Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Marta López - Vacaciones en la costa del SOC [rooted2019]

149 views

Published on

Marta López - Vacaciones en la costa del SOC [rooted2019]

Published in: Technology
  • Be the first to comment

Marta López - Vacaciones en la costa del SOC [rooted2019]

  1. 1. 2 1¿Qué es un SOC?
  2. 2. 3 1• ISO 27000 • Introducción y glosario de términos • ISO 27002 • Excelente guía de referencia • (No certificable) • (antes ISO 17799 o BS 7799-1) • ISO 27001 • Estándar Normativo (Certificable) • (antes BS 7799-2)
  3. 3. • Monitorizar • Evaluar • Proteger 4 1SOC Confidencialidad Integridad Disponibilidad
  4. 4. 5 1SOC Prevención • Hacking ético • Vigilancia digital • Análisis de vulnerabilidades
  5. 5. 6 1SOC Prevención Detección • Hacking ético • Vigilancia digital • Análisis de vulnerabilidades • Monitorización • Amenazas • Correlación eventos • Respuesta incidentes • Anti-fraude
  6. 6. 7 1SOC Prevención Detección Corrección • Hacking ético • Vigilancia digital • Análisis de vulnerabilidades • Bastionado • Consultoría • Formación • Monitorización • Amenazas • Correlación eventos • Respuesta incidentes • Anti-fraude
  7. 7. Security Information and Event Managenment 8 2 SEMSIM SIEM
  8. 8. 9 2• Recolección y consolidación de logs • Centralización de logs (Forense) • Inteligencia • Gestión de incidentes
  9. 9. 10 2• Análisis de fallos y simulación de exploits • Priorización de vulnerabilidades • Análisis y topologías de red • Detección de anomalías de red
  10. 10. 11 2• Control de usuarios • Normativa (SOX, PCI, HIPAA, RGDP, 27001) • Reporting centralizado • Cuadros de mando
  11. 11. 12 3¿Cómo funciona un SIEM?
  12. 12. 13 3Recolección Correlación Almacenamiento
  13. 13. 14 3INPUTS OUTPUTS SIEM Datos de eventos Datos de contexto • Sistemas Operativos • Aplicaciones • BBDD • Dispositivos • Escáner VUL • Información de usuarios • Información assets • Feeds Inteligencia • Análisis • Informes • Monitorización
  14. 14. 15 3Recolección Correlación Almacenamiento
  15. 15. 16 3 • Consultas BBDD • WMI (RPC) • SCP • CIFS • SYSLOG • Agente SIEM Activo Pasivo
  16. 16. 17 3SYSLOG • RFC 3164 (2001) • RFC 5424 (2009) • Cabecera • Prioridad • Texto
  17. 17. 18 3Agente (conector) • Snare • SyslogAgent • Ossec • WinCollect (QRadar) Fuente Máquina intermedia
  18. 18. 19 3Agente (conector) • Parseo • Normalización • Categorización • Agregación • Filtrado
  19. 19. 20 3 Parseo: o Análisis sintáctico del log o Interpretar los datos o Expresiones regulares o K.I.S.S.
  20. 20. 21 3 Normalización: o Estandarización de campos o Depende del fabricante o Mismo formato o Campos custom
  21. 21. 22 3 Categorización: o TAG o Misma acción o No carga las búsquedas o Agrupa por eventos similares
  22. 22. 23 3 Agregación: o Optimización del almacenamiento o Agrupa por eventos iguales (-timestam) o Dependen del SIEM
  23. 23. 24 3 Filtrado: o Descartar eventos no relevantes o Optimización de volumetrías o Fuente / Conector
  24. 24. 25 3Recolección Correlación Almacenamiento
  25. 25. 26 3Funciones: o Recepción de eventos o Almacenamiento temporal o Generación eventos correlados o Notificaciones o Análisis / búsquedas
  26. 26. 27 3 Acciones: o Envío mails, SMS o Informes o Actualizar listas o Scripts Evento correlado
