Herramientas de usuario
master_cs:negocio:tm1
Diferencias
Muestra las diferencias entre dos versiones de la página.
| Ambos lados, revisión anteriorRevisión previaPróxima revisión | Revisión previa | ||
| master_cs:negocio:tm1 [2025/02/26 16:51] – thejuanvisu | master_cs:negocio:tm1 [2025/02/27 13:16] (actual) – thejuanvisu | ||
|---|---|---|---|
| Línea 54: | Línea 54: | ||
| ===== Estructura Organizativa de un SOC ===== | ===== Estructura Organizativa de un SOC ===== | ||
| - | Es importante que tenga capacidad para influir en las decisiones de la organización que permitan mitigar y recuperar de forma óptima la actividad de una organización. Es muy importante la velocidad de respuesta y toma de decisiones. | + | |
| {{drawio> | {{drawio> | ||
| + | Es importante que tenga capacidad para influir en las decisiones de la organización que permitan mitigar y recuperar de forma óptima la actividad de una organización. Es muy importante la velocidad de respuesta y toma de decisiones. | ||
| + | ==== CIO-CISO ==== | ||
| + | * El director de sistemas informáticos (CIO: Chief IT Officer) es el principal responsable del departamento IT y muchas veces, del SOC. Sus decisiones y planes añaden amenazas de seguridad y pueden introducir grandes riesgos en la orgnanización. Muschas veces tiene prioridad la reducción de costes y tiempo frente a la seguridad. | ||
| + | * El director de seguridad de la información (CISO: Chief Information Security Officer) es el máximo responsable de la seguridad y del SOC. Responsable de las decisiones de seguridad corporativa, | ||
| + | |||
| + | ==== Analista de Seguridad ==== | ||
| + | * Forma parte de la primera línea de seguridad | ||
| + | * Responde a las fuentes de datos | ||
| + | * revisa eventos y alertas, realizando el primer triage. | ||
| + | * suelen tener 2 niveles: | ||
| + | * Primer Nivel: Encargados de abrir los tickets y analizar que está ocurriendo, siguiendo un procedimiento estricto | ||
| + | * Segundo Nivel o Senior: Encargado de tratar con los tickets escalados que encesitan análisis más detallado y experimentado. | ||
| + | |||
| + | ==== Ingenieros de Seguridad ==== | ||
| + | Especializados en necesidades espcíficas de la organización como IDS, Proxy, Data Loss Prevention, etc... | ||
| + | * Encargados de crear reglas en el SIEM y sitemas de alertas. Ajustan estas reglas para evitar falsos positivos | ||
| + | * Revisión de tickets cerrados por parte de los analistas para verificar su calidad y mejorar el proceso | ||
| + | * Formar a los analistas para favorecer el triage y cierre de casos normales. | ||
| + | ==== Arquitectos de seguridad ==== | ||
| + | Realizan la determinación de requerimientos, | ||
| + | ===== Operación de un SOC ===== | ||
| + | La respuesta de incidentes debe seguir un proceso repetible, eficiente y lógico. | ||
| + | {{drawio> | ||
| + | |||
| + | ==== Métricas ==== | ||
| + | |||
| + | Las métricas sobre el día a día del SOC facilitan información sobre posibles problemas | ||
| + | * Métricas sobre cumplimiento de objetivos | ||
| + | * Estado de los tickets de alta prioridad | ||
| + | * Duración de la resolución de un determinado tipo de tickets | ||
| + | |||
| + | ==== Clasificación de vulnerabilidades ==== | ||
| + | Se clasifican de varias formas: | ||
| + | * Forma simple | ||
| + | * Bajo (Niveles 1 al 4) | ||
| + | * Medio (Niveles 4.1 al 7) | ||
| + | * Alto (Niveles 7.1 al 10) | ||
| + | * PCI | ||
| + | * Nivel 1 al 5 | ||
| + | * Severidad | ||
| + | * Bajo | ||
| + | * Importante | ||
| + | * Medio | ||
| + | * Severo | ||
| + | * Crítico | ||
| + | * CVSS: Sistema de clasificación público. La NVD (National Vulnerability Database) toene un repo de vilnerabilidades con este tipo de puntuación | ||
| + | * Del 0 al 10 | ||
| + | |||
| + | ==== Clasifiación de activos ==== | ||
| + | Es necesario clasificar todos los activos de la organización para dar una respuesta eficaz en caso de ataques y saber cuales priorizar en función a ciertos criterios marcados. Se debe llevar un control de las estadísticas de los activos que van a marcar las eficiencia de las contramediadas. La clasificación se realiza por: | ||
| + | * Impacto en el negocio | ||
| + | * Impacto financiero de la caida de un servicio | ||
| + | * Requisitos de alta disponibilidad | ||
| + | * Impacto en la seguridad | ||
| + | * Tiempo medio entre fallos y probabilidades de fallo | ||
| + | * Valor de reemplazo | ||
| + | * Número de usuarios | ||
| + | * Almacenamiento de información crítica | ||
| + | * Impacto reputacional | ||
| + | |||
| + | ==== Histórico de parches ==== | ||
| + | |||
| + | Se debe monitorizar el historial de parches para saber cuales no se han aplicado en activos críticos. En función a esto se pueden determinar vilnerabilidades abietas en función a los parches aplicados. El tiempo medio de aplicación de parches mide la ventana de oportunidad para las vulnerabilidades involucradas. | ||
