Operacin y Servicios SOC

-Security Operations Center-

expositor:
Ing. Oswaldo Pelaes Len
Mayo, 2009.
ndice
Antecedentes
Security Operation Center - SOC
Operacin de un SOC
Principales Beneficios
Servicios de un SOC
Sntesis final
Agenda
Antecedentes
Security Operation Center - SOC
Operacin de un SOC
Principales Beneficios
Servicios de un SOC
Sntesis final
Negocios por internet son cada vez ms
frecuentes
Uso de banca por internet, venta por
internet (tiendas virtuales), sitios de
relacionamiento con clientes (atencin en
lnea, e-learning, etc)
Los ataques de phishing causaron, slo en
los Estados Unidos, unas prdidas de 3,2
billones de dlares en 2008.
Escenario jurdico/legislativo est
cambiando, Gobierno Corporativo exige
controles internos.
Los dispositivos deben ser monitorizados y
gestionados con mayor eficiencia.
Switches, firewalls, ruteadores, IDS, IPS, aplicaciones.
Antecedentes Por que Seguridad?
Generacin de Malware por pas
Hoy en da, ms del 40% del Mal ware (software malicioso)
est diseado para cometer fraude online.
En este contexto, la seguridad es
unaprioridadpara las empresas.
La nueva tendencia es destinar
entre el 5% y el 7% del gasto total
de TI en servicios, equipos y
elementos deseguridad.
Las organizaciones de banca y
finanzas son las que mayor
demanda han efectuado, debido a
que la informacin es reconocida
como un activo muy importante en el
desarrollodesus actividades.
Tendencias de la Seguridad Informtica
Agenda
Antecedentes
Security Operation Center - SOC
Operacin de un SOC
Principales Beneficios
Servicios de un SOC
Sntesis final
Un Centro de Operaci ones de Seguri dad se compone de
personas, procesos, i nfraestructura y tecnol oga dedi cados a
gesti onar, tanto de forma reacti va como proactiva, amenazas,
vul nerabil idades y en general i nci dentes de seguri dad de l a
i nformaci n, con el obj eti vo de mi nimizar y control ar el
i mpacto en l a organi zacin.
SOC (Security Operation Center)
Sistemas de Gestin y Buenas
Practicas:
ITIL, COBIT, ISO-9001, ISO 27001.
Procesos
Especialistas con altos valores y
principios, certificados en tecnologas y
herramientas de redes y seguridad y
con experiencia en la gestin y
mitigacin de ataques y
vulnerabilidades.
Personas
Principales Recursos
Tecnol oga
Infraestructura y Tecnol oga
Principales Recursos
Videowall y banners electrnicos
Sistema de Aire Acondicionado
Sistema de Respaldo de energa
Sistema contra Incendios
Sistema de VideoVigilancia y CCTV
Sistema de Control de Accesos
Sistemas de Respaldo y Backups
Equipos de Networking (routers,
switches, access server, etc.)
Equipos de Seguridad (Firewall, IPS,
Sensores, Analizadores, etc.)
Colectores de trfico,
Correlacionadores de eventos, etc.)
El problema de muchas empresas...
No tienen Planes de Seguridad.
No tienen Procedimientos de Seguridad.
No tienen Personal capacitado.
Aprenden trabajando (solo se entrenan de
manera reactiva o tratando los incidentes).
Tienen poca experiencia en Seguridad.
Su infraestructura, equipos y herramientas son
obsoletas o desactualizadas.
Agenda
Antecedentes
Security Operation Center - SOC
Operacin de un SOC
Principales Beneficios
Servicios de un SOC
Sntesis final
Objetivos de un SOC
Proporcionar soluciones rpidas yeficaces frente a incidentes
de seguridad.
Mejorar la operacin y tratamiento de la informacin a travs
de la gestin y monitoreo continuo, el anlisis de los LOGs y
larespuesta inmediata a potenciales amenazas de seguridad.
Ofrecer una visin acertada y confiable de los niveles de
seguridad en tiempo real.
