Operación y Servicios SOC -Security Operations Center- expositor: Ing. Oswaldo Pelaes León Mayo, 2009.
Índice Antecedentes Security Operation Center - SOC Operación de un SOC Principales Beneficios Servicios de un SOC Síntesis final
Agenda Antecedentes Security Operation Center - SOC Operación de un SOC Principales Beneficios Servicios de un SOC Síntesis final
Antecedentes Por que Seguridad? Negocios por internet s on cada vez más frecuentes Us o de banca por internet, venta por internet (tiendas virtuales ), s itios de an relacionamiento con clientes (atención u n i nt de en línea, e-learning, etc) m s co aus as s o r es c en la W y causaron, Los ataques de phis hing en jo yor abasólo s a u m r r V i, unas e t s!de las pérdidas los E s tados Unidos!! 3,2 d o n d a ó n ci pres p s ieen billones de dólares 2008. u r r em inte E s cenario jurídico/legis lativo es tá cambiando, G obierno C orporativo exige controles internos. Los dis pos itivos deben s er monitorizados y ges tionados con mayor eficiencia. Switches, firewalls, ruteadores, IDS, IPS, aplicaciones.
Generación de Malware por país Hoy en día, más del 40% del M a lw a re (software malicios o) es tá dis eñado para cometer fraude online.
Tendencias de la Seguridad Informática E n es te contexto, la s eguridad es una prioridad para las empres as. La nueva tendencia es destinar entre el 5% y el 7% del gas to total de TI en servicios, equipos y elementos de seguridad. Las organizaciones de banca y finanzas s on las que mayor demanda han efectuado, debido a que la información es reconocida como un activo muy importante en el des arrollo de s us actividades.
Agenda Antecedentes Security Operation Center - SOC Operación de un SOC Principales Beneficios Servicios de un SOC Síntesis final
SOC (Security Operation Center) U n C entro de O pera c iones de S eg urida d s e c o m po ne de pers o na s, proc es os, infra es truc tura y tec nolog ía dedic a dos a g es tiona r, ta nto de form a rea c tiva c om o proa c tiva, a m ena za s, vulnera bilida des y en g enera l inc identes de s eg urida d de la inform a c ión, c on el objetivo de m inim iza r y c o ntrola r el im pa c to en la org a niza c ión.
Principales Recursos Pers onas E specialistas con altos valores y principios, certificados en tecnologías y herramientas de redes y seguridad y con experiencia en la ges tión y mitigación de ataques y vulnerabilidades. Proces os S istemas de G estión y B uenas P racticas: ITIL, C O B IT, IS O -9001, IS O 27001.
Principales Recursos Infraes tructura y Tecnolog ía Videowall y banners electrónicos S istema de Aire Acondicionado S istema de R espaldo de energía S istema contra Incendios S istema de VideoVigilancia y C C TV S istema de C ontrol de Accesos S istemas de R espaldo y B ackups E quipos de Networking (routers, switches, Tecnolog ía access server, etc.) E quipos de S eguridad (Firewall, IP S, S ensores, Analizadores, etc.) C olectores de tráfico, C orrelacionadores de eventos, etc.)
El problema de muchas empresas... No tienen P lanes de S eguridad. No tienen P rocedimientos de S eguridad. No tienen P ersonal capacitado. Aprenden trabajando (solo s e entrenan de manera reactiva o tratando los incidentes). Tienen poca experiencia en S eguridad. S u infraes tructura, equipos y herramientas son obs oletas o desactualizadas.
Agenda Antecedentes Security Operation Center - SOC Operación de un SOC Principales Beneficios Servicios de un SOC Síntesis final
Objetivos de un SOC P roporcionar soluciones rápidas y eficaces frente a incidentes de seguridad. M ejorar la operación y tratamiento de la información a través de la ges tión y monitoreo continuo, el análisis de los LO Gs y la res puesta inmediata a potenciales amenazas de seguridad. O frecer una visión acertada y confiable de los niveles de seguridad en tiempo real. Garantizar una protección efectiva de los activos de información, proporcionando evidencias, tendencias, anális is y recomendaciones para incrementar los niveles de seguridad. P roteger las invers iones en tecnología y s obre todo garantizar la continuidad de las operaciones.
Funciones de un SOC G estión de R ies gos y Vulnerabilidades. G estión de S eguridad de la Información (S G S I). G estión C entralizada de E lementos de S eguridad. G estión de M ejoras y Actualización. R astreo y R ecuperación de D atos. D etección de Anomalías y Fallas. O peración de S ervicios. O peraciones C ríticas.
Etapas de la Respuesta a Incidentes Preparación Post Incidente Que se ha hecho? Se puede hacer algo para prevenirlo?. Como puede ser menos critico en el futuro? Preparación de la red Crear herramientas. Testear las herramientas. Preparación de los Procedimientos. Entrenar al equipo. Practicar. Identificación Como te enteras del ataque? Que herramientas puedes usar?. Cual es tu proceso de comunicación? Reacción Que opciones tienes para remediarlo? Cual es la mejor opción bajo las circunstancias? Clasificación Que clase de ataque es? Rastrear De donde viene el ataque? Donde y como esta afectando a la red?
Interacción con otros Equipos de Seguridad Forum of I nc ident R es po ns e a nd S ec urity T ea m s P rincipal organización internacional de seguridad de redes e internet, conformada por los equipos de s eguridad de mayor pres tigio en el mundo: mas de 200 equipos en 42 países. S on integrantes del FIR S T los principales proveedores de servicios de telecomunicaciones; quienes promueven, coordinan y ejecutan actividades de protección y s alvaguarda para la seguridad de s us clientes y us uarios.