  27. 27. 28 3 • ¿Qué queremos controlar? • Entradas: o Tecnología o Tipo de eventos • Acciones: o Criticidad o Escalado Evento correlado
  28. 28. 29 3 • Lógica de las reglas. • Tipo: • Simples • Complejas Evento correlado
  29. 29. 30 3Almacenamiento en correlación: o Online o Búsquedas rápidas o Corto plazo
  30. 30. 31 3Recolección Correlación Almacenamiento
  31. 31. 32 3Almacenamiento de logs a largo plazo: • Tiempo determinado • Rotado • Accesible • Centralización • Logs consultables • INTEGRIDAD Búsquedas Reportes
  32. 32. ¿Qué queremos monitorizar? 33 4
  33. 33. 34 41. Definir el alcance o Actividad económica o ¿Para qué necesitan el SIEM? o Conocimiento real del funcionamiento de la empresa
  34. 34. 35 42. Cumplimiento • ¿Qué normativa debe cumplir? • ¿Solución SIEM más adecuada? • Buena práctica, documentación específica
  35. 35. 36 43. Fuentes de datos • Listado de activos • Compatibilidad fuente - SIEM • ¿Solución SIEM más adecuada? • Valor añadido
  36. 36. 37 44. Recursos críticos • Necesidades de protección estricta • Datos confidenciales • Ej: Legacy, sistemas SWITF
  37. 37. 38 45. Viabilidad financiera • Costes del Software • Costes del Hardware • Costes de ancho de banda
  38. 38. 39 4
  39. 39. 40 4Arquitectura lógica Capa Física Recolección Normalización Reporting Correlación
  40. 40. Dimensionamiento 41 4 Sistemas Redes Desarrollo GB per day EPS
  41. 41. 42 4
  42. 42. 43 4 • Correlación: definir zonas, redes, assets, usuarios plantillas etc. • Almacenamiento: tiempo retención, grupos de máquinas, backups etc. • Recolección: configuración fuentes, agentes etc Aprovisionamiento de máquinas Instalación y parametrización del SW
  43. 43. 44 4¿Funciona? Casos de uso Revisiones Mejoras
  44. 44. 45 5Fabricantes
  45. 45. 46 5
  46. 46. Visionarios Competidores Líderes 47 5• Cuota de mercado, credibilidad, marketing • Innovadores y presencia mundial • Amenaza seria para los Líderes • Productos fuertes y buena posición en el mercado • Solución problemas usuario final (operaciones) • Carne de compra • Segmentos específicos • Proveedores adaptando producto • Productos que no terminan de encajar Jugadores de nicho
  47. 47. 48 5
  48. 48. 49 5• Splunk - fuerte entorno de integración y sus capacidades de seguridad datos personales. • Qradar - monitorización de datos de red y a las integraciones de valor añadido. • LogRhythm - facilidad de implementación y uso, y sus interfaces gráficas • RSA - detección avanzada de amenazas a nivel empresarial con capacidades SIEM. • Exabeam - Los datos granulares basados en roles y las capacidades de flujo de trabajo. • McAfee – Oferta de UEBA/analítica y por el aprovechamiento de las grandes tecnologías de datos. • Securonix - modelos de entrega flexibles y sus capacidades de gestión de datos.
  49. 49. 50 Análisis, reglas y casos de uso 6
  50. 50. 51 Tareas de un analista 6
  51. 51. 52 6 BOFH Zen SOC Zen
  52. 52. 53 Cierres 6 • Falso positivo • Falso positivo con ajuste • Positivo con impacto • Positivo sin impacto • Falso negativo
  53. 53. 54 6• Abstracto - alto nivel • Independiente de la tecnología del SIEM – fuentes Caso de uso • Bajo nivel • Depende del SIEM y de la tecnología de las fuentes Regla* Parametrización Codificación *Eventos de correlación