Garantizar una proteccin efectiva de los activos de
informacin, proporcionando evidencias, tendencias, anlisis
y recomendaciones para incrementar los niveles de
seguridad.
Proteger las inversiones en tecnologa ysobre todo garantizar
lacontinuidad de las operaciones.
Funciones de un SOC
Gestin de Riesgos y Vulnerabilidades.
Gestin de Seguridad de la Informacin (SGSI).
Gestin Centralizada de Elementos de Seguridad.
Gestin de Mejoras y Actualizacin.
Rastreo y Recuperacin de Datos.
Deteccin de Anomalas y Fallas.
Operacin de Servicios.
Operaciones Crticas.
Etapas de la Respuesta a Incidentes
Preparacin
Preparacin de la red
Crear herramientas.
Testear las herramientas.
Preparacin de los
Procedimientos.
Entrenar al equipo.
Practicar.
I dentificacin
Como te enteras del
ataque? Que herramientas
puedes usar?.
Cual es tu proceso de
comunicacin?
Clasificacin
Que clase de ataque es?
Rastrear
De donde viene el ataque?
Donde y como esta afectando
a la red?
Reaccin
Que opciones tienes para
remediarlo?
Cual es la mejor opcin
bajo las circunstancias?
Post I ncidente
Que se ha hecho?
Se puede hacer algo para
prevenirlo?.
Como puede ser menos
critico en el futuro?
Forum of Incident Response and Security
Teams
Principal organizacin internacional de seguridad de redes e
internet, conformada por los equipos de seguridad de mayor
prestigio en el mundo: mas de 200 equipos en 42 pases.
Son integrantes del FIRST los principales proveedores de
servicios de telecomunicaciones; quienes promueven, coordinan
y ejecutan actividades de proteccin y salvaguarda para la
seguridad de sus clientes y usuarios.
Interaccin con otros Equipos de Seguridad
Algunos miembros del FIRTS:
Agenda
Antecedentes
Security Operation Center - SOC
Operacin de un SOC
Principales Beneficios
Servicios de un SOC
Sntesis final
Principales Beneficios
Reduccin de Riesgos y Amenazas.
Mayor Disponibilidad de sus servicios
Identificacin y Prevencin de Vulnerabilidades.
Optimizar la capacidad de respuesta operativa.
Implementacin de polticas y reglas claras.
Centralizacin de los Registros de Datos.
Mejorar la generacin de informes y reportes.
Mayor seguridad para sus servicios y productos.
Agenda
Antecedentes
Security Operation Center - SOC
Operacin de un SOC
Beneficios
Servicios de un SOC
Sntesis final
Prevencin Respuesta al I ncidente
Deteccin y
Alerta
Temprana
Exploracin de la
web
Monitorizacin
del dominio
(Anti-Pharming)
Informes de
Spam
Buzones e-mail
trampa
Anlisis
Forense
Recavar
informacin
relevante (lista de
victimas reales,
usuarios y
contraseas,etc).
Reporte detallado
del ataque.
Ejecucin
Contramedidas
Dilucin de
informacin
(Tecnologa RCT
- Randomized
Credencial
Technology)
Cuentas trampa
Bloqueo IP
Eliminacin Web
Fraudulento
Comprobacin del ataque.
Anlisis de estructura del
ataque e ISP
correspondiente.
Envio de Formulario de
cese al ISP o
Coordinaciones con
terceros.
Bloqueo IP y DNS (atencin
7x24).
Coordinacin con terceros.
+
Servi ci o Anti -Phi shi ng
Consultora &
Soluciones
Autenticacin
Robusta (Firmas
digitales, Tokens)
Establecimiento SGSI
Anlisis
Vulnerabilidades -
Hacking tico
Prevencin
Productos /
Servi cios
Complementari os
Ataque de ingeniera social. Suplantando la identidad de una empresa
de confianza se solicita informacin sensible del usuario.
