Conceptos Bsicos para la implementacin de un SOC

Fluidsignal Group S.A.

2011/06/23

Contenido

Qu es SOC? Por qu un SOC? Procesos Procedimientos Personal Relaciones

Tecnologa Deteccin vs Anlisis Conceptos Tcnicos Implementacin SOC y Outsourcing Conclusiones

Que es SOC?
Segn Wikipedia: Is an Information Security function within the company or of separate organization that delivers IT security services. The mission is risk management through centralized analysis using the combined resources consisting of personnel, dedicated hardware and specialized software. Typically, these systems operate constantly.

Que es SOC?
Tal como lo dicen sus siglas, SOC es una unidad que permite la gestin de la seguridad (Confidencialidad, Integridad y Disponibilidad) mediante la operacin centralizada de sistemas dedicados a ello. Cuando hablamos de unidad podemos referirnos a:

Una persona. Un grupo de personas. Varios grupos de personas.

Se traduce en..

Opcionales...

Por qu un SOC?

Separacin de funciones (SoD): NOC, SOC, administradores. Ms eficiencia al tener un grupo dedicado a los asuntos de seguridad. Ms calidad en los anlisis ante incidentes o eventos significativos de seguridad. Se protege Transversalmente.

Por qu un SOC?

Reduccin de costos - prdida de informacin. Eficiencia en costos - automatizacin. Transferencia de costos outsourcing. Recuperacin de costos - serv. de Exportacin.

SOC - Procesos

Permiten definir quin es responsable de hacer Cules tareas. Orientado a las necesidades del negocio. Jerarquas en las actividades del SOC. Procesos estratgicos, tecnolgicos, operativos y analticos.

SOC - Procesos

Tomado de: ArcSight Inc. 2010. Articulo: Building a Successful Security Operations Center

SOC - Procesos

Tomado de: SOC Colombia. 2010. Artculo: Arquitectura SOC Colombia.

SOC - Procesos

SOC - Procedimientos

Saber qu hacer? Saber cmo se va a hacer? Saber cundo se va a hacer? Escalamiento.

SOC - Procedimientos
Categora Proceso Estratgico Proceso SOC Procedimiento Reporte Mtricas Reporte indicadores Descripcin Describe los pasos para el reporte de indicadores Describe los pasos para solicitar, aprobar y garantizar el acceso a las herramientas del SOC Describe la informacin a ser compartida y revisada en el registro de cambio de turno para asegurarse que no hay lagunas de informacin en dicho cambio Describe la informacin a ser introducida en el sistema de gestin documental, con los respectivos formatos y caractersticas.

Administracin Administracin Tecnolgico de Accesos de del sistema usuario

Operativo

Operaciones Diarias

Cambio de turnos

Analtico

Gestin de Incidentes

Reporte de incidente

SOC - Personal

Seleccin.

Habilidades, destrezas.

Carrera progresiva y rotativa.

Diferentes conocimientos y de ms nivel de profundidad.

Entrenamiento.

Conceptos de seguridad. Certificaciones. Procedimientos.

SOC - Relaciones

POC (Points Of Contacts). Relaciones internas - Con otras reas (RRHH, rea legal, ingeniera, entre otros). Relaciones externas - proveedores, gobierno local y nacional.

SOC Relaciones
Ejemplo: Amenaza de virus

Tomado de: Foreman, Park. 2003. Articulo: Implementing a Security Operation Center.

SOC - Tecnologa
Capacidades

Monitoreo. Claridad. Registro informes. Comprobacin continua. Correlacin.

Ataques conocidos. Tiempo real. Alarmas. Sencillez de uso. Actualizacin.

SOC - Tecnologa
Limitaciones

Falsos positivos. Falsos negativos. Recursos. Sobrecarga. Cifrado. Ipv6.

Defensa nuevos y sofisticados ataques. Defensa ataques directos. Investigacin automtica. Calidad de datos.

Deteccin VS. Anlisis

La deteccin hace parte de las actividades operativas del SOC. El anlisis hace parte de las actividades que surgen de un punto de decisin .

Tomado de: ArcSight Inc. 2010. Articulo: Building a Successful Security Operations Center.

Conceptos Tcnicos

La arquitectura tcnica de un SOC est compuesto por mdulos (Bloques):

Generadores de eventos (Bloque E). Recolectores de eventos (Bloque C). Base de datos de eventos (Bloque D). Motores de anlisis (Bloque A). Gestin-reaccin (Bloque R).

Base de datos de conocimiento (Bloque K).

Conceptos Tcnicos
Arquitectura

Tomado de: Bidou, Renaud . Articulo: Security Operation Center Concepts & Implementation.

Generadores de Eventos
Bloque E

NIDS's. HIDS's. Routers. Firewalls.

Servidores RADIUS. SNMP. Switch.

Recolectores de Eventos
Bloque C

Syslog. SNMP. SMTP. HTTP.

Sockets. Colas.

Base de datos de Eventos

Bloque D

Alertas. Datos estadsticos. Bases de datos. Mensajes.

Motores de Anlisis
Bloque A

Motores de correlacin:

Manejo de cardinalidad en eventos. Manejo bsico de falsos positivos. Convergencia de patrones de secuencia y tiempo. Convergencia con polticas de seguridad. Correlacin con vulnerabilidades.

