Herramientas de usuario
master_cs:negocio:tm1
Diferencias
Muestra las diferencias entre dos versiones de la página.
| Ambos lados, revisión anteriorRevisión previa | |||
| master_cs:negocio:tm1 [2025/02/26 17:42] – thejuanvisu | master_cs:negocio:tm1 [2025/02/27 13:16] (actual) – thejuanvisu | ||
|---|---|---|---|
| Línea 121: | Línea 121: | ||
| Se debe monitorizar el historial de parches para saber cuales no se han aplicado en activos críticos. En función a esto se pueden determinar vilnerabilidades abietas en función a los parches aplicados. El tiempo medio de aplicación de parches mide la ventana de oportunidad para las vulnerabilidades involucradas. | Se debe monitorizar el historial de parches para saber cuales no se han aplicado en activos críticos. En función a esto se pueden determinar vilnerabilidades abietas en función a los parches aplicados. El tiempo medio de aplicación de parches mide la ventana de oportunidad para las vulnerabilidades involucradas. | ||
| ===== Inteligencia ===== | ===== Inteligencia ===== | ||
| + | Se basa en el análisis de una gran colección de información externa e interna. El SOC puede tomar las siguientes decisiones de protección: | ||
| + | * Limitar el espacio de IPs | ||
| + | * Incorporrar listas de osp desde las qe se hace spam | ||
| + | * usar colecciones de info acercade ataques para detectar comportamientos anómalos. | ||
| + | |||
| + | ==== Blacklist ==== | ||
| + | * Facilitan el reconocimiento de orígenes problemáticos en cuanto a spam, malware, etc... | ||
| + | * Se pueden incluir URIs que contienen origenes de ataques phising, pharming, etc... | ||
| + | * Se pueden analizar patrones y contenido de los email para detectar ataques que han modificado sus direcciones para no ser detectados por la blacklist | ||
| + | |||
| + | ==== Bases de datos externas ==== | ||
| + | Organizaciones y fabricantes comparten información sobre ataques y amenazas para informar a sus clientes y promocionar sus productos.: | ||
| + | * atlas.arbor.net: | ||
| + | * SecurityFocus.com: | ||
| + | * SenderBase.org: | ||
| + | * SpamHaus.org: | ||
| + | |||
| + | ==== Organizaciones y Partners Industriales ==== | ||
| + | * Se paga por información de seguridad para tenerun conocimiento más exacto de ciertos tipos y grupos de ataques. | ||
| + | * Advanced Persistent Thread (APT): Ataques muy sofisticados y persistentes en el tiempo que se pueden usar para espionaje, sabotaje de cadenas de suministro, ingeniería social... | ||
| + | * Interesa particiar en organizaciones que comparte recursos comunes e información sobre seguridad como las ISAC (Information Sharing and Analysis Center). | ||
| + | |||
| + | |||
| + | ===== Outsourcing del SOC ===== | ||
| + | ==== MSSP (Managed Security Services Provider) ==== | ||
| + | * Primero se define el tipo de operaciones que se van a externalizar y que estas no se solapan con las internas. | ||
| + | * Los MSS (Managed Security Services) pueden tener varias prestaciones: | ||
| + | * Analistas de seguridad | ||
| + | * Ingenieros especialistas en seguridad para IDS | ||
| + | * Gestión remota del perímetro | ||
| + | * Respuesta a incidentes | ||
| + | * Gestión de vulnerabilidades y parches | ||
| + | * Existen varios tipos de MSSP en función de la estrategia, situación financiera y tolerancia al riesgo: | ||
| + | * Strategic Partners: Tienen experiencia previa y relación con el mundo IT. La seguridad puede no ser su punto fuerte o no disponer de lo que se necesita | ||
| + | * Pure Play Providers: Dedicados al negocio de seguridad, tienen formación competencia y su precio es elevado en consecuencia. | ||
| + | * Boutique Providers: Pequeños MSSP orientados a un área específicade seguridad. | ||
| + | |||
| + | === Ventajas de los MSSP === | ||
| + | * Están preparados para tratar con muchos tipos de eventos, el personal está entrenado y formado para dar una respuestá rápida en situaciones estresantes y cuentan con gran experiencia en la gestión de eventos de seguridad de forma efectiva y eficiente. Muchas veces tienen especialización vertica. | ||
| + | * El coste suele ser menor que tener un SOC propio. | ||
| + | * Supresión de los reinos de taifas en la monitorización y gestión del equipamiento. Coordinación de diversos departamentos. | ||
| + | * SLA (Service Level Agreement): | ||
| + | * Documentación: | ||
| + | |||
| + | === Desventajas de los MSSP === | ||
| + | * Si un MSSP tiene demasiados clientes, dificulta en conocimiento de cada uno de ellos | ||
| + | * Falta de recursos dedicados, si hay crisis con mútliples empresas de deiferentes sectores a la vez puede no haber suficientes recursos para atender a todos los clientes. | ||
| + | * Problemas de almacenamiento de datos: la capacidad, privacidad, regulaciones y persistencia de datos | ||
| + | |||
| + | ==== Requisitos para el Outsourcing del SOC ==== | ||
| + | |||
| + | * Indagar que recursos es necesario involucrar | ||
| + | * Asegurar la certificación y formación del personal que suministra el servicio | ||
| + | * Asegurar que cuenten con un balanceo entre tamaño y experiencia adecuado. | ||
| + | * Definir como se aplicará el servicio, cuales serán los canales de comunicación y que se deberá comunicar | ||
| + | * Que herramientas y sistemas de información o autoservicio estará a disposición del cliente. | ||
| + | |||
| + | ==== Prestación de servicios ==== | ||
| + | * Disaster Recovery y plan que se ejecutará en los diferentes escenarios que ocurran | ||
| + | * Estrategia de salida: Como será el fin del contrato. | ||
| + | |||
master_cs/negocio/tm1.txt · Última modificación: 2025/02/27 13:16 por thejuanvisu
Herramientas de la página