Antiphishi ng
E-mail fraudulento:
Para que estos mensajes parezcan aun ms reales, el
estafador suele incluir un vnculo falso que parece dirigir
al sitio Web legtimo, pero en realidad lleva a un sitio
falso o incluso a una ventana emergente que tiene
exactamente el mismo aspecto que el sitio Web oficial.
Antiphishi ng
Servidores
Red Int erna
SOC
SECURITY OPERATION CENTER
SOC
SECURITY OPERATION CENTER
Appliances de seguridad UTM
( Unified Threat Management )
Esquema Funcional
Cliente 1
GMS
Base de
Datos
Consolas
de Gestin
Cliente 2
Cliente 3
Serv idores de
Aplicacin
Serv icios
Externos
Intranet Intranet
FIREWALL
VPN
IPS
Filtro de Contenido
Red Inter na
DMZ Servicios
Web Cor r eo
INTERNET
El servicio de Seguridad Gestionada permite al cliente, delegarnos la
gestin de sus sistemas de seguridad perimetral (Monitorizacin y
Gestin de Cortafuegos,Gestin IDS e IPS, etc.).
Seguridad Gestionada
Otros servicios brindados por el SOC
Consultora
Implementacin de Sistemas de Gestin de Seguridad de la Informacin
Definicin de la poltica, estructura organizativa, procedimientos, procesos y
recursos necesarios para llevar a cabo la gestin de la seguridad de la informacin
con un enfoque orientado a la consecucin de los objetivos de la organizacin.
Planes de Contingencia Informtica
Prevencin y proteccin de la disponibilidad de los sistemas de informacin,
recursos y procesos crticos de la empresa frente a amenazas que pudieran afectar
a la continuidad del negocio.
Servicio Antifraude
Prevencin, proteccin y eliminacin de los riegos asociados con los fraudes
informticos (Phishing, Pharming, etc. )
Formaci n
Cursos y Talleres
Cursos y Talleres que abarcan temas especficos dentro del campo de la Seguridad
Informtica y cuyo objetivo es brindar capacitacin tcnica adems de difundir la
toma de conciencia de la Seguridad Informtica.
Eval uaci ones Tcni cas
Seguridad Wireless
Analiza los riesgos de acceso ilegal a la infraestructura wireless de la
empresa, detecta sus vulnerabilidades e implanta una solucin para
asegurarla.
Seguridad Interna
Anlisis y Proteccin contra los riesgos procedentes de empleados capaces de
violar la seguridad de los sistemas de informacin de la empresa.
Anlisis Forense
Anlisis detallado de escenarios resultado de acciones no autorizadas que se
producen en los sistemas de informacin de la empresa, identificacin el autor,
las causas y el mtodo empleado, implantacin de medidas correctivas.
Test de Intrusin
Deteccin del nivel de Seguridad Interna y Externa de los Sistemas de
Informacin de la empresa, determinando el grado de acceso que tendra un
atacante con intenciones maliciosas.
Otros servicios brindados por el SOC
Agenda
Antecedentes
Security Operation Center - SOC
Operacin de un SOC
Beneficios
Servicios de un SOC
Sntesis final
Sntesis final...
Contratar personas con experiencia, de preferencia certificados.
Documentar y verificar los procesos.
Prepararse para las comunicaciones en situaciones de crisis.
Establecer SLAs con los clientes, proveedores y socios.
Probar la continuidad de las operaciones peridicamente.
Mantener los contratos de soporte y proveedores.
Aprovechar las herramientas de gestin y de anlisis.
Planificar, preparar y probar la respuesta a incidentes.
Capacitacin especializada permanente.
T ves el muro,
pero los hackers
ven los agujeros
La seguri dad es al go ms que productos, l a
seguri dad no sl o depende de l a i nfraestructura...
DEPENDE DE QUIN EST DETRS DE ELLA !
Muchas Gracias !!!
Ing. Oswaldo Pelaes Len
Supervisin, Operacin y Seguridad de Redes
GERENTE
Tel efnica del Per S.A.A.
opelaes@tp.com.pe