a una red de SOC global en la que se comparta información de estas amenazas. Además, debe contar con una analítica avanzada”, señala la responsable de Capgemini.

Asimismo, Pérez puntualiza que “en el ámbito de la respuesta, el rol más relevante es el de analistas expertos en seguridad con la capacidad de identificar a través de trazas en los sistemas cómo tuvo lugar un compromiso, identificando el alcance, la metodología utilizada y, a partir de ahí, las contramedidas que pueden implantarse, realizando investigaciones con el fin de identificar el atacante y sus motivaciones”.

Y Ureña indica que en este nivel están los técnicos de seguridad, “expertos en diferentes materias”. “Son los encargados de la gestión de los incidentes de seguridad, de la configuración y el mantenimiento de las herramientas y del análisis y la gestión de vulnerabilidades”, añade.

En el informe de SANS Institute se indica que la formación de estos profesionales debe contemplar el análisis forense de redes avanzadas, procedimientos de respuesta al incidente, revisiones de registro, evaluación básica de malware e inteligencia de amenazas.


Nivel 3: expertos y ‘hunters’

“Es un nivel de ‘expertise’ muy alto. A veces se les llama ‘hunters’. Se pasa a este nivel si se necesita un ‘expertise’ muy alto para la resolución o mitigación de los incidentes. Pero también se encarga de ir ‘a la caza’ de posibles incidentes. No esperan a recibirlos, sino que van a buscarlos”, comenta Dufur.

La responsable de Ingenia apunta que se trata de consultores técnicos, “muy especializados en las diferentes materias de seguridad, encargados de realizar las auditorías técnicas, proponer los planes de acción para la mejora y realizar algunos servicios especialmente complejos, como el análisis forense”.

SANS Institute precisa que los profesionales de este nivel poseen un conocimiento profundo de la red, de los sistemas endpoint, de inteligencia de amenazas, de forensia e ingeniería inversa de malware y del funcionamiento de aplicaciones y de la infraestructura TI subyacente. Además, remarca que están estrechamente implicados en el desarrollo, ajuste e implementación de la analítica de amenazas. Entre sus capacidades debe contar con entrenamiento avanzado en la detección de anomalías, formación específica en las herramientas de agregación y análisis de datos y en inteligencia de amenazas



El ‘cerebro’ del SOC

Además de estos tres niveles, el SOC debe contar con una coordinación. “El SOC manager es quien que gestiona el equipo y el presupuesto. Además, es el punto de comunicación para los incidentes críticos”, apunta la responsable de Capgemini. Y Ureña indica que el director del servicio es “el responsable máximo del SOC, encargado del diseño y la actualización del catálogo de servicios y del rendimiento del equipo”.

El informe de SANS Institute precisa que el SOC manager gestiona los recursos de personal, presupuesto, turnos y acuerdos de nivel de servicio (SLA, en sus siglas en inglés), lleva la dirección del SOC, se relaciona con la gerencia y sirve de enlace cuando se producen incidentes críticos. Por tanto, debe estar cualificado para la gestión de proyectos y la respuesta ante incidentes, además de contar con habilidades para la gestión de personas.

Otros roles

Como explica Dufur, los citados anteriormente “son los niveles básicos del core del SOC, aunque dentro del SOC puede haber también varios ‘expertises’”. Por ejemplo, la responsable de Ingenia se refiere a los gestores técnicos, “responsable de los procedimientos y de los diferentes equipos técnicos, que ejercen de jefes de proyecto para los diferentes clientes y son los encargados del reporte al cliente final y del seguimiento de los SLA”.

Además, señala que “el SOC se nutre de diferentes perfiles que, no siendo especialistas en seguridad, tienen mucho que aportar con sus conocimientos expertos a la correcta gestión de los eventos de seguridad como, por ejemplo, técnicos expertos en sistemas, comunicaciones y/o desarrollo”. E indica que “es especialmente importante la visión de los expertos en seguridad estratégica”. “Aunque no suelen formar parte de los equipos del SOC, sus conocimiento en seguridad legal y  normativa se hacen imprescindibles para diseñar y mantener el servicio de SOC”, explica.

El responsable de Telefónica, puntualiza que “los roles están muy vinculados a cada práctica en seguridad”. Además de los roles en las tareas de monitorización y respuesta, que ya hemos repasado, especifica que “el rol más importante en el ámbito de riesgos es el de consultor de riesgos y compliance, responsable de identificar riesgos tecnológicos o derivados de la aplicación de una normativa en el entorno TI del cliente”.  Asimismo, destaca “dos roles fundamentales” en el ámbito de protección: “arquitecto responsable de identificar tecnologías de seguridad y su disposición dentro del datacenter de cliente, y experto en implantación y operación de una tecnología de seguridad”.

En definitiva, Juan Carlos de Miguel, Associate Partner de IBM Security, explica que “un SOC es un ecosistema complejo, en el que colaboran estrechamente numerosos perfiles y roles, en función de los servicios que prestan: técnicos de nivel 1 (monitorización), nivel 2 (triage) y nivel 3 (respuesta), equipos de respuesta a incidentes, analistas de seguridad (sec analyst) y de datos (data scientists), expertos en ingeniería e integración (automatización, mejora continua, etc.), arquitectos y expertos en las tecnologías y soluciones de seguridad utilizadas por el SOC (SIEM, accesos, cifrado, forense, etc.), expertos en análisis de vulnerabilidades en sistemas y aplicaciones, responsables de cumplimiento y relación con las áreas de auditoría, comunicación y relaciones con terceros/clientes, etc.”.

Externalización de servicios

De Miguel comenta que “algunos de estos roles son comunes a otros ámbitos, pero otros son específicos y requieren skills y capacidades difíciles de desarrollar y de encontrar en el mercado, lo que lleva a algunas organizaciones a externalizar el servicio a un proveedor especializado”.

Según SANS Institute, la mayor parte de las tareas son manejadas internamente por los SOC, aunque hay algunas que se externalizan o que se afrontan contando con la colaboración de servicios ajenos. Las actividades para las que se suele recurrir a este apoyo externo son la búsqueda de amenazas (44% de las empresas), forense digital (38%), monitorización de seguridad y detección (35%) y descubrimiento electrónico y recopilación de pruebas legales (33%).

Dimensión del SOC

SANS Institute desvela que el SOC suele contar con un equipo de entre dos y cinco empleados a tiempo completo en empresas con plantillas de menos de 10.000 trabajadores. A partir de ahí, los SOC son mayores, moviéndose en una horquilla de 11 a 25 personas.


SpaceX — Security Operations Center

Asimismo, el infome ‘Intelligent security operations: A staffing guide’, elaborado por Hewlett Packard Enterprise’, indica que con tres personas (manager, analista de nivel y y analista de nivel 2) es posible establecer un SOC 8×5, aunque exige una considerable automatización y métricas significativas. Y requerirá ayuda externa, especialmente para la monitorización fuera de ese horario. Con un equipo de 10 personas (manager, 6 analistas de nivel 1, dos analistas de nivel 2 y un ingeniero) ya sería posible afrontar un servicio 24×7.

Fuentes:

https://www.silicon.es/a-fondo-como-funcionan-soc-2362658

https://www.stackscale.com/es/blog/soc-centro-operaciones-seguridad/


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.