Skip to main content

Creando tu SOC - Monitoreo de Seguridad - Parte 1 de n

El SOC (Security Operations Centers) puede significar cosas diferentes para diferentes organizaciones.  Entre las opciones tenemos:

1. La gente, procesos y tecnología responsables de los procesos de Gestión de Monitoreo de Seguridad y Gestión de Incidentes dentro de un Programa de Seguridad

2. El grupo responsable de la seguridad física (cámaras de vigilancia, guardias de seguridad, control de acceso físico)

3. El grupo responsable por dar atención inmediata dentro de un centro de operaciones de soporte técnico.

Para efectos de este artículo, la definición que usaremos es la primera.

En el proceso de monitoreo de seguridad se realizan las siguientes actividades:

1. La identificación y colección de las bitácoras de los eventos dentro de la infraestructura que son de interés para proteger a los sistemas.

2. La creación y gestión de procedimiento de monitoreo de dichos eventos.

3. La entrega de eventos de seguridad comprabados como incidentes al proceso de Gestión de Incidentes.

4. El análisis de los eventos de seguridad en búsqueda de la mejora continua.

5. Utilizar la inteligencia de amenazas para mejorar capacidad de deteción.

En resumen, el Monitoreo de Seguridad es todo sobre la colección de bitácoras de eventos de interés y la detección de incidentes de seguridad.  Conversemos un poco sobre cada actividad.

Identificación y Colección de Bitácoras


La selección de cuáles eventos deben ser monitoreados y las bitácoras que los contienen es la base de un buen proceso de Monitoreo de Seguridad. Asegúrate de por lo menos almacenar las bitácoras que contienen las siguentes tipos de eventos:

Eventos de sistems operativos:
1. Autenticación fallidas y exitosas
2. Autorización y/o elevación de privilegios
3. Consumo de Recursos: memoria, CPU, disco
4. Ejecución de Procesos: inicio y finalización de procesos
5. Creación y ejecución de tareas repetitivas. (cron en Linux y Schedule Tasks en Windows)

Eventos de red:
1. Conexiones entrantes y salientes
2. Navegación en Internet
3. Protocolos de administración como: SMB, RDP, SSH, Powershell, WinRM, VNC
4. Búsquedas de DNS

Eventos en aplicaciones:
1. Autenticación fallidas y exitosas a nivel de aplicaciones, bases de datos, etc.
2. Errores de ejecución o de lógica de negocio

Una vez se tienen bitácoras de los eventos arriba mencionados es importante enforcarse en el periodo de retención de esas bitácoras lo cual  dependerá  de:
1. Costo de la herramienta seleccionada para almacenar las bitácoras
2. Regulaciones que afectan al negocio
3. El deseo que tenga la empresa de por cuánto tiempo atrás podrá investigar o analizar bitácoras.

Buenos puntos de referencias sobre cuáles eventos deben ser monitoreados son:
a. para Windows 
b. para Linux

La creación y gestión del procedimiento de monitoreo de dichos eventos



Una vez definido cuáles son los eventos que desean ser monitoreados es necesario definir cosas cómo:
1. ¿Qué es normal? Se toma en cuenta el entorno, frecuencia, ente que genera la alerta, etc.
2. ¿Quién debe identificar, reportar una anormalidad?
3. ¿Por qué es importante monitorear este tipo de eventos?
4. ¿Quién debe reaccionar ante una anormalidad? (Gestión del Incidente)
Toda esta información se convierte en los casos de uso de monitoreo.  Estos casos de uso deben estar registrados en un base de datos de conocimiento de libre acceso a todos los miembros del SOC.

En otros artículos de este blog les hablaré  más sobre las otras actividades dentro un proceso de Monitoreo de Seguridad.

Como siempre por favor hazme llegar tus comentarios aquí o en Twitter


Labels:

Comments

Post a Comment

Popular posts from this blog

Simulacros de escritorio de ataques - tabletop exercises

Se conoce como  Tabletop Exercise  al proceso de convocar a todos los que estarían involucrado en un incidente de seguridad y ante un escenario ficticio preguntarles cómo reaccionarían.  En este artículo lo traduciré a Simulacro de Escritorio, no sé si es la mejor traducción, pero iré con eso.   Trataré de darles luces sobre lo que debe incluir un Simulacro de Escritorio de ataques en base a lo que he aprendido al ser facilitador en múltiples simulacros. El objetivo principal de un Simulacro de Escritorio es preparar mejor a la organización que lo realiza para un incidente que afecte la seguridad de su información o sistemas.  Estos simulacros deben ser realizados por lo menos anualmente como parte de los procesos de Gestión de Incidentes y Plan Continuidad de Negocios. Recomiendo realizar simulacros para los principales riesgos que enfrentan sus organizaciones.  Por lo menos para estos incidentes de seguridad deben hacer un simulacro: 1.     Ataque de  ransomware 2.
Post a Comment
Read more

Deuda técnica (technical debt) en el SOC

Ayer conversaba con mi equipo sobre el nuevo proyecto X.  El nuevo proyecto X era la implementación de una innovadora herramienta de detección de intrusos que además permitía automatizar el proceso de respuesta ante ataques a un costo inferior a las alternativas. Creo que con esa descripción mis colegas defensores o del equipo azul (#BlueTeam) ya saben que esto había que hacerlo ya . Mientras veíamos las implicaciones de esta interesante herramienta  nos dimos cuenta que teníamos que definir cuáles serían los equipos involucrados en este proyecto.  Entonces le pido a mi equipo que saquemos el inventario de equipos involucrados de nuestra CMDB .  Después de todo, recientemente hicimos un gran esfuerzo por registrar todos nuestros activos en la CMDB con el propósito de ser utilizada en situaciones como esta. Con mucha sorpresa me entero que mi equipo ha regresado a mantener la mayoría del inventario en una hoja de Excel  y que la famosa CMDB no está siendo actualizada automáticamente ni
Post a Comment
Read more

Creando tu Programa de Seguridad - Parte 1 de 2

 En la publicación sobre Seguridad Básica  te hablé de los controles básicos que debes tener implementados en un proceso de mejora continua antes de empezar a trabajar en un Programa de Seguridad.  Este artículo asumirá que lograste hacer algo y que ahora consideras necesario dar el siguiente paso.   Antes de preparar tu Programa de Seguridad, definamos ciertas cosas: 1. Programa: conjunto de procesos realizados buscando un objetivo común. 2. Procesos: conjunto de actividades estrechamente relacionadas que tienen en común herramientas, métricas y KPIs. Te recomiendo que tu Programa de Seguridad tenga los siguientes procesos: 1. Gestión de Vulnerabilidades y Actualizaciones 2. Gestión de Riesgos 3. Gestión de Monitoreo de Seguridad   4. Gestión de Incidentes de Seguridad 5. Gestión de Auditoría y Cumplimiento 6. Operaciones de Seguridad  7. Seguridad de Desarrollos 8. Concienciación y Educación en Seguridad 9. Seguridad de  Proveedores o Cadena de Suministros Ahora para cada proceso te
Post a Comment
Read more