Professional Documents
Culture Documents
Contenido
Que es SOC?
Segn Wikipedia: Is an Information Security function within the company or of separate organization that delivers IT security services. The mission is risk management through centralized analysis using the combined resources consisting of personnel, dedicated hardware and specialized software. Typically, these systems operate constantly.
Que es SOC?
Tal como lo dicen sus siglas, SOC es una unidad que permite la gestin de la seguridad (Confidencialidad, Integridad y Disponibilidad) mediante la operacin centralizada de sistemas dedicados a ello. Cuando hablamos de unidad podemos referirnos a:
Se traduce en..
Opcionales...
Por qu un SOC?
Separacin de funciones (SoD): NOC, SOC, administradores. Ms eficiencia al tener un grupo dedicado a los asuntos de seguridad. Ms calidad en los anlisis ante incidentes o eventos significativos de seguridad. Se protege Transversalmente.
Por qu un SOC?
Reduccin de costos - prdida de informacin. Eficiencia en costos - automatizacin. Transferencia de costos outsourcing. Recuperacin de costos - serv. de Exportacin.
SOC - Procesos
Permiten definir quin es responsable de hacer Cules tareas. Orientado a las necesidades del negocio. Jerarquas en las actividades del SOC. Procesos estratgicos, tecnolgicos, operativos y analticos.
SOC - Procesos
Tomado de: ArcSight Inc. 2010. Articulo: Building a Successful Security Operations Center
SOC - Procesos
SOC - Procesos
SOC - Procedimientos
SOC - Procedimientos
Categora Proceso Estratgico Proceso SOC Procedimiento Reporte Mtricas Reporte indicadores Descripcin Describe los pasos para el reporte de indicadores Describe los pasos para solicitar, aprobar y garantizar el acceso a las herramientas del SOC Describe la informacin a ser compartida y revisada en el registro de cambio de turno para asegurarse que no hay lagunas de informacin en dicho cambio Describe la informacin a ser introducida en el sistema de gestin documental, con los respectivos formatos y caractersticas.
Operativo
Operaciones Diarias
Cambio de turnos
Analtico
Gestin de Incidentes
Reporte de incidente
SOC - Personal
Seleccin.
Habilidades, destrezas.
Entrenamiento.
SOC - Relaciones
POC (Points Of Contacts). Relaciones internas - Con otras reas (RRHH, rea legal, ingeniera, entre otros). Relaciones externas - proveedores, gobierno local y nacional.
SOC Relaciones
Ejemplo: Amenaza de virus
Tomado de: Foreman, Park. 2003. Articulo: Implementing a Security Operation Center.
SOC - Tecnologa
Capacidades
SOC - Tecnologa
Limitaciones
Defensa nuevos y sofisticados ataques. Defensa ataques directos. Investigacin automtica. Calidad de datos.
La deteccin hace parte de las actividades operativas del SOC. El anlisis hace parte de las actividades que surgen de un punto de decisin .
Tomado de: ArcSight Inc. 2010. Articulo: Building a Successful Security Operations Center.
Conceptos Tcnicos
Generadores de eventos (Bloque E). Recolectores de eventos (Bloque C). Base de datos de eventos (Bloque D). Motores de anlisis (Bloque A). Gestin-reaccin (Bloque R).
Conceptos Tcnicos
Arquitectura
Tomado de: Bidou, Renaud . Articulo: Security Operation Center Concepts & Implementation.
Generadores de Eventos
Bloque E
Recolectores de Eventos
Bloque C
Sockets. Colas.
Motores de Anlisis
Bloque A
Motores de correlacin:
Manejo de cardinalidad en eventos. Manejo bsico de falsos positivos. Convergencia de patrones de secuencia y tiempo. Convergencia con polticas de seguridad. Correlacin con vulnerabilidades.
Gestin-reaccin
Bloque R
Estrategia de seguridad. Anlisis estadstico. Instancias legales. SLA's. Herramientas de reportera. Herramientas de documentacin (Tickets). Flujos de trabajo. CERT (Computer Emergency Response Teams).
Estructurales (P.ej. Buffer Overflow). Funcionales (Servicios expuestos). Basados en topologa (Spoofing, Sniffing, etc.).
