Capitulo 1

Descargar como pdf o txt
Descargar como pdf o txt
Está en la página 1de 30

La ciberseguridad y los

centros de operaciones de
seguridad
MAESTRIA EN TELEMATICA.

Raul Bareño Gutierrez

MATERIA: Seguridad Informatica.


Secciones y objetivos
▪ 1.1 El peligro

• Explicar por qué se atacan las redes y los datos.


• Describir las características de ejemplos de incidentes ciberseguridad.
• Explicar las razones de los actores de amenazas detrás de los incidentes de seguridad específicos.
• Explicar el impacto potencial de ataques de seguridad de la red.

▪ 1.2 Combatientes en la guerra contra la ciberdelincuencia

• Explicar cómo prepararse para una carrera en el ámbito de las operaciones de ciberseguridad.
• Explicar la misión del centro de operaciones de seguridad (SOC).
• Describir los recursos disponibles para prepararse para una carrera en las operaciones de ciberseguridad.

2
1.1 El peligro

3
Historias de guerra
Personas con secuestro de información
▪ Un hacker configuró una zona de cobertura inalámbrica abierta y "no autorizada" que se hacía
pasar por una red inalámbrica legítima.

▪ Un cliente inició sesión en el sitio web de su banco.

▪ El hacker había secuestrado su sesión.

▪ El hacker obtuvo acceso a sus cuentas bancarias.

4
Historias de guerra
Empresas a las que se piden rescates
▪ Un empleado recibió un correo electrónico de parte de su director ejecutivo con un PDF adjunto.

▪ Ransomware está instalado en la computadora del empleado.

▪ Ransomware recopila y cifra datos corporativos.

▪ Los atacantes conservaron los datos de la


empresa para el rescate hasta que se les pagó.

5
Historias de guerra
Países objetivo
▪ Gusano Stuxnet
• Se infiltró en sistemas operativos de Windows.
Primer caso de amenaza persistente avanzada
APT. Certificados validos.

• Se destinó al software Step 7 que regula los


controladores lógicos programables (PLC) para
dañar las centrifugadoras en establecimientos
nucleares.

• Se transmitió de las unidades USB infectadas a


los PLC y, finalmente, dañó muchas de las
centrifugadoras.
• Documental zero days.

• https://www.youtube.com/watch?v=J50bUcf8gfc 6
Actores de amenazas
Aficionados
▪ Se los conoce como script kiddies.

▪ Tienen poca o ninguna habilidad.

▪ Utilizan herramientas ya existentes o


instrucciones que encuentran en Internet para
iniciar ataques.

7
Actores de amenazas
Hacktivistas
▪ Protestan frente a organizaciones o gobiernos wikileaks. https://our.wikileaks.org/Main_Page
• Publican artículos y videos.
• Filtran información.
• Interrumpen los servicios web con ataques DDoS.

8
Actores de amenazas
Beneficios financieros
▪ Gran parte de la actividad de los hackers es en busca de beneficios financieros.

▪ Los delincuentes cibernéticos desean generar flujo de caja

• Cuentas bancarias

• Datos personales

• Algo más que pueden aprovechar

9
Actores de amenaza
Secretos comerciales y política global
▪ Los estados de una nación también están interesados en utilizar el ciberespacio.

• Hackeo a otros países

• Interferencia con la política interna

• Espionaje industrial

• Obtención de ventaja importante en el comercio


internacional

10
Actores de amenaza
Cuán segura es Internet de las cosas
▪ Internet de las cosas (IoT)

• Cosas conectadas para mejorar la calidad de vida.


• Ejemplo: los rastreadores de actividad física

▪ ¿Qué grado de seguridad ofrecen estos dispositivos?

• Firmware
• Errores de seguridad
• Actualizable con parche

▪ Ataque DDoS al proveedor de nombre del dominio, Dyn

• Perjudicó muchos sitios web.


