Conceptos Bsicos

para la implementacin
de un SOC
Fluidsignal Group S.A.
2011/06/23

Contenido

Qu es SOC?

Por qu un
SOC?

Procesos
Procedimientos
Personal
Relaciones

Tecnologa
Deteccin vs
Anlisis

Conceptos Tcnicos

Implementacin

SOC y Outsourcing

Conclusiones

Que es SOC?
Segn Wikipedia:
Is an Information Security function within the company or
of separate organization that delivers IT security
services.
The mission is risk management through centralized
analysis using the combined resources consisting of
personnel, dedicated hardware and specialized software.
Typically, these systems operate constantly.

Que es SOC?
Tal como lo dicen sus siglas, SOC es una unidad
que permite la gestin de la seguridad
(Confidencialidad, Integridad y Disponibilidad)
mediante la operacin centralizada de sistemas
dedicados a ello. Cuando hablamos de unidad
podemos referirnos a:

Una persona.

Un grupo de personas.

Varios grupos de personas.

Se traduce en..

Opcionales...

Por qu un SOC?

Separacin de funciones (SoD): NOC, SOC,

administradores.
Ms eficiencia al tener un grupo dedicado a los
asuntos de seguridad.
Ms calidad en los anlisis ante incidentes o eventos
significativos de seguridad.
Se protege Transversalmente.

Por qu un SOC?

Reduccin de costos - prdida de informacin.

Eficiencia en costos - automatizacin.

Transferencia de costos outsourcing.

Recuperacin de costos - serv. de Exportacin.

SOC - Procesos

Permiten definir quin es responsable de hacer Cules

tareas.

Orientado a las necesidades del negocio.

Jerarquas en las actividades del SOC.

Procesos estratgicos, tecnolgicos, operativos y

analticos.

SOC - Procesos

Tomado de: ArcSight Inc. 2010. Articulo: Building a Successful Security Operations Center

SOC - Procesos

Tomado de: SOC Colombia. 2010. Artculo: Arquitectura SOC Colombia.

SOC - Procesos

SOC - Procedimientos

Saber qu hacer?

Saber cmo se va a hacer?

Saber cundo se va a hacer?

Escalamiento.

SOC - Procedimientos
Categora
Proceso
Estratgico

Proceso SOC Procedimiento

Reporte
Mtricas

Reporte
indicadores

Administracin
Administracin
Tecnolgico
de Accesos de
del sistema
usuario

Operativo

Analtico

Operaciones
Diarias

Gestin de
Incidentes

Descripcin
Describe los pasos para el reporte de
indicadores
Describe los pasos para solicitar,
aprobar y garantizar el acceso a las
herramientas del SOC

Cambio de
turnos

Describe la informacin a ser

compartida y revisada en el registro de
cambio de turno para asegurarse que
no hay lagunas de informacin en
dicho cambio

Reporte de
incidente

Describe la informacin a ser

introducida en el sistema de gestin
documental, con los respectivos
formatos y caractersticas.

SOC - Personal

Seleccin.

Carrera progresiva y rotativa.

Habilidades, destrezas.

Diferentes conocimientos y de ms nivel de profundidad.

Entrenamiento.

Conceptos de seguridad.

Certificaciones.

Procedimientos.

SOC - Relaciones

POC (Points Of Contacts).

Relaciones internas - Con otras reas (RRHH,
rea legal, ingeniera, entre otros).
Relaciones externas - proveedores, gobierno
local y nacional.

SOC Relaciones
Ejemplo: Amenaza de virus

Tomado de: Foreman, Park. 2003. Articulo: Implementing a Security Operation Center.

SOC - Tecnologa
Capacidades

Monitoreo.

Ataques conocidos.

Claridad.

Tiempo real.

Registro informes.

Alarmas.

Sencillez de uso.

Actualizacin.

Comprobacin
continua.
Correlacin.

SOC - Tecnologa
Limitaciones

Falsos positivos.

Falsos negativos.

Recursos.

Sobrecarga.

Cifrado.

Ipv6.

Defensa nuevos y
sofisticados ataques.
Defensa ataques
directos.
Investigacin
automtica.
Calidad de datos.

Deteccin VS. Anlisis

La deteccin hace parte de las actividades

operativas del SOC.
El anlisis hace parte de las actividades que
surgen de un punto de decisin .

Tomado de: ArcSight Inc. 2010. Articulo: Building a Successful Security Operations Center.

Conceptos Tcnicos

La arquitectura tcnica de un SOC est

compuesto por mdulos (Bloques):

Generadores de eventos (Bloque E).

Recolectores de eventos (Bloque C).

Base de datos de eventos (Bloque D).

Motores de anlisis (Bloque A).

Gestin-reaccin (Bloque R).

Base de datos de conocimiento (Bloque K).

Conceptos Tcnicos
Arquitectura

Tomado de: Bidou, Renaud . Articulo: Security Operation Center Concepts & Implementation.

Generadores de Eventos
Bloque E

NIDS's.

Servidores RADIUS.

HIDS's.

SNMP.

Routers.

Switch.

Firewalls.

Recolectores de Eventos
Bloque C

Syslog.

Sockets.

SNMP.

Colas.

SMTP.

HTTP.

Base de datos de Eventos

Bloque D

Alertas.

Datos estadsticos.

Bases de datos.

Mensajes.

Motores de Anlisis
Bloque A

Motores de correlacin:

Manejo de cardinalidad en eventos.

Manejo bsico de falsos positivos.

Convergencia de patrones de secuencia y tiempo.

Convergencia con polticas de seguridad.

Correlacin con vulnerabilidades.

