Integración SIEM-SOC: Ciberseguridad-privacidad motores clave y esencia de la accesibilidad y sostenibilidad real y creíble

Los ciberataques cada día van en aumento, son más constantes y su sofisticación es cada vez más elevada. En todo ciberataque se pueden identificar diferentes aspectos: motivación (objetivos y recursos), descubrimiento (recogida de datos e identificación de objetivos), sondeo (identificación de vulnerabilidades, escaneos y enumeración), penetración (obtener el acceso, crear posición), escalado (obtener el escalado de privilegios, el acceso a la raíz), expansión (establecer múltiples posiciones, caminos y puertas traseras), persistencia (ofuscación, presencia) y ejecución (explotación, exfiltración, ataques para realizar los objetivos). Según Cisco 2018 ‘Security Capabilities Benchmark Study’ el porcentaje de alertas no investigadas por país o región es entre otras la siguiente: de entre un 60% y un 70% en República China, del 50% en Alemania, del 50% en México, del 30% en Australia, del 51% en España y Francia, etc.

La ciberseguridad es un proceso continuo de monitorización, análisis, actuación y remedios que abarca diversos niveles: redes, puntos finales OT/IT (servidores, PLCs, máquinas, robots (físicos operando como soldadores, locutores de TV, etc. y software en forma de bots por ejemplo, chatbots o bien agentes móviles para la búsqueda en Internet de información específica, por ejemplo, delincuentes con geolocalización de objetivos), dispositivos de computación o hosts, componentes IoT/IIoT con conectividad LoRaWAN, Bluetooth, RFID-NFC, WiFi, ZigBee, etc.), aplicaciones o APPs, usuarios, procesos, etc. La ciberseguridad es mucho más que una simple funcionalidad o tecnología habilitadora de la Industria 4.0 y la transformación digital, va más allá, ya que representa su ADN, la sustenta, la hace desarrollarse, la hace ciber-resiliente y la hace sobrevivir. Es el núcleo de la innovación, sostenibilidad, accesibilidad, etc.

La ciberseguridad puede verse como un ciclo continuo de predicción (valoración proactiva de exposiciones, predicción de ataques y exploración de la línea de base a nivel de todos los sistemas), prevención (proteger, resistir-resiliencia, endurecer y aislar sistemas, desviar a los atacantes (por ejemplo, con señuelos, tecnología DDP/Distributed Deception Platform, honeypots-honeynets, ciber-laberintos, malware-trap, ciber-cárceles, etc.) y anticiparse a ciber-incidentes), detección (detectar anticipadamente incidentes (con agentes móviles, funciones criptográficas hash/MAC, firma digital y tecnología PUF), conformar, priorizar y contener ciber-incidentes) y respuesta (remediar, hacer cambios, reconfigurar, modificar diseño y modelo, investigar y realizar labores forenses tolerantes a técnicas anti-forenses).

La Asamblea General de la ONU adoptó el pasado 25 de septiembre de 2015 la Agenda 2030 para el Desarrollo Sostenible, un plan de acción a favor de las personas, medio ambiente, nuestro planeta y prosperidad, entre los objetivos que plantea se encuentra la salud y bienestar, la industria, la innovación, las infraestructuras, etc. Aquí es donde ciberseguridad y privacidad se presentan como el pilar maestro y la piedra angular clave para una defensa y desarrollo adecuado (defendiendo de ciber-ataques que causen daños a personas, medio ambiente o recursos, aportando ciber-resiliencia y amparando al ser humano, infraestructuras, negocios, industria, etc.). La capacidad de poder acceder a tiempo a nuestros datos y recursos cuando lo necesitemos (y evitar posibles secuestros vía ransomware y ralentizaciones no autorizadas vía inundaciones y DDoS/DoS) se correlaciona con la accesibilidad, disponibilidad y fiabilidad cada vez más ciber-atacadas utilizando ciber-amenazas estilo ransomware como Crypto-Locker y todos sus derivados WannaCry, Petya, NotPetya, BadRabbit, etc., aumento de los ciberataques a DNS, envenenamientos ARP/DNS, etc.