• Las cámaras web, DVR, routers y otros dispositivos de IoT
afectados formaron un botnet.
• El hacker controló el botnet que se usó para crear un ataque de
DDoS que desactivó servicios esenciales de Internet. 11
El impacto de las amenazas
PII y PHI
▪ La información que permite identificar personas (Personally
Identifiable Information, PII) es cualquier dato que pueda utilizarse
para identificarlos.
• Ejemplos de PII incluyen: nombre, número de seguro social, fecha de
nacimiento, números de tarjetas de crédito, números de cuenta
bancaria, identificaciones emitidas por el gobierno, información de la
dirección (calle, correo electrónico, números de teléfono).
• Esta información se vende a la Web oscura.
• Se crean cuentas falsas, como tarjetas de crédito y préstamos a corto
plazo.
▪ Información confidencial sobre la salud (PHI): un subconjunto de PII:
• Crea y mantiene registros médicos electrónicos (EMR)
• Regulada por la Ley de Transferibilidad y Responsabilidad del Seguro
Médico (HIPAA)

12
El impacto de las amenazas
Pérdida de la ventaja competitiva
▪ Puede resultar en pérdida de la ventaja competitiva.

• Espionaje corporativo en el ciberespacio.

• Pérdida de confianza que surge cuando una


empresa es incapaz de proteger los datos
personales de sus clientes.

13
El impacto de las amenazas
Seguridad nacional y política
▪ En 2016, un hacker publicó PII de 20 000 empleados
del FBI y 9000 empleados del Departamento de
Seguridad Nacional estadounidense.

▪ El gusano Stuxnet fue diseñado para impedir el


progreso de Irán en el enriquecimiento de uranio.
• Es un ataque a la red motivado por asuntos de
seguridad nacional.
▪ La ciberguerra es una posibilidad concreta.

▪ Internet se ha tornado esencial como medio para


actividades comerciales y financieras.
• La interrupción puede acabar con la economía de un
país y la seguridad de sus ciudadanos.

14
1.2 Soldados en la guerra
contra el ciberdelito

15
El centro de operaciones de seguridad moderno
Elementos de un SOC
▪ Los centros de operaciones de seguridad (SOC) proporcionan una amplia gama de servicios:
• Monitoreo
• Administración
• Soluciones completas de amenazas
• Seguridad alojada
▪ Los SOC pueden:
• encontrarse en la empresa, ser de su
propiedad y ser operados por esta.
• Los elementos pueden ser contratados para los
proveedores de seguridad.
▪ Los elementos principales de un SOC son:
• Personas
• Procesos
• Tecnología
16
El centro de operaciones de seguridad moderno
Personas en el SOC
▪ SANS Institute (www.sans.org) divide en cuatro los roles de la gente en los SOC:

• Nivel 1: Analista de alertas

• Nivel 2: Encargado de respuesta ante incidentes

• Nivel 3: Experto en la materia (SME)/Cazador

• Gerente de SOC

17
El centro de operaciones de seguridad moderno
Proceso en el SOC
▪ Analista de alerta de nivel 1 comienza con el
monitoreo de las colas de alertas de seguridad.

▪ Un analista de alerta de nivel 1 comprueba si una alerta


que se activó en el software de emisión de boletos
representa un verdadera incidente de seguridad.

▪ El incidente puede reenviarse a investigadores o


resolverse como falsa alarma.

18
El centro de operaciones de seguridad moderno
Tecnologías en el SOC
▪ Sistemas de administración de información y eventos de seguridad son muy
costosos (SIEM): analizan, patrones e identifican comportamientos y presentan en una
interfaz amigables, se usa AI, las alertas. NTP. Sincronizar

• Recopilar y filtrar datos.

• Detectar y clasificar amenazas.

• Analizar e investigar las amenazas.

• Implementar medidas preventivas.

• Examinar amenazas futuras.

19
El centro de operaciones de seguridad moderno
Seguridad empresarial y administrada

▪ Las organizaciones pueden implementar un SOC de nivel


empresarial.

▪ El SOC puede ser:

• Una solución interna completa

• Terciarizada en al menos una parte de las operaciones


del SOC a un proveedor de soluciones de seguridad.

20
El centro de operaciones de seguridad moderno
Comparación entre seguridad y disponibilidad
▪ La mayoría de las redes empresariales deben funcionar en todo momento.

▪ El tiempo de actividad suele medirse por la cantidad anual de minutos de inactividad. Un tiempo de
actividad de "cinco nueves" indica que la red estuvo activa el 99,999% del tiempo (o inactiva no más de 5
minutos en el año).

▪ Logre siempre un equilibrio entre un buen nivel de seguridad y la posibilidad de que la empresa funcione.

21
Cómo convertirse en un defensor
Certificaciones
▪ Hay disponibles varias certificaciones de ciberseguridad:
• CCNA Cyber Ops
• Certificación CompTIA Cybersecurity Analyst (CySA+)
• (ISC)² Certificaciones de seguridad informática (incluida CISSP)
• Certificación Global Information Assurance (GIAC)

22
Cómo convertirse en un defensor
Más formación
▪ Consideren iniciar una carrera técnica de grado o
una licenciatura en ciencias informáticas,
ingeniería eléctrica, tecnología de la información o
seguridad informática.