Algunos miembros del FIRTS:
Agenda Antecedentes Security Operation Center - SOC Operación de un SOC Principales Beneficios Servicios de un SOC Síntesis final
Principales Beneficios R educción de R iesgos y Amenazas. M ayor D isponibilidad de sus servicios Identificación y P revención de Vulnerabilidades. O ptimizar la capacidad de respuesta operativa. Implementación de políticas y reglas claras. C entralización de los R egistros de D atos. M ejorar la generación de informes y reportes. M ayor seguridad para sus servicios y productos.
Agenda Antecedentes Security Operation Center - SOC Operación de un SOC Beneficios Servicios de un SOC Síntesis final
Antiphishing Ataque de ingeniería social. Suplantando la identidad de una empresa de confianza se solicita información sensible del usuario. Productos / S ervicios C omplementario s S ervicio A nti-phishing Prevención Prevención Consultoría & Soluciones Detección y Alerta Temprana Eliminación Web Fraudulento Exploración de la web Bloqueo IP Monitorización del dominio (Anti-Pharming) Autenticación Robusta (Firmas digitales, Tokens) Establecimiento SGSI Análisis Vulnerabilidades Hacking Ético Respuesta al Incidente + Comprobación del ataque. Análisis de estructura del ataque e ISP correspondiente. Informes de Spam Buzones e-mail trampa Envio de Formulario de cese al ISP o Coordinaciones con terceros. Bloqueo IP y DNS (atención 7x24). Coordinación con terceros. Ejecución Contramedida s Análisis Forense Recavar información relevante (lista de victimas reales, usuarios y contraseñas,etc). Dilución de información (Tecnología RCT - Randomized Credencial Technology) Reporte detallado del ataque. Cuentas trampa
Antiphishing E -mail fraudulento: P ara que estos mensajes parezcan aun más reales, el estafador suele incluir un vínculo falso que parece dirigir al sitio Web legítimo, pero en realidad lleva a un sitio falso o inclus o a una ventana emergente que tiene exactamente el mismo aspecto que el sitio Web oficial.
Seguridad Gestionada El servicio de Seguridad Gestionada permite al cliente, delegarnos la gestión de sus sistemas de seguridad perimetral (Monitorización y Gestión de Cortafuegos,Gestión IDS e IPS, etc.). E squema Funcional C liente 2 S e rv idore s de A plic a c ió n C liente 1 S e rvic io s E x te rnos S ervido res I ntra ne t R ed I nterna ( A pplia nc e s de s eg urida d U T M U nified T hre a t M a na g e m e nt ) C liente 3 IN TE R N E T B a s e de D a tos C o ns ola s de G e s tión S OSCO C S SE E CC UU RR I TI T Y YOO PP EE RR AA TT I OI O NNC C EE NN TT EE RR FI R E W A L L VP N IP S Filtro de C ontenido D M Z S ervicios GM S R ed I nterna W eb C o rreo
Otros servicios brindados por el SOC C ons ultoría Implementación de Sistemas de Gestión de Seguridad de la Información D efinición de la política, estructura organizativa, procedimientos, procesos y recurs os neces arios para llevar a cabo la gestión de la s eguridad de la información con un enfoque orientado a la consecución de los objetivos de la organización. Planes de Contingencia Informática P revención y protección de la disponibilidad de los s is temas de información, recurs os y procesos críticos de la empresa frente a amenazas que pudieran afectar a la continuidad del negocio. Servicio Antifraude P revención, protección y eliminación de los riegos as ociados con los fraudes informáticos (P his hing, P harming, etc. ) Form a c ión Cursos y Talleres C urs os y Talleres que abarcan temas específicos dentro del campo de la S eguridad Informática y cuyo objetivo es brindar capacitación técnica además de difundir la toma de conciencia de la S eguridad Informática.
Otros servicios brindados por el SOC E va lua c io nes T éc nic a s S eg urida d W ireles s Analiza los ries gos de acces o ilegal a la infraestructura wireles s de la empres a, detecta sus vulnerabilidades e implanta una s olución para asegurarla. S eg urida d I nterna Anális is y P rotección contra los riesgos procedentes de empleados capaces de violar la s eguridad de los s istemas de información de la empresa. A ná lis is Fo rens e Anális is detallado de escenarios res ultado de acciones no autorizadas que s e producen en los sis temas de información de la empres a, identificación el autor, las causas y el método empleado, implantación de medidas correctivas. T es t de I ntrus ión D etección del nivel de S eguridad Interna y E xterna de los S istemas de Información de la empres a, determinando el grado de acces o que tendría un atacante con intenciones maliciosas.
Agenda Antecedentes Security Operation Center - SOC Operación de un SOC Beneficios Servicios de un SOC Síntesis final
Síntesis final... C ontratar personas con experiencia, de preferencia certificados. D ocumentar y verificar los procesos. P reparars e para las comunicaciones en situaciones de cris is. E s tablecer S LAs con los clientes, proveedores y s ocios. P robar la continuidad de las operaciones periódicamente. M antener los contratos de s oporte y proveedores. Aprovechar las herramientas de gestión y de análisis. P lanificar, preparar y probar la respuesta a incidentes. C apacitación especializada permanente.
Tú ves el muro, pero los hackers ven los agujeros La seguridad es algo más que productos, la seguridad no sólo depende de la infraestructura... DEPENDE DE QUIÉN ESTÁ DETRÁS DE ELLA!
Muchas Gracias!!!
Ing. Oswaldo Pelaes León Supervisión, Operación y Seguridad de Redes GERENTE Telefónica del Perú S.A.A. opelaes@tp.com.pe