En un ciber-ataque se pueden identificar diversas fases:

1. Reconocimiento. El ciber-atacante identifica e investiga objetivos. Por ejemplo, minar sitios Web corporativos, listas online de asistentes a eventos, etc. El uso de sensores en redes y dispositivos de computación no sólo proporciona indicaciones de la fase de reconocimiento de un ciber-ataque y sus actividades de exploración sino también puede revelar la presencia de herramientas de acceso remoto utilizadas en las fases de control y exploración.
2. Armarse. Se empaqueta un conjunto de herramientas de ataque para entregarse y ejecutarse en la red y/o computador de la víctima. Por ejemplo, el ciber-atacante crea un fichero troyanizado con una cierta extensión, por ejemplo, .pdf, .zip, etc. que contiene sus herramientas de ciber-ataque o ciber-armas iniciales.
3. Entrega-distribución. Las herramientas de ciber-ataque empaquetadas se entregan a su destino o destinos. Por ejemplo, el ciber-atacante envía por mensajería instantánea, correo electrónico, etc. vía spear-phishing/m-spam el adjunto que contiene el fichero troyanizado a su(s) víctima(s)/destino(s). También se puede dejar en un sitio Web o en un correo electrónico en forma de un link que dispara la descarga del ciber-contaminante.
4. Explotación. Se ejecuta el ciber-ataque inicial en el objetivo(s). Por ejemplo, el usuario objetivo abre el fichero (que puede tener diferentes formatos: pdf, ppt, jpg, zip, doc, etc.) malicioso y el malware se ejecuta. También puede ejecutarse al pinchar un link malicioso que llame mucho nuestra atención.
5. Control. El ciber-atacante empieza a dirigirse a los recursos o sistemas de la víctima para tomar las acciones maliciosas deseadas (espiar, robar, secuestrar, reprogramar PLCs, trastornar procesos industriales, bloquear robots/vehículos conectados, redirigir drones, ralentizar, realizar procesamientos para el ciber-atacante como minar de forma no autorizada cripto-monedas, etc.). Por ejemplo, el ciber-atacante puede instalar herramientas adicionales o ciberarmas en los sistemas IT/OT de la víctima.
6. Ejecución. El ciber-atacante empieza a llevar a cabo sus requisitos de la misión. Por ejemplo, empieza a obtener los datos deseados, frecuentemente utilizando el sistema de la víctima como un punto de lanzamiento para obtener-acceder a sistemas y recursos internos adicionales y acceso a redes.
7. Mantenimiento. Se realiza un acceso continuado a corto, medio o largo plazo. Por ejemplo, el ciber-atacante ha establecido puertas traseras ocultas en la red o dispositivos de computación de la víctima para permitir una reentrada regular (para seguir espiando o dañando el entorno IT-OT de la víctima). En ciberseguridad existen diferentes actores: personas, tecnologías, procesos, metodologías, arquitecturas, herramientas, políticas, técnicas, estrategias, procedimientos, estándares, modelos, buenas prácticas, enfoques, métodos, tácticas, etc.

Para proteger entornos IT/OT a nivel de activos y riesgos operacionales cualquier organización, empresa, negocio, etc. donde se conjugan entornos IT (Information Technologies) y OT (Operacional Technologies) se deben aplicar/ejecutar/implantar las siguientes buenas prácticas:

1. Implantar servicios de protección contra DDoS/DoS.
2. Gestionar las actualizaciones y parches IT/OT de forma centralizada modalidades manual y automatizada.
3. Implantar WAF (Web Applicatión Firewall) como medida preventiva para sitios Web.
4. Implantar protección antivirus actualizada en todas las redes y sistemas finales (servidores, portátiles, equipos de computación de sobremesa, tablets, smartphones, dispositivos IoT, etc.) que soporte escaneo tanto automático como manual de modo que los usuarios puedan analizar los ficheros adjuntos sospechosos antes de abrirlos. Implantar un centro de análisis de unidades USB para explorar y sólo permitir la introducción de dichas unidades en el resto de dispositivos de un ecosistema IT-OT sólo si han sido escaneadas previamente y el resultado ha sido sin malware.
5. Implantar capacidades SIEM-SOC para detectar ataques a tiempo y poder actuar debidamente.
6. Implantar herramientas de auditoría software automatizadas y herramientas de gestión de vulnerabilidades y superficies de ataques para identificar y actuar frente a ellas. El software utilizado para implementar un ICS (Industrial Control System) puede ser vulnerable a buffer-overflows y/o a ciber-ataques DoS.
7. Implantar el cifrado y/o la esteganografía y ejecutar canales subliminares para transportar, almacenar y ejecutar toda la información sensible (contra posibles ataques a través de sniffers, spyware) y no almacenar información sensible donde pueda ser accedida públicamente. Gestionar centralizadamente las claves criptográficas. Firmar digitalmente y/o aplicar funciones hash/MAC a ficheros y datos para saber si han sido o no modificados.
8. Utilizar autenticación multi-factor (al menos de dos factores y si puede ser mutua mejor e incluso sin revelar la contraseña vía tecnología ZK) especialmente para autenticar cuentas con privilegios; emplear biometría multimodal (pero incluso puede ser ciber-atacada). Eliminar cuentas huérfanas; utilizar contraseñas de diez o más caracteres alfanuméricos (números, letras y caracteres especiales), en el caso de contraseñas más cortas utilizar un mecanismo de limitación del número de reintentos (por ejemplo, tres intentos en el caso de un PIN de cuatro caracteres numéricos de un móvil).
9. No permitir la reutilización de combinaciones nombre de usuario y contraseña idénticas para múltiples sistemas. No utilizar en más de un sitio (Web, BD, etc.) la misma contraseña. Que las contraseñas no se encuentren en el diccionario ni se puedan inferir de búsquedas en Redes Sociales. No comparta ni revele su contraseña.
10. Realizar copias de seguridad (o backup) con frecuencia y guardarlas en servidores dedicados lejanos que estén aislados de los segmentos de red utilizados para las operaciones del día a día; periódicamente comprobar que se pueden recuperar dichas copias. Se puede utilizar tecnología key-escrow o fragmentación Shamir para guardar la información a proteger distribuida.
11. Minimizar los privilegios de los usuarios y servicios tanto como sea posible.
12. Utilizar teclados virtuales para protegerse de posibles ataques basados en keyloggers hardware o software. Implantar tecnología Tempest basada en cajas de Faraday para evitar posibles fugas de datos basadas en emanaciones electromagnéticas.
13. Aplicar una política de contraseñas con longitud estricta y necesidades de complejidad (números, letras y caracteres especiales).
14. Exigir cambio de contraseña cada un número determinado de días.
15. Reemplazar todas las contraseñas por defecto por unas más robustas, de mayor entropía, que sean únicas.
16. Regularmente realizar test de penetración-intrusión (Pen-tests) para identificar nuevas superficies de ataque y vectores para ciber-atacar a la infraestructura interna y poder evaluar la efectividad de las medidas existentes.
17. Filtrar el tráfico para minimizar el número de interfaces de servicios de red accesibles a los atacantes externos.
18. Seguir la pista del número de peticiones entrantes por segundo, configurar servidores y dispositivos de red para resistir los ciber-ataques típicos como inundación SYN-TCP o UDP y sobrecargar bases de datos y saturar redes.
19. Monitorizar el perímetro de red para todos los nuevos recursos inseguros.
20. Mantener todo el software actualizado y no retardar gestionando adecuadamente la instalación de parches.
21. Regularmente auditar la seguridad de aplicaciones Web incluyendo análisis de código fuente para identificar y eliminar vulnerabilidades que pongan los sistemas y clientes de aplicación en riesgo de ataque; realizar auditorías estáticas y dinámicas.
22. Educar, formar y verificar a los empleados en relación a sus capacidades-habilidades y concienciación real frente a la ciberseguridad y sus vulnerabilidades frente a los ataques por ingeniería social.
23. Mejorar objetivamente la formación, concienciación y los controles de protección en ciberseguridad entre clientes, proveedores, socios corporativos, etc.
24. Informar de los eventos relacionados con la ciberseguridad y privacidad, como lo exige, por ejemplo, el GDPR.
25. Implantar y explicar protocolos sobre lo que los clientes deberían hacer si sospechan de fraude.
26. Aplicar protocolos de actuación en relación a que los clientes no introduzcan credenciales en sitios Web sospechosos y no dar dicha información de credenciales por correo electrónico, mensajería instantánea o teléfono.
27. Regularmente formar a los clientes sobre la forma de estar protegido online de la mayor parte de ciber-ataques comunes; cerrar la sesión antes de ausentarse de su puesto de trabajo (por ejemplo, tecleando control-alt-del); no preste su móvil a un extraño ni si quiera unos segundos ya que puede rápidamente descargarle un malware.
28. Utilizar una cuenta sin privilegios de administrador para las tareas de cada día. Que los privilegios sean los mínimos necesarios para poder realizar sus tareas.
29. Implantar políticas para eludir sitios Web si tienen certificados digitales X.509v3 no válidos ya que los datos introducidos en tales sitios Web pueden ser interceptados.
30. No hacer clic en links en ventanas emergentes incluso si se conoce la empresa o producto que se anuncia.
31. No introducir contraseñas, ni credenciales en sitios Web bajo protocolos que no cifren como HTTP, Telnet, FTP, SNMPv1, etc.
32. Implantar segmentación, compartimentación, captura y aislamiento de redes vía DMZs, sandboxing, VLANs, virtualización (por ejemplo, con VMware), zonas de cuarentena, honeynets sin salida, etc.

