Capitulo 1
Capitulo 1
Capitulo 1
centros de operaciones de
seguridad
MAESTRIA EN TELEMATICA.
• Explicar cómo prepararse para una carrera en el ámbito de las operaciones de ciberseguridad.
• Explicar la misión del centro de operaciones de seguridad (SOC).
• Describir los recursos disponibles para prepararse para una carrera en las operaciones de ciberseguridad.
2
1.1 El peligro
3
Historias de guerra
Personas con secuestro de información
▪ Un hacker configuró una zona de cobertura inalámbrica abierta y "no autorizada" que se hacía
pasar por una red inalámbrica legítima.
4
Historias de guerra
Empresas a las que se piden rescates
▪ Un empleado recibió un correo electrónico de parte de su director ejecutivo con un PDF adjunto.
5
Historias de guerra
Países objetivo
▪ Gusano Stuxnet
• Se infiltró en sistemas operativos de Windows.
Primer caso de amenaza persistente avanzada
APT. Certificados validos.
• https://www.youtube.com/watch?v=J50bUcf8gfc 6
Actores de amenazas
Aficionados
▪ Se los conoce como script kiddies.
7
Actores de amenazas
Hacktivistas
▪ Protestan frente a organizaciones o gobiernos wikileaks. https://our.wikileaks.org/Main_Page
• Publican artículos y videos.
• Filtran información.
• Interrumpen los servicios web con ataques DDoS.
8
Actores de amenazas
Beneficios financieros
▪ Gran parte de la actividad de los hackers es en busca de beneficios financieros.
• Cuentas bancarias
• Datos personales
9
Actores de amenaza
Secretos comerciales y política global
▪ Los estados de una nación también están interesados en utilizar el ciberespacio.
• Espionaje industrial
10
Actores de amenaza
Cuán segura es Internet de las cosas
▪ Internet de las cosas (IoT)
• Firmware
• Errores de seguridad
• Actualizable con parche
12
El impacto de las amenazas
Pérdida de la ventaja competitiva
▪ Puede resultar en pérdida de la ventaja competitiva.
13
El impacto de las amenazas
Seguridad nacional y política
▪ En 2016, un hacker publicó PII de 20 000 empleados
del FBI y 9000 empleados del Departamento de
Seguridad Nacional estadounidense.
14
1.2 Soldados en la guerra
contra el ciberdelito
15
El centro de operaciones de seguridad moderno
Elementos de un SOC
▪ Los centros de operaciones de seguridad (SOC) proporcionan una amplia gama de servicios:
• Monitoreo
• Administración
• Soluciones completas de amenazas
• Seguridad alojada
▪ Los SOC pueden:
• encontrarse en la empresa, ser de su
propiedad y ser operados por esta.
• Los elementos pueden ser contratados para los
proveedores de seguridad.
▪ Los elementos principales de un SOC son:
• Personas
• Procesos
• Tecnología
16
El centro de operaciones de seguridad moderno
Personas en el SOC
▪ SANS Institute (www.sans.org) divide en cuatro los roles de la gente en los SOC:
• Gerente de SOC
17
El centro de operaciones de seguridad moderno
Proceso en el SOC
▪ Analista de alerta de nivel 1 comienza con el
monitoreo de las colas de alertas de seguridad.
18
El centro de operaciones de seguridad moderno
Tecnologías en el SOC
▪ Sistemas de administración de información y eventos de seguridad son muy
costosos (SIEM): analizan, patrones e identifican comportamientos y presentan en una
interfaz amigables, se usa AI, las alertas. NTP. Sincronizar
19
El centro de operaciones de seguridad moderno
Seguridad empresarial y administrada
20
El centro de operaciones de seguridad moderno
Comparación entre seguridad y disponibilidad
▪ La mayoría de las redes empresariales deben funcionar en todo momento.
▪ El tiempo de actividad suele medirse por la cantidad anual de minutos de inactividad. Un tiempo de
actividad de "cinco nueves" indica que la red estuvo activa el 99,999% del tiempo (o inactiva no más de 5
minutos en el año).
▪ Logre siempre un equilibrio entre un buen nivel de seguridad y la posibilidad de que la empresa funcione.
