Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 210 vistas

    Conceptos Basicos para La Implementacion de Un SOC PDF

    Cargado por

    macaney9204

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd

    Conceptos Basicos para La Implementacion de Un SOC PDF

    Cargado por

    macaney9204
    210 vistas44 páginas

    Título original

    59898020-Conceptos-basicos-para-la-implementacion-de-un-SOC.pdf

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Descargar como pdf o txt
    210 vistas44 páginas

    Conceptos Basicos para La Implementacion de Un SOC PDF

    Cargado por

    macaney9204

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Descargar como pdf o txt
    Está en la página 1de 44

    Conceptos Bsicos

    para la implementacin
    de un SOC
    Fluidsignal Group S.A.
    2011/06/23
    Contenido

    Qu es SOC? Tecnologa
    Por qu un
    Deteccin vs
    Anlisis
    SOC?
    Conceptos Tcnicos
    Procesos
    Implementacin
    Procedimientos
    SOC y Outsourcing
    Personal Conclusiones
    Relaciones
    Que es SOC?
    Segn Wikipedia:

    Is an Information Security function within the company or


    of separate organization that delivers IT security
    services.

    The mission is risk management through centralized


    analysis using the combined resources consisting of
    personnel, dedicated hardware and specialized software.
    Typically, these systems operate constantly.
    Que es SOC?
    Tal como lo dicen sus siglas, SOC es una unidad
    que permite la gestin de la seguridad
    (Confidencialidad, Integridad y Disponibilidad)
    mediante la operacin centralizada de sistemas
    dedicados a ello. Cuando hablamos de unidad
    podemos referirnos a:
    Una persona.
    Un grupo de personas.
    Varios grupos de personas.
    Se traduce en..
    Opcionales...
    Por qu un SOC?
    Separacin de funciones (SoD): NOC, SOC,
    administradores.

    Ms eficiencia al tener un grupo dedicado a los


    asuntos de seguridad.

    Ms calidad en los anlisis ante incidentes o eventos


    significativos de seguridad.

    Se protege Transversalmente.
    Por qu un SOC?
    Reduccin de costos - prdida de informacin.

    Eficiencia en costos - automatizacin.

    Transferencia de costos outsourcing.

    Recuperacin de costos - serv. de Exportacin.


    SOC - Procesos
    Permiten definir quin es responsable de hacer Cules
    tareas.

    Orientado a las necesidades del negocio.

    Jerarquas en las actividades del SOC.

    Procesos estratgicos, tecnolgicos, operativos y


    analticos.
    SOC - Procesos

    Tomado de: ArcSight Inc. 2010. Articulo: Building a Successful Security Operations Center
    SOC - Procesos

    Tomado de: SOC Colombia. 2010. Artculo: Arquitectura SOC Colombia.


    SOC - Procesos
    SOC - Procedimientos
    Saber qu hacer?

    Saber cmo se va a hacer?

    Saber cundo se va a hacer?

    Escalamiento.
    SOC - Procedimientos
    Categora
    Proceso SOC Procedimiento Descripcin
    Proceso
    Reporte Reporte Describe los pasos para el reporte de
    Estratgico
    Mtricas indicadores indicadores
    Administracin Describe los pasos para solicitar,
    Administracin
    Tecnolgico de Accesos de aprobar y garantizar el acceso a las
    del sistema
    usuario herramientas del SOC
    Describe la informacin a ser
    compartida y revisada en el registro de
    Operaciones Cambio de
    Operativo cambio de turno para asegurarse que
    Diarias turnos
    no hay lagunas de informacin en
    dicho cambio

    Describe la informacin a ser


    Gestin de Reporte de introducida en el sistema de gestin
    Analtico
    Incidentes incidente documental, con los respectivos
    formatos y caractersticas.
    SOC - Personal
    Seleccin.
    Habilidades, destrezas.

    Carrera progresiva y rotativa.


    Diferentes conocimientos y de ms nivel de profundidad.

    Entrenamiento.
    Conceptos de seguridad.
    Certificaciones.
    Procedimientos.
    SOC - Relaciones

    POC (Points Of Contacts).

    Relaciones internas - Con otras reas (RRHH,


    rea legal, ingeniera, entre otros).