Los sistemas SIEM (Security Information and Event Management) se enfocan en la seguridad (la información de seguridad no son sólo logs), las herramientas SIEM pueden implantarse como software sobre hardware del tipo security appliance (‘on-premise’) o como servicios gestionados en la nube. Los sistemas SIEM surgen de la fusión de las tecnologías SEM (Security Event Management; que trata de la monitorización y correlación de eventos en tiempo real, el procesamiento y monitorización de eventos de seguridad en tiempo real generados en diferentes sensores, por ejemplo IDS/IPS, FW, DLP, NAC, IAM, etc., los correlaciona y genera alertas al usuario) y de la tecnología SIM (Security Information Management; que almacena todos los eventos generados por los sensores conectados al mismo pero a diferencia de la SEM el procesamiento con estos eventos se centra en el análisis histórico posibilitando análisis ciber-forense, monitorización y realización-generación centralizada de informes de los resultados). Un sistema SIEM esta, diseñado para recoger, agregar, filtrar, almacenar, correlacionar, priorizar y visualizar (por ejemplo, en una consola SIEM) diferentes datos relevantes sobre ciberseguridad. Los sistemas SIEM permiten realizar diferentes tareas:

1. Monitorizar la red perimétrica. En busca de ciber-amenazas externas y malware.
2. Monitorizar amenazas internas y auditoría. Recoge datos y los correlaciona lo que permite detectar y monitorizar perfiles de actividad de amenazas internas sospechosas.
3. Detección de amenazas APT/ART. Recoge datos dispares permitiéndole indicar movimientos laterales, accesos remotos (por ejemplo, vía RAT), C&C (Command and Control) y exfiltraciones de datos.
4. Monitorizar configuración. Alerta de cambios en la configuración de los servidores y sistemas de la organización, desde cambios de contraseña a modificaciones críticas del registro de Windows.
5. Cumplimiento con la política. Ayuda con el cumplimiento y generación de informes para satisfacer diversas leyes, normas y reglas como PCI/DSS, HIPAA, SOX, RGPD, FISMA, etc.
6. Análisis de ciber-incidentes y ciber-forensia de red. Permite revisar y retener todos los datos de log históricos.
7. Workflow y escalado. Permite seguir la pista a un evento y ciber-incidente desde que se detecta hasta convertirse en grave, se incluye la gestión de casos, la priorización y la resolución.
8. Tendencias. Posibilita analizar perfiles, patrones y cambios en el comportamiento del sistema o red a largo plazo.
9. Tipos de salidas de información que genera un SIEM. Después de recoger los datos de las diferentes fuentes-sensores (proxies, firewals, controles de acceso, aplicaciones críticas, servidores, switches, routers, IDS/IPS, DNS/Directorio/LDAP/AD, escaner de vulnerabilidades, UTM/Unified Threats Management, anti-virus, exploradores de contenido, DLP, IAM, servicio de correo electrónico, etc.), filtrarlas, correlacionarlas, enriquecerlas y volver a correlacionarlas se obtienen diferentes salidas: visualización, análisis de tendencias, informes detallados a medida, respuestas, ciber-forensia, estado general de la ciberseguridad, proporcionar alertas, etc.

En un sistema SIEM pueden identificarse diversos componentes:

1. Recogida centralizada de logs. Recoge información y logs de diversas fuentes (servidores, routers, switches, agentes, antivirus, firewalls, IDS/IPS, DLP, security appliances, dispositivos IoT, etc.). Existen básicamente dos tipos de recogida de logs de las diferentes fuentes: (i) Pasiva. La propia fuente es quien envía los logs al sistema SIEM, por ejemplo, los servidores syslog, el envío por agente/conector. A veces se utilizan equipos intermedios para recoger los logs y enviárselos al sistema SIEM. (ii) Activa. Es el propio sistema SIEM el que va a la fuente a recoger los logs, por ejemplo, utilizando consultas vía el API de Windows WMI (Windows Management Instrumentation), RPC (Remote Procedure Call), consultas a bases de datos, SCP, CIFS, etc. Las principales acciones o capas realizadas sobre los logs por las entidades que recogen dichos logs son: (a) Parseo de logs basada en expresiones regulares. Consiste en separar en campos los diferentes elementos que integran un log (por ejemplo, de un IDS, un firewall, etc.). (b) Normalización. Se basa en asignar cada uno de los campos identificados y separados en el log mediante parseo, los campos definidos en la herramienta SIEM. La normalización es diferente según la tecnología utilizada, por ejemplo, los logs de un proxy de un fabricante son diferentes de la de otro. La combinación del parseo más la normalización permite analizar eventos de la misma tecnología, por ejemplo, proxy pero de diferentes fabricantes. (c) Categorización. Se ordena, se clasifica, se establecen categorías y se priorizan los eventos entrantes. Para cada tipo de origen de registros de auditoría, el sistema SIEM puede configurarse para proporcionar la funcionalidad de categorizar los campos de registro de auditoría más importantes que puede mejorar de forma importante la normalización, análisis y correlación de datos de registro de auditoría. En la categorización del login se identifican: logon con éxito, error en login, logon fallado, se hizo un intento de logon. (d) Agregación. Consiste en agrupar los eventos que aparecen en un período de tiempo definido y que tienen una serie de campos iguales. (e) Filtrado. En base a una serie de condiciones configurables por el usuario, se pueden filtrar eventos, haciendo que estos no sean enviados al sistema SIEM. Permite optimizar el volumen de logs que lleguen al sistema SIEM.
2. Correlación en tiempo real de eventos/logs. Es la correspondencia o relación que se define entre dos o más eventos u operaciones generadas en el mismo o en diferentes dispositivos en un intervalo o ventana de tiempo y que se emplea para la detección de acciones. La correlación se define por medio de reglas que se aplican sobre eventos/logs para detectar comportamientos anómalos. Principales funciones de la capa de correlación son la recepción de eventos, el almacenamiento temporal en una base de datos (durante días), la generación de eventos correlacionados, la notificación de incidentes, las capacidades de análisis mediante búsquedas. La capa de correlación se puede componer de uno o más componentes que pueden ser elementos físicos o virtualizados, dependiendo del rendimiento que se necesite.
3. Almacenamiento. Permite comprimir y guardar los eventos protegiendo que no sean modificados, para ello se firma los eventos calculando una función hash (por ejemplo, SHA 512) en el momento de escritura en disco, lo que permite saber si han sido o no modificados. El almacenamiento puede realizarse dentro del propio SIEM o en plataformas externas. Los almacenamientos pueden ser online (cuando la información es accesible sin necesidad de procesos de recuperación) y offine (sólo es accesible mediante proceso de carga y recuperación). El rotado es un mecanismo que permite mover los logs más antiguos para almacenar los nuevos entrantes. La capacidad de análisis de la capa de almacenamiento permite realizar consultas sobre los logs almacenados tanto en información normalizada como en información en bruto. El reporting en la capa de almacenamiento permite exportar logs y notificación de alertas del propio SIEM. Aquí no se aplican reglas. El almacenamiento de larga duración puede ser en appliances físicos locales (por ejemplo, utilizando MongoDB) o de forma remota empleando SAN o NAS. El licenciamiento en la capa de almacenamiento puede ser por cantidad de Gbytes al día recibidas o por EPS (Events per Second; un firewall puede generar por hora cientos de EPS).

Entre las principales funcionalidades y capacidades que aporta un sistema SIEM se pueden identificar las siguientes: registrar los logs de acceso de los usuarios, seguir la pista y trazabilidad de los cambios en el sistema, monitorizar la adherencia a las políticas de seguridad corporativas, generar centralizadamente informes de cumplimiento de seguridad, alertar de ciber-incidentes, almacenar logs para labores de ciber-forensia, recoger logs de seguridad de una gran variedad de fuentes diferentes dentro de una organización incluyendo los logs tanto de los sistemas operativos (Windows, Linux, Unix, Solares, Android, IOS, etc.), de las aplicaciones de los dispositivos de seguridad y control (IPS/IDS, NAC, DLP, IAM, etc.), etc., procesar la información recogida normalizando sus formatos, analizar la información normalizada, generar alertas ante ciber-eventos anómalos, maliciosos o sospechosos, generar informes de todo tipo (de cumplimiento de seguridad (RGPD, PCI-DSS para tarjetas de crédito, SOX, HIPAA, FIEC, FISMA Federal Information Security Management Act, etc.), personalizados a medida, etc., tomar acciones correctivas, gestión de incidentes y alertas de seguridad, recoger toda la información de seguridad en un lugar para evitar puntos ciegos, detectar comportamientos sospechosos y anomalías de red (monitorizar la QoS), detectar problemas antes de que se conviertan en brechas de ciberseguridad, centralizar la vista de ciber-amenazas potenciales, determinar las ciber-amenazas que requieren resolución y cuales son sólo ruido, escalar cuestiones para que los analistas de ciber-seguridad puedan tomar una acción rápida, proporcionar un único interfaz para visualizar y correlacionar los datos recogidos de los diferentes controles de seguridad y componentes de la infraestructura de red de modo que se obtiene una foto exhaustiva de lo que ocurre o va a suceder en la red de la organización.