21
Cómo convertirse en un defensor
Certificaciones
▪ Hay disponibles varias certificaciones de ciberseguridad:
• CCNA Cyber Ops
• Certificación CompTIA Cybersecurity Analyst (CySA+)
• (ISC)² Certificaciones de seguridad informática (incluida CISSP)
• Certificación Global Information Assurance (GIAC)
22
Cómo convertirse en un defensor
Más formación
▪ Consideren iniciar una carrera técnica de grado o
una licenciatura en ciencias informáticas,
ingeniería eléctrica, tecnología de la información o
seguridad informática.
23
Cómo convertirse en un defensor
Fuentes de información sobre trabajo
▪ Hay varios sitios web y aplicaciones móviles donde se publican empleos disponibles en el ámbito
de la tecnología de la información:
• Indeed.com
• CareerBuilder.com
• USAJobs.gov
24
1.3 Resumen del capítulo
25
Resumen
▪ Una red inalámbrica "no autorizada" pública puede utilizarse para obtener acceso a información personal.
▪ Los empleados de una empresa pueden descargar accidentalmente ransomware que puede comenzar el
proceso de recopilación y descifrado de datos corporativos.
▪ Un malware sofisticado, el gusano Stuxnet, es un ejemplo de cómo los países pueden ser objeto de una
infraestructura vulnerable del país.
▪ Los aficionados causan daño mediante herramientas simples que hallan en línea.
▪ Los hacktivistas hackers experimentados que trabajan por causas nobles o con fines maliciosos.
▪ Muchos hackers solo buscan beneficios financieros al robar dinero de forma electrónica o robar secretos
comerciales a corporaciones o naciones para vender la información.
▪ Defender a un país contra ciberespionaje y guerra cibernética sigue siendo una prioridad.
▪ Tenga en cuenta los puntos débiles de la de IdC.
▪ PII es la sigla para la información personal. PHI es la sigla para la información confidencial sobre la salud.
Estos dos tipos de información se pueden robar y emplear para acceder a información privada.
26
Resumen
▪ Puede perderse la ventaja competitiva al perder la confianza de los clientes si la empresa no es capaz de
proteger su PII.
▪ Los hackers pueden afectar la seguridad nacional. El gusano Stuxnet es un ejemplo.
▪ Los principales elementos de un SOC son la gente, los procesos y la tecnología.
▪ En los centros de operaciones de seguridad se trabaja para combatir la ciberdelincuencia.
▪ La gente de los SOC nivel 1, son los analistas, nivel 2, encargados de la respuesta ante incidentes; nivel 3,
los SME/cazadores; y por último el gerente del SOC.
▪ Un analista monitorea las colas de alertas de seguridad. Quizás deba comprobar si la alerta representa un
incidente de seguridad verdadero. Una vez comprobado esto, el incidente puede reenviarse a
investigadores o resolverse como falsa alarma.
▪ Los sistemas SIEM se usan para recopilar y filtrar datos; detectar, clasificar, analizar e investigar
amenazas; implementar medidas preventivas y afrontar futuras amenazas.
27
Resumen
▪ Un SOC es una solución interna, o bien, subcontratar parte a un proveedor de soluciones de seguridad.
▪ El tiempo de actividad buscado suele medirse por la cantidad anual de minutos de inactividad. Un tiempo de
actividad de "cinco nueves" indica que la red estuvo activa el 99,999% del tiempo o inactiva no más de 5
minutos en el año.
▪ Los analistas de ciberseguridad necesitan saber programar. Python es un buen punto de partida.
▪ Una gran variedad de recursos proporcionan información sobre búsqueda de empleos y salarios.
▪ Prepararse para trabajar en un Centro de Operaciones de Seguridad (Security Operations Center, SOC)
implica obtener certificados, asistir a cursos de educación formal y hacer uso de servicios de empleo para
adquirir experiencia en pasantías y empleos.
28
Nuevos términos
• Denegación de servicio distribuida (DDoS)
• Hacktivistas
• Malware
• Información de identificación personal (PII)
• Información confidencial sobre la salud (PHI)
• Ransomware
• Script kiddies
• Sistema de administración de información y
eventos de seguridad (SIEM)
• Centro de operaciones de seguridad (SOC)
• Gerente de SOC
• Analista especializado en alertas, nivel 1
• Nivel 2: Encargado de respuesta ante
incidentes
• Nivel 3: Experto en la materia (SME)/Cazador
29