    Relaciones externas - proveedores, gobierno


    local y nacional.
    SOC Relaciones
    Ejemplo: Amenaza de virus

    Tomado de: Foreman, Park. 2003. Articulo: Implementing a Security Operation Center.
    SOC - Tecnologa
    Capacidades

    Monitoreo. Ataques conocidos.


    Claridad. Tiempo real.
    Registro informes. Alarmas.
    Comprobacin Sencillez de uso.
    continua. Actualizacin.
    Correlacin.
    SOC - Tecnologa
    Limitaciones

    Falsos positivos. Defensa nuevos y


    Falsos negativos. sofisticados ataques.
    Recursos.
    Defensa ataques
    directos.
    Sobrecarga. Investigacin
    Cifrado. automtica.
    Ipv6. Calidad de datos.
    Deteccin VS. Anlisis
    La deteccin hace parte de las actividades
    operativas del SOC.

    El anlisis hace parte de las actividades que


    surgen de un punto de decisin .

    Tomado de: ArcSight Inc. 2010. Articulo: Building a Successful Security Operations Center.
    Conceptos Tcnicos
    La arquitectura tcnica de un SOC est
    compuesto por mdulos (Bloques):

    Generadores de eventos (Bloque E).


    Recolectores de eventos (Bloque C).
    Base de datos de eventos (Bloque D).
    Motores de anlisis (Bloque A).
    Gestin-reaccin (Bloque R).
    Base de datos de conocimiento (Bloque K).
    Conceptos Tcnicos
    Arquitectura

    Tomado de: Bidou, Renaud . Articulo: Security Operation Center Concepts & Implementation.
    Generadores de Eventos
    Bloque E

    NIDS's. Servidores RADIUS.

    HIDS's. SNMP.

    Routers. Switch.

    Firewalls.
    Recolectores de Eventos
    Bloque C

    Syslog. Sockets.

    SNMP. Colas.

    SMTP.

    HTTP.
    Base de datos de Eventos
    Bloque D

    Alertas.

    Datos estadsticos.

    Bases de datos.

    Mensajes.
    Motores de Anlisis
    Bloque A

    Motores de correlacin:

    Manejo de cardinalidad en eventos.


    Manejo bsico de falsos positivos.
    Convergencia de patrones de secuencia y tiempo.
    Convergencia con polticas de seguridad.
    Correlacin con vulnerabilidades.
    Gestin-reaccin
    Bloque R

    Actividades para gestin de incidentes y eventos relevantes.

    Acoplamiento entre:
    Estrategia de seguridad.
    Anlisis estadstico.
    Instancias legales.
    SLA's.
    Herramientas de reportera.
    Herramientas de documentacin (Tickets).
    Flujos de trabajo.
    CERT (Computer Emergency Response Teams).
    Base de datos de Conocimiento
    Bloque K

    Base de datos de vulnerabilidades.

    Estructurales (P.ej. Buffer Overflow).


    Funcionales (Servicios expuestos).
    Basados en topologa (Spoofing, Sniffing, etc.).

    Estados de sistema.

    Lneas base, checklists, configuraciones.


    Conceptos Tcnicos
    Arquitectura

    Tomado de: Bidou, Renaud . Articulo: Security Operation Center Concepts & Implementation.
    IMPLEMENTACIN
    SOC
    1. Anlisis de riesgos

    Justificar la inversin:
    Evaluacin cualitativa y cuantitativa.
    SLE (Single Loss Expectancy).
    ARO (Annualized Rate of Ocurrance).
    ALE (Annual Loss Expectancy).
    2. Establecer gobierno

    Responsabilidades de c/u reas de TI y el SOC.

    Alcance de la implementacin (Activos).

    Procesos.

    Procedimientos.
    3. Parmetros tecnolgicos

    Establecer zonas a
    proteger.

    Definir estrategias para


    captura del trfico.

    Mtricas de red y
    estados de sistema.