Gestin-reaccin
Bloque R

Actividades para gestin de incidentes y eventos relevantes. Acoplamiento entre:

Estrategia de seguridad. Anlisis estadstico. Instancias legales. SLA's. Herramientas de reportera. Herramientas de documentacin (Tickets). Flujos de trabajo. CERT (Computer Emergency Response Teams).

Base de datos de Conocimiento

Bloque K

Base de datos de vulnerabilidades.

Estructurales (P.ej. Buffer Overflow). Funcionales (Servicios expuestos). Basados en topologa (Spoofing, Sniffing, etc.).

Estados de sistema. Lneas base, checklists, configuraciones.

Conceptos Tcnicos
Arquitectura

Tomado de: Bidou, Renaud . Articulo: Security Operation Center Concepts & Implementation.

IMPLEMENTACIN
SOC

1. Anlisis de riesgos

Justificar la inversin:

Evaluacin cualitativa y cuantitativa. SLE (Single Loss Expectancy). ARO (Annualized Rate of Ocurrance). ALE (Annual Loss Expectancy).

2. Establecer gobierno

Responsabilidades de c/u reas de TI y el SOC. Alcance de la implementacin (Activos). Procesos. Procedimientos.

3. Parmetros tecnolgicos

Establecer zonas a proteger. Definir estrategias para captura del trfico. Mtricas de red y estados de sistema. Anlisis de despliegue de las sondas.

3. Parmetros Tecnolgicos
Ejemplo NIDS

Tomado de: Gonzlez Gmez, Diego. 2003. Version 1.01. Sistemas de Deteccin de Intrusiones.

3. Parmetros Tecnolgicos
Ejemplo HIDS

Tomado de: Gonzlez Gmez, Diego. 2003. Version 1.01. Sistemas de Deteccin de Intrusiones.

4. Definir Tecnologas
Sistema gestin tickets Motor de correlacin

NIDS's HIDS's

Consolas de administracin Capacidades y limitaciones Scanner vulnerabilidades

Bases de datos

Sistema de antivirus

5. Ejecutar implementacin

Posicionamiento fsico de los dispositivos. Despliegue instalacin de agentes y componentes. Parametrizacin de herramientas y sistemas. Afinacin de herramientas.

SOC y Outsourcing

Generalmente las tareas relacionadas con la implementacin y operacin de un SOC se realizan a travs de outsourcing. Por qu:

Tienen personal especializado en seguridad. Tienen mayor experiencia en la operacin y administracin de temas relacionados con seguridad. Hay transferencia de costos actualizacin de componentes. sobre mantenimiento y

Puede tomarse como un contrato de servicios.

SOC y Outsourcing

Es necesario tener en cuenta:

Analizar relacin costo/beneficio para la organizacin. RFP para definir lo requerimientos a ser definidos en la propuesta del proveedor.

Acuerdos de confidencialidad. Acuerdos de niveles de servicio. Responsabilidades sobre mantenimiento y actualizacin de componentes (SW y HW).

Ajustes para la correcta contratacin (Puntos de contacto, logstica, entre otros.)

Conclusiones

La seguridad debe ser un tema estratgico dentro de una compaa, por lo tanto la implementacin de un SOC debe ser un tema siempre presente. La implementacin de un SOC no es un tema de 1 da. Es un tema de planificacin que tiene que ser bien pensado. Es necesario hacer un anlisis teniendo en cuenta diferentes factores como presupuesto, alcance y riesgos. Un SOC es SOLO UNA PARTE de toda la estrategia de seguridad.

Bibliografa

ArcSight Inc. 2010. Articulo: Building a Successful Security Operations Center Marchany, Randy. Presentacin: Building a Security Operation Center Gonzlez Gmez, Diego. 2003. Version 1.01. Sistemas de Deteccin de Intrusiones Foreman, Park. 2003. Articulo: Implementing a Security Operation Center. Bidou, Renaud . Articulo: Security Operation Center Concepts & Implementation. SOC Colombia. 2010. Artculo: Arquitectura SOC Colombia.

Contctenos

Web: Twitter: Youtube: Correo: Telfono: Celular:

http://www.fluidsignal.com/ http://twitter.com/fluidsignal http://www.youtube.com/fluidsignal mercadeo.ventas@fluidsignal.com +57 (1) 2697800, +57 (4) 4442637 +57 3108408002, +57 3136601911

Facebook: http://www.facebook.com/fluidsignal

Ubicacin: Calle 7D 43A-99 Oficina 509 Torre Almagran

Clausula Legal
Copyright 2010 Fluidsignal Group Todos los derechos reservados Este documento contiene informacin de propiedad de Fluidsignal Group. El cliente puede usar dicha informacin slo con el propsito de documentacin sin poder divulgar su contenido a terceras partes ya que contiene ideas, conceptos, precios y estructuras de propiedad de Fluidsignal Group S.A. La clasificacin "propietaria" significa que sta informacin es slo para uso de las personas a quienes esta dirigida. En caso de requerirse copias totales o parciales se debe contar con la autorizacin expresa y escrita de Fluidsignal Group S.A. Las normas que fundamentan la clasificacin de la informacin son los artculos 72 y siguientes de la decisin del acuerdo de Cartagena, 344 de 1.993, el artculo 238 del cdigo penal y los artculos 16 y siguientes de la ley 256 de 1.996.