  54. 54. 55 Seguimiento de usuarios 6 • Fuerza bruta • Cuentas comprometidas • Movimientos laterales – verticales (UAC) • Accesos a recursos no autorizados
  55. 55. 56 Equipos comprometidos 6 • Detecciones de Malware • Tráfico saliente • Monitorizando la navegación
  56. 56. 57 IPS - IDS 6 • Firmas – Patrones coincidentes • Detección por políticas (FW dinámico) • Anomalías (aprendizaje automático)
  57. 57. 58 Anomalías de red 6 • Escaneos • Exceso de FW deny • Tráfico saliente sospechoso
  58. 58. 59 Cambios en sistema 6 • Cambios no planeados en sistemas críticos • Control de cambios • Modificaciones en DLL’s • SYSMON
  59. 59. 60 WAFs y DMZ 6 • Ataques automáticos • Autobloqueos • Web – hacking, SQLi, XSS
  60. 60. 61 Cloud 6 • Compromiso de la cuenta de la nube • Acceso y abuso de privilegios • Otros problemas de seguridad
  61. 61. 62 Threats intelligence feeds 6 • Reputación de dominios, IPs, anti-phising, clasificación webs (proxy) • Reputación de ficheros (Malware) • Dispositivos móviles: reputación de apps, seguridad móvil.
  62. 62. 63 DLP’s 6 • Subidas a webs • Correos electrónicos • Impresión de ficheros
  63. 63. 64 7
  64. 64. 65 7http://openaccess.uoc.edu/webapps/o2/bitstream/10609/81425/6/jgarciamerTFM0618memoria.pdf https://www.audea.com/es/ciberseguridad/soc/ http://www.iso27001security.com/ISO27k_Standards_listing.pdf http://bcc.portal.gov.bd/sites/default/files/files/bcc.portal.gov.bd/page/adeaf3e5_cc55_4222_8767_f26bcaec3f70/ISO_IEC_27 001.pdf https://www.ultimatewindowssecurity.com https://www.gartner.com/reviews/customers-choice/security-information-event-management https://stackify.com/siem-implementation-strategy-and-plan/ https://www.sans.org/media/score/esa-current.doc https://www.ivarjacobson.com/sites/default/files/field_iji_file/article/use_case_2.0_-_spanish_translation.pdf https://www.microfocus.com/media/white-paper/the_complete_guide_to_log_and_event_management_wp_es.pdf https://en.wikipedia.org/wiki/Magic_Quadrant NP MASTERCLASS: Ciberseguridad SIEM https://www.youtube.com/watch?v=uhxhJJJSQXM https://solutionsreview.com/security-information-event-management/whats-changed-gartner-2018-siem-magic-quadrant/ https://tools.ietf.org/html/rfc3164 https://es.wikipedia.org/wiki/Sistema_de_gesti%C3%B3n_eventos_e_informaci%C3%B3n_de_seguridad https://www.ibm.com/downloads/cas/Y0VQKNRN https://blogs.gartner.com/anton-chuvakin/2014/05/14/popular-siem-starter-use-cases/ https://www.incibe-cert.es/sites/default/files/contenidos/guias/doc/certsi_diseno_configuracion_ips_ids_siem_en_sci.pdf https://es.slideshare.net/jack_caceres/curso-introduccion-alaseguridadinformatica08gestionarlaseguridadinformatica
  65. 65. 66 7IBM QRadar SIEM https://www.ibm.com/es-es/marketplace/ibm-qradar-siem Splunk Enterprise / Light https://www.splunk.com/ Open Source SIEM and Unified Security Management. https://www.alienvault.com/ DELL EMC RSA Security Analytics https://spain.emc.com/security/security-analytics/security-analytics.htm Microfocus ArcSight https://www.microfocus.com/en-us/products/siem-security-information-event-management/overview LogRhythm https://es.logrhythm.com/solutions/security/siem/ McAfee Enterprise Security Manager http://www.mcafee.com/es/products/enterprise-security-manager.aspx SolarWinds Log and Event Manager http://www.solarwinds.com/es/siem-security-information-event-management-software
  66. 66. 67

×