    Anlisis de despliegue
    de las sondas.
    3. Parmetros Tecnolgicos
    Ejemplo NIDS

    Tomado de: Gonzlez Gmez, Diego. 2003. Version 1.01. Sistemas de Deteccin de Intrusiones.
    3. Parmetros Tecnolgicos
    Ejemplo HIDS

    Tomado de: Gonzlez Gmez, Diego. 2003. Version 1.01. Sistemas de Deteccin de Intrusiones.
    4. Definir Tecnologas
    Sistema Motor de
    gestin correlacin
    tickets

    Consolas de
    administracin
    NIDS's
    HIDS's
    Capacidades y
    limitaciones

    Scanner
    vulnerabilidades
    Bases de
    datos Sistema de
    antivirus
    5. Ejecutar implementacin
    Posicionamiento fsico de los dispositivos.

    Despliegue instalacin de agentes y


    componentes.

    Parametrizacin de herramientas y sistemas.

    Afinacin de herramientas.
    SOC y Outsourcing
    Generalmente las tareas relacionadas con la
    implementacin y operacin de un SOC se realizan a
    travs de outsourcing.

    Por qu:
    Tienen personal especializado en seguridad.
    Tienen mayor experiencia en la operacin y administracin de
    temas relacionados con seguridad.
    Hay transferencia de costos sobre mantenimiento y
    actualizacin de componentes.
    Puede tomarse como un contrato de servicios.
    SOC y Outsourcing

    Es necesario tener en cuenta:


    Analizar relacin costo/beneficio para la organizacin.
    RFP para definir lo requerimientos a ser definidos en
    la propuesta del proveedor.
    Acuerdos de confidencialidad.
    Acuerdos de niveles de servicio.
    Responsabilidades sobre mantenimiento y actualizacin de
    componentes (SW y HW).
    Ajustes para la correcta contratacin (Puntos de
    contacto, logstica, entre otros.)
    Conclusiones
    La seguridad debe ser un tema estratgico dentro de una
    compaa, por lo tanto la implementacin de un SOC
    debe ser un tema siempre presente.

    La implementacin de un SOC no es un tema de 1 da. Es


    un tema de planificacin que tiene que ser bien pensado.

    Es necesario hacer un anlisis teniendo en cuenta


    diferentes factores como presupuesto, alcance y riesgos.

    Un SOC es SOLO UNA PARTE de toda la estrategia de


    seguridad.
    Bibliografa
    ArcSight Inc. 2010. Articulo: Building a Successful Security
    Operations Center
    Marchany, Randy. Presentacin: Building a Security
    Operation Center
    Gonzlez Gmez, Diego. 2003. Version 1.01. Sistemas de
    Deteccin de Intrusiones
    Foreman, Park. 2003. Articulo: Implementing a Security
    Operation Center.
    Bidou, Renaud . Articulo: Security Operation Center Concepts
    & Implementation.
    SOC Colombia. 2010. Artculo: Arquitectura SOC Colombia.
    Contctenos
    Web: http://www.fluidsignal.com/
    Twitter: http://twitter.com/fluidsignal
    Youtube: http://www.youtube.com/fluidsignal
    Facebook: http://www.facebook.com/fluidsignal
    Correo: [email protected]
    Telfono: +57 (1) 2697800, +57 (4) 4442637
    Celular: +57 3108408002, +57 3136601911
    Ubicacin: Calle 7D 43A-99 Oficina 509 Torre Almagran
    Clausula Legal
    Copyright 2010 Fluidsignal Group
    Todos los derechos reservados
    Este documento contiene informacin de propiedad de Fluidsignal Group.
    El cliente puede usar dicha informacin slo con el propsito de
    documentacin sin poder divulgar su contenido a terceras partes ya que
    contiene ideas, conceptos, precios y estructuras de propiedad de
    Fluidsignal Group S.A. La clasificacin "propietaria" significa que sta
    informacin es slo para uso de las personas a quienes esta dirigida. En
    caso de requerirse copias totales o parciales se debe contar con la
    autorizacin expresa y escrita de Fluidsignal Group S.A. Las normas que
    fundamentan la clasificacin de la informacin son los artculos 72 y
    siguientes de la decisin del acuerdo de Cartagena, 344 de 1.993, el
    artculo 238 del cdigo penal y los artculos 16 y siguientes de la ley 256
    de 1.996.

    También podría gustarte