Skip to main content

Posts

Creando tu SOC - Monitoreo de Seguridad - Parte 1 de n

El SOC (Security Operations Centers) puede significar cosas diferentes para diferentes organizaciones.  Entre las opciones tenemos: 1. La gente, procesos y tecnología responsables de los procesos de Gestión de Monitoreo de Seguridad y Gestión de Incidentes dentro de un Programa de Seguridad .  2. El grupo responsable de la seguridad física (cámaras de vigilancia, guardias de seguridad, control de acceso físico) 3. El grupo responsable por dar atención inmediata dentro de un centro de operaciones de soporte técnico. Para efectos de este artículo, la definición que usaremos es la primera . En el proceso de monitoreo de seguridad se realizan las siguientes actividades: 1. La identificación y colección de las bitácoras de los eventos dentro de la infraestructura que son de interés para proteger a los sistemas. 2. La creación y gestión de procedimiento de monitoreo de dichos eventos. 3. La entrega de eventos de seguridad comprabados como incidentes al proceso de Gestión de Inciden...
Recent posts

Creando tu Programa de Seguridad - Parte 2 de 2

Esta es la continuación al artículo donde ya vimos cinco procesos de un Programa de Seguridad de la Información.  Si no lo has visto, lo puedes ver aquí . Continuemos con los últimos. Operaciones de Seguridad   Objetivo:  gestión y mantenimiento de los controles implementados en la compañía. Las Operaciones de Seguridad son en algunas empresas llevadas en equipos diferentes al que lleva el proceso de Gestión de Auditoría de Cumplimiento para así evitar conflictos de interés. Independientemente de la forma seleccionada por tu empresa, es importante la comunicación entre ambos equipos.  Ejemplo de controles de seguridad gestionados en este proceso: seguridad perimetral (firewalls, IDS, IPS), seguridad de correos electrónicos, sistemas de seguridad en equipos de usuarios (antivirus, EDR), etc. Actividades recurrentes:  Participar en el proceso de Gestión de Vulnerabilidades como responsables de la actualización o aplicación de parches.  Realizar evaluaciones s...

Creando tu Programa de Seguridad - Parte 1 de 2

 En la publicación sobre Seguridad Básica  te hablé de los controles básicos que debes tener implementados en un proceso de mejora continua antes de empezar a trabajar en un Programa de Seguridad.  Este artículo asumirá que lograste hacer algo y que ahora consideras necesario dar el siguiente paso.   Antes de preparar tu Programa de Seguridad, definamos ciertas cosas: 1. Programa: conjunto de procesos realizados buscando un objetivo común. 2. Procesos: conjunto de actividades estrechamente relacionadas que tienen en común herramientas, métricas y KPIs. Te recomiendo que tu Programa de Seguridad tenga los siguientes procesos: 1. Gestión de Vulnerabilidades y Actualizaciones 2. Gestión de Riesgos 3. Gestión de Monitoreo de Seguridad   4. Gestión de Incidentes de Seguridad 5. Gestión de Auditoría y Cumplimiento 6. Operaciones de Seguridad  7. Seguridad de Desarrollos 8. Concienciación y Educación en Seguridad 9. Seguridad de  Proveedores o Caden...

Deuda técnica (technical debt) en el SOC

Ayer conversaba con mi equipo sobre el nuevo proyecto X.  El nuevo proyecto X era la implementación de una innovadora herramienta de detección de intrusos que además permitía automatizar el proceso de respuesta ante ataques a un costo inferior a las alternativas. Creo que con esa descripción mis colegas defensores o del equipo azul (#BlueTeam) ya saben que esto había que hacerlo ya . Mientras veíamos las implicaciones de esta interesante herramienta  nos dimos cuenta que teníamos que definir cuáles serían los equipos involucrados en este proyecto.  Entonces le pido a mi equipo que saquemos el inventario de equipos involucrados de nuestra CMDB .  Después de todo, recientemente hicimos un gran esfuerzo por registrar todos nuestros activos en la CMDB con el propósito de ser utilizada en situaciones como esta. Con mucha sorpresa me entero que mi equipo ha regresado a mantener la mayoría del inventario en una hoja de Excel  y que la famosa CMDB no está siendo actuali...

Sobre el ataque de WastedLocker a Garmin

Desde que se hizo público el ataque a Garmin he estado pendiente de cómo reacciona la compañía y la industria de seguridad de la información ante el ataque sufrido por esta compañía que es reconocida por sus aparatos de GPS y relojes para ejercicios. Twitter ha sido mi mayor fuente de información y me he dado cuenta que no soy el único interesado. No me cabe duda de que los ataques de ransomware teledirigidos se han convertido en una gran amenaza para las compañías y los encargados de proteger los sistemas, el equipo azul. Estos incidentes de seguridad los analizo con información pùblica buscando identificar: Controles preventivos que tenía la organización afectada Su estrategia de comunicación durante y posterior al evento El manejo que tuvieron con los atacantes incluyendo compañías consultoras contratadas Estrategia de recuperación ante el ataque, ya sea pagando o recuperándose de respaldos Detalle técnico de los TTPs (tactics, techniques and procedures) utilizados por los atacan...

Lecciones de Taller Ransomware Tabletop Exercise

Durante la pasada DojoConf Panama 2020 tuve la oportunidad de dictar el taller Ransomware Tabletop Exercise (9 y 10 julio 2020) Agradezco a la Comunidad Dojo (en especial a Eduardo Snape , Hubert Demercado y Vielsa Gómez ) de la oportunidad de compartir en lo que he estado trabajando durante ya varios meses. Para invitar a la gente a participar hice hasta un video en YouTube , algo que nunca había hecho. Quizás la primera lección es que debí realizar el video con mucho más tiempo para así darle oportunidad a más gente de enterarse del contenido del taller. El taller se realizó por medio de dos sesiones de cuatro horas cada una.  Esto me permitió darle oportunidad a los participantes a ir a sus empleos a aplicar lo aprendido. Esto fue una buena idea. Parte del contenido de la sesión uno incluye ejemplos de controles de seguridad para prevenir, identificar y reaccionar ante un ataque de ransomware.  Los participantes me pidieron opciones de bajo costo o de código abierto....

Simulacros de escritorio de ataques - tabletop exercises

Se conoce como  Tabletop Exercise  al proceso de convocar a todos los que estarían involucrado en un incidente de seguridad y ante un escenario ficticio preguntarles cómo reaccionarían.  En este artículo lo traduciré a Simulacro de Escritorio, no sé si es la mejor traducción, pero iré con eso.   Trataré de darles luces sobre lo que debe incluir un Simulacro de Escritorio de ataques en base a lo que he aprendido al ser facilitador en múltiples simulacros. El objetivo principal de un Simulacro de Escritorio es preparar mejor a la organización que lo realiza para un incidente que afecte la seguridad de su información o sistemas.  Estos simulacros deben ser realizados por lo menos anualmente como parte de los procesos de Gestión de Incidentes y Plan Continuidad de Negocios. Recomiendo realizar simulacros para los principales riesgos que enfrentan sus organizaciones.  Por lo menos para estos incidentes de seguridad deben hacer un simulacro: ...