| + | ===== Inteligencia ===== | ||
| + | Se basa en el análisis de una gran colección de información externa e interna. El SOC puede tomar las siguientes decisiones de protección: | ||
| + | * Limitar el espacio de IPs | ||
| + | * Incorporrar listas de osp desde las qe se hace spam | ||
| + | * usar colecciones de info acercade ataques para detectar comportamientos anómalos. | ||
| + | |||
| + | ==== Blacklist ==== | ||
| + | * Facilitan el reconocimiento de orígenes problemáticos en cuanto a spam, malware, etc... | ||
| + | * Se pueden incluir URIs que contienen origenes de ataques phising, pharming, etc... | ||
| + | * Se pueden analizar patrones y contenido de los email para detectar ataques que han modificado sus direcciones para no ser detectados por la blacklist | ||
| + | |||
| + | ==== Bases de datos externas ==== | ||
| + | Organizaciones y fabricantes comparten información sobre ataques y amenazas para informar a sus clientes y promocionar sus productos.: | ||
| + | * atlas.arbor.net: | ||
| + | * SecurityFocus.com: | ||
| + | * SenderBase.org: | ||
| + | * SpamHaus.org: | ||
| + | |||
| + | ==== Organizaciones y Partners Industriales ==== | ||
| + | * Se paga por información de seguridad para tenerun conocimiento más exacto de ciertos tipos y grupos de ataques. | ||
| + | * Advanced Persistent Thread (APT): Ataques muy sofisticados y persistentes en el tiempo que se pueden usar para espionaje, sabotaje de cadenas de suministro, ingeniería social... | ||
| + | * Interesa particiar en organizaciones que comparte recursos comunes e información sobre seguridad como las ISAC (Information Sharing and Analysis Center). | ||
| + | |||
| + | |||
| + | ===== Outsourcing del SOC ===== | ||
| + | ==== MSSP (Managed Security Services Provider) ==== | ||
| + | * Primero se define el tipo de operaciones que se van a externalizar y que estas no se solapan con las internas. | ||
| + | * Los MSS (Managed Security Services) pueden tener varias prestaciones: | ||
| + | * Analistas de seguridad | ||
| + | * Ingenieros especialistas en seguridad para IDS | ||
| + | * Gestión remota del perímetro | ||
| + | * Respuesta a incidentes | ||
| + | * Gestión de vulnerabilidades y parches | ||
| + | * Existen varios tipos de MSSP en función de la estrategia, situación financiera y tolerancia al riesgo: | ||
| + | * Strategic Partners: Tienen experiencia previa y relación con el mundo IT. La seguridad puede no ser su punto fuerte o no disponer de lo que se necesita | ||
| + | * Pure Play Providers: Dedicados al negocio de seguridad, tienen formación competencia y su precio es elevado en consecuencia. | ||
| + | * Boutique Providers: Pequeños MSSP orientados a un área específicade seguridad. | ||
| + | |||
| + | === Ventajas de los MSSP === | ||
| + | * Están preparados para tratar con muchos tipos de eventos, el personal está entrenado y formado para dar una respuestá rápida en situaciones estresantes y cuentan con gran experiencia en la gestión de eventos de seguridad de forma efectiva y eficiente. Muchas veces tienen especialización vertica. | ||
| + | * El coste suele ser menor que tener un SOC propio. | ||
| + | * Supresión de los reinos de taifas en la monitorización y gestión del equipamiento. Coordinación de diversos departamentos. | ||
| + | * SLA (Service Level Agreement): | ||
| + | * Documentación: | ||
| + | |||
| + | === Desventajas de los MSSP === | ||
| + | * Si un MSSP tiene demasiados clientes, dificulta en conocimiento de cada uno de ellos | ||
| + | * Falta de recursos dedicados, si hay crisis con mútliples empresas de deiferentes sectores a la vez puede no haber suficientes recursos para atender a todos los clientes. | ||
| + | * Problemas de almacenamiento de datos: la capacidad, privacidad, regulaciones y persistencia de datos | ||
| + | |||
| + | ==== Requisitos para el Outsourcing del SOC ==== | ||
| + | |||
| + | * Indagar que recursos es necesario involucrar | ||
| + | * Asegurar la certificación y formación del personal que suministra el servicio | ||
| + | * Asegurar que cuenten con un balanceo entre tamaño y experiencia adecuado. | ||
| + | * Definir como se aplicará el servicio, cuales serán los canales de comunicación y que se deberá comunicar | ||
| + | * Que herramientas y sistemas de información o autoservicio estará a disposición del cliente. | ||
| + | |||
| + | ==== Prestación de servicios ==== | ||
| + | * Disaster Recovery y plan que se ejecutará en los diferentes escenarios que ocurran | ||
| + | * Estrategia de salida: Como será el fin del contrato. | ||
| + | |||
master_cs/negocio/tm1.1740588692.txt.gz · Última modificación: 2025/02/26 16:51 por thejuanvisu
Herramientas de la página