Conceptos Tcnicos
Arquitectura
Tomado de: Bidou, Renaud . Articulo: Security Operation Center Concepts & Implementation.
IMPLEMENTACIN
SOC
1. Anlisis de riesgos
Justificar la inversin:
Evaluacin cualitativa y cuantitativa. SLE (Single Loss Expectancy). ARO (Annualized Rate of Ocurrance). ALE (Annual Loss Expectancy).
2. Establecer gobierno
3. Parmetros tecnolgicos
Establecer zonas a proteger. Definir estrategias para captura del trfico. Mtricas de red y estados de sistema. Anlisis de despliegue de las sondas.
3. Parmetros Tecnolgicos
Ejemplo NIDS
Tomado de: Gonzlez Gmez, Diego. 2003. Version 1.01. Sistemas de Deteccin de Intrusiones.
3. Parmetros Tecnolgicos
Ejemplo HIDS
Tomado de: Gonzlez Gmez, Diego. 2003. Version 1.01. Sistemas de Deteccin de Intrusiones.
4. Definir Tecnologas
Sistema gestin tickets Motor de correlacin
NIDS's HIDS's
Bases de datos
Sistema de antivirus
5. Ejecutar implementacin
Posicionamiento fsico de los dispositivos. Despliegue instalacin de agentes y componentes. Parametrizacin de herramientas y sistemas. Afinacin de herramientas.
SOC y Outsourcing
Generalmente las tareas relacionadas con la implementacin y operacin de un SOC se realizan a travs de outsourcing. Por qu:
Tienen personal especializado en seguridad. Tienen mayor experiencia en la operacin y administracin de temas relacionados con seguridad. Hay transferencia de costos actualizacin de componentes. sobre mantenimiento y
SOC y Outsourcing
Analizar relacin costo/beneficio para la organizacin. RFP para definir lo requerimientos a ser definidos en la propuesta del proveedor.
Acuerdos de confidencialidad. Acuerdos de niveles de servicio. Responsabilidades sobre mantenimiento y actualizacin de componentes (SW y HW).
Conclusiones
La seguridad debe ser un tema estratgico dentro de una compaa, por lo tanto la implementacin de un SOC debe ser un tema siempre presente. La implementacin de un SOC no es un tema de 1 da. Es un tema de planificacin que tiene que ser bien pensado. Es necesario hacer un anlisis teniendo en cuenta diferentes factores como presupuesto, alcance y riesgos. Un SOC es SOLO UNA PARTE de toda la estrategia de seguridad.
Bibliografa
ArcSight Inc. 2010. Articulo: Building a Successful Security Operations Center Marchany, Randy. Presentacin: Building a Security Operation Center Gonzlez Gmez, Diego. 2003. Version 1.01. Sistemas de Deteccin de Intrusiones Foreman, Park. 2003. Articulo: Implementing a Security Operation Center. Bidou, Renaud . Articulo: Security Operation Center Concepts & Implementation. SOC Colombia. 2010. Artculo: Arquitectura SOC Colombia.
Contctenos
http://www.fluidsignal.com/ http://twitter.com/fluidsignal http://www.youtube.com/fluidsignal mercadeo.ventas@fluidsignal.com +57 (1) 2697800, +57 (4) 4442637 +57 3108408002, +57 3136601911
Facebook: http://www.facebook.com/fluidsignal
Clausula Legal
Copyright 2010 Fluidsignal Group Todos los derechos reservados Este documento contiene informacin de propiedad de Fluidsignal Group. El cliente puede usar dicha informacin slo con el propsito de documentacin sin poder divulgar su contenido a terceras partes ya que contiene ideas, conceptos, precios y estructuras de propiedad de Fluidsignal Group S.A. La clasificacin "propietaria" significa que sta informacin es slo para uso de las personas a quienes esta dirigida. En caso de requerirse copias totales o parciales se debe contar con la autorizacin expresa y escrita de Fluidsignal Group S.A. Las normas que fundamentan la clasificacin de la informacin son los artculos 72 y siguientes de la decisin del acuerdo de Cartagena, 344 de 1.993, el artculo 238 del cdigo penal y los artculos 16 y siguientes de la ley 256 de 1.996.