▪ La capacidad de programar es una habilidad


esencial para la ciberseguridad.

▪ Python es un lenguaje de programación orientado


a objetos, de código abierto. Habitualmente se
está utilizando para analistas de ciberseguridad.

23
Cómo convertirse en un defensor
Fuentes de información sobre trabajo
▪ Hay varios sitios web y aplicaciones móviles donde se publican empleos disponibles en el ámbito
de la tecnología de la información:
• Indeed.com

• CareerBuilder.com

• USAJobs.gov

• Glassdoor.com: información sobre


sueldos

• LinkedIn: red profesional

24
1.3 Resumen del capítulo

25
Resumen
▪ Una red inalámbrica "no autorizada" pública puede utilizarse para obtener acceso a información personal.
▪ Los empleados de una empresa pueden descargar accidentalmente ransomware que puede comenzar el
proceso de recopilación y descifrado de datos corporativos.
▪ Un malware sofisticado, el gusano Stuxnet, es un ejemplo de cómo los países pueden ser objeto de una
infraestructura vulnerable del país.
▪ Los aficionados causan daño mediante herramientas simples que hallan en línea.
▪ Los hacktivistas hackers experimentados que trabajan por causas nobles o con fines maliciosos.
▪ Muchos hackers solo buscan beneficios financieros al robar dinero de forma electrónica o robar secretos
comerciales a corporaciones o naciones para vender la información.
▪ Defender a un país contra ciberespionaje y guerra cibernética sigue siendo una prioridad.
▪ Tenga en cuenta los puntos débiles de la de IdC.
▪ PII es la sigla para la información personal. PHI es la sigla para la información confidencial sobre la salud.
Estos dos tipos de información se pueden robar y emplear para acceder a información privada.

26
Resumen
▪ Puede perderse la ventaja competitiva al perder la confianza de los clientes si la empresa no es capaz de
proteger su PII.
▪ Los hackers pueden afectar la seguridad nacional. El gusano Stuxnet es un ejemplo.
▪ Los principales elementos de un SOC son la gente, los procesos y la tecnología.
▪ En los centros de operaciones de seguridad se trabaja para combatir la ciberdelincuencia.

▪ La gente de los SOC nivel 1, son los analistas, nivel 2, encargados de la respuesta ante incidentes; nivel 3,
los SME/cazadores; y por último el gerente del SOC.

▪ Un analista monitorea las colas de alertas de seguridad. Quizás deba comprobar si la alerta representa un
incidente de seguridad verdadero. Una vez comprobado esto, el incidente puede reenviarse a
investigadores o resolverse como falsa alarma.

▪ Los sistemas SIEM se usan para recopilar y filtrar datos; detectar, clasificar, analizar e investigar
amenazas; implementar medidas preventivas y afrontar futuras amenazas.
27
Resumen
▪ Un SOC es una solución interna, o bien, subcontratar parte a un proveedor de soluciones de seguridad.

▪ El tiempo de actividad buscado suele medirse por la cantidad anual de minutos de inactividad. Un tiempo de
actividad de "cinco nueves" indica que la red estuvo activa el 99,999% del tiempo o inactiva no más de 5
minutos en el año.

▪ Los analistas de ciberseguridad necesitan saber programar. Python es un buen punto de partida.

▪ Una gran variedad de recursos proporcionan información sobre búsqueda de empleos y salarios.

▪ Prepararse para trabajar en un Centro de Operaciones de Seguridad (Security Operations Center, SOC)
implica obtener certificados, asistir a cursos de educación formal y hacer uso de servicios de empleo para
adquirir experiencia en pasantías y empleos.

28
Nuevos términos
• Denegación de servicio distribuida (DDoS)
• Hacktivistas
• Malware
• Información de identificación personal (PII)
• Información confidencial sobre la salud (PHI)
• Ransomware
• Script kiddies
• Sistema de administración de información y
eventos de seguridad (SIEM)
• Centro de operaciones de seguridad (SOC)
• Gerente de SOC
• Analista especializado en alertas, nivel 1
• Nivel 2: Encargado de respuesta ante
incidentes
• Nivel 3: Experto en la materia (SME)/Cazador

29

También podría gustarte