Gestin-reaccin
Bloque R

Actividades para gestin de incidentes y eventos relevantes.

Acoplamiento entre:

Estrategia de seguridad.

Anlisis estadstico.

Instancias legales.

SLA's.

Herramientas de reportera.

Herramientas de documentacin (Tickets).

Flujos de trabajo.

CERT (Computer Emergency Response Teams).

Base de datos de Conocimiento

Bloque K

Base de datos de vulnerabilidades.

Estructurales (P.ej. Buffer Overflow).

Funcionales (Servicios expuestos).

Basados en topologa (Spoofing, Sniffing, etc.).

Estados de sistema.

Lneas base, checklists, configuraciones.

Conceptos Tcnicos
Arquitectura

Tomado de: Bidou, Renaud . Articulo: Security Operation Center Concepts & Implementation.

IMPLEMENTACIN
SOC

1. Anlisis de riesgos

Justificar la inversin:

Evaluacin cualitativa y cuantitativa.

SLE (Single Loss Expectancy).

ARO (Annualized Rate of Ocurrance).

ALE (Annual Loss Expectancy).

2. Establecer gobierno

Responsabilidades de c/u reas de TI y el SOC.

Alcance de la implementacin (Activos).

Procesos.

Procedimientos.

3. Parmetros tecnolgicos

Establecer zonas a
proteger.
Definir estrategias para
captura del trfico.
Mtricas de red y
estados de sistema.
Anlisis de despliegue
de las sondas.

3. Parmetros Tecnolgicos
Ejemplo NIDS

Tomado de: Gonzlez Gmez, Diego. 2003. Version 1.01. Sistemas de Deteccin de Intrusiones.

3. Parmetros Tecnolgicos
Ejemplo HIDS

Tomado de: Gonzlez Gmez, Diego. 2003. Version 1.01. Sistemas de Deteccin de Intrusiones.

4. Definir Tecnologas
Sistema
gestin
tickets

NIDS's
HIDS's

Motor de
correlacin

Consolas de
administracin
Capacidades y
limitaciones
Scanner
vulnerabilidades

Bases de
datos

Sistema de
antivirus

5. Ejecutar implementacin

Posicionamiento fsico de los dispositivos.

Despliegue instalacin de agentes y
componentes.

Parametrizacin de herramientas y sistemas.

Afinacin de herramientas.

SOC y Outsourcing

Generalmente las tareas relacionadas con la

implementacin y operacin de un SOC se realizan a
travs de outsourcing.
Por qu:

Tienen personal especializado en seguridad.

Tienen mayor experiencia en la operacin y administracin de
temas relacionados con seguridad.
Hay transferencia de costos
actualizacin de componentes.

sobre

mantenimiento

Puede tomarse como un contrato de servicios.

SOC y Outsourcing

Es necesario tener en cuenta:

Analizar relacin costo/beneficio para la organizacin.

RFP para definir lo requerimientos a ser definidos en
la propuesta del proveedor.

Acuerdos de confidencialidad.
Acuerdos de niveles de servicio.
Responsabilidades sobre mantenimiento y actualizacin de
componentes (SW y HW).

Ajustes para la correcta contratacin (Puntos de

contacto, logstica, entre otros.)

Conclusiones

La seguridad debe ser un tema estratgico dentro de una

compaa, por lo tanto la implementacin de un SOC
debe ser un tema siempre presente.
La implementacin de un SOC no es un tema de 1 da. Es
un tema de planificacin que tiene que ser bien pensado.
Es necesario hacer un anlisis teniendo en cuenta
diferentes factores como presupuesto, alcance y riesgos.
Un SOC es SOLO UNA PARTE de toda la estrategia de
seguridad.

Bibliografa

ArcSight Inc. 2010. Articulo: Building a Successful Security

Operations Center
Marchany, Randy. Presentacin: Building a Security
Operation Center
Gonzlez Gmez, Diego. 2003. Version 1.01. Sistemas de
Deteccin de Intrusiones
Foreman, Park. 2003. Articulo: Implementing a Security
Operation Center.
Bidou, Renaud . Articulo: Security Operation Center Concepts
& Implementation.
SOC Colombia. 2010. Artculo: Arquitectura SOC Colombia.

Contctenos

Web:

http://www.fluidsignal.com/

Twitter:

http://twitter.com/fluidsignal

Youtube:

http://www.youtube.com/fluidsignal

Facebook: http://www.facebook.com/fluidsignal

Correo:

mercadeo.ventas@fluidsignal.com

Telfono:

+57 (1) 2697800, +57 (4) 4442637

Celular:

+57 3108408002, +57 3136601911

Ubicacin: Calle 7D 43A-99 Oficina 509 Torre Almagran

Clausula Legal
Copyright 2010 Fluidsignal Group
Todos los derechos reservados
Este documento contiene informacin de propiedad de Fluidsignal Group.
El cliente puede usar dicha informacin slo con el propsito de
documentacin sin poder divulgar su contenido a terceras partes ya que
contiene ideas, conceptos, precios y estructuras de propiedad de
Fluidsignal Group S.A. La clasificacin "propietaria" significa que sta
informacin es slo para uso de las personas a quienes esta dirigida. En
caso de requerirse copias totales o parciales se debe contar con la
autorizacin expresa y escrita de Fluidsignal Group S.A. Las normas que
fundamentan la clasificacin de la informacin son los artculos 72 y
siguientes de la decisin del acuerdo de Cartagena, 344 de 1.993, el
artculo 238 del cdigo penal y los artculos 16 y siguientes de la ley 256
de 1.996.