Los sistemas SIEM proporcionan a las organizaciones de forma centralizada información muy valiosa sobre ciber-amenazas potenciales, ciberataques e intentos de intrusión con anticipación a sus recursos y procesos operacionales, consecuentemente mejoran las capacidades de proactividad de detección y respuesta a ciber-amenazas permitiendo análisis en tiempo real de logs y datos de eventos de seguridad recogidos de múltiples fuentes (firewalls, antivirus, sistemas de prevención de intrusiones, sistemas de prevención de fuga de datos, sistemas de gestión de red que monitorizan la QoS, por ejemplo, en búsqueda y detección anticipada de ataques DDoS/DoS), etc.). Un sistema SIEM posibilita detectar y mitigar ciber-amenazas de la red y esta presente en todo SOC. El Magic Quadrant para SIEM de Gartner esta formado por cuatro cuadrantes donde se colocan ordenadas (por capacidad para ejecutar y completitud de visión) herramientas SIEM, las más relevantes entre otras son en el 2018: McAfee Enterprise Security Manager (ESM), Dell Technologies (RSA Security Analytics), LogRhytm, IBM Security QRadar, Splunk Enterprise Security (ES), etc. Otros ejemplos de sistemas SIEM son: HP Enterprise (HPE), ArcSight de HP, SIEMphonic Essentials de Netsurion para PYMES, utiliza machine learning supervisado etc. Correlacionado con los sistemas SIEM están herramientas como LM (Log Management) se enfoca en los logs, no todos los logs son para seguridad (por ejemplo, los hay para reporting, para cumplimientos, etc.), la detección de anomalías que utiliza SUBA (Security User Behavior Analysis), herramientas analíticas específicas, etc.

Un SOC (Security Operations Center) es un equipo de analistas de seguridad (con herramientas, tácticas, técnicas y procedimientos de ciberseguridad) organizados con el objetivo de detectar, analizar responder, informar y prevenir ciber-incidentes y proporcionar servicios a un conjunto de usuarios, sitios, activos IT/OT, redes, organizaciones, etc. Todo SOC utiliza sistemas SIEM para monitorizar y gestionar de forma continua el estado de seguridad de una organización-negocio-industria-empresa-infraestructura-ecosistema y puede interconectarse con otros SOC externos. Un SOC integra un equipo de especialistas que defienden una empresa de toda actividad no autorizada dentro de sus redes y equipos de computadores, implantando monitorización, detección anticipada, análisis (tendencias y análisis de patrones) y respuesta y restauración de las actividades.

El SOC ayuda a las organizaciones a reducir el tiempo de estar infectado por alguna ciber-amenaza/ciberarma monitorizando constantemente en busca de indicadores específicos de actividad de APTs (Advanced Persistent Threats). Su principal misión es monitorizar continuadamente las redes, sistemas de computación, dispositivos IoT, etc. de vulnerabilidades, intentos de intrusión, ciber-ataques o signos de actividad anómala o maliciosa y desplegar la respuesta apropiada de forma rápida, así mismo permiten una mejor detección e investigación de ciber-incidentes, incluyen capacidades de respuesta utilizando los datos procedentes de todo tipo de dispositivos (servidores DNS, software de aplicación, firewalls, IPS, DLP, IAM, etc.), logs, sistemas de seguridad y flujos de red. Un SOC ayuda a las organizaciones a priorizar el despliegue de recursos en la organización teniendo en cuenta todo tipo de cuestiones de ciberseguridad.

Los SOC de las organizaciones utilizan sistemas SIEM para recoger los distintos datos de los diferentes sistemas y aplicar reglas para generar alertas a partir de esos datos. Los SOC utilizan tecnología SIEM y analítica de comportamiento para eliminar todo tipo de ciber-amenazas, incluso las APT (Advanced Persistent Threats), ARP (Advanced Ransomware Threats), etc.

Los SOC suelen utilizar un modelo de análisis de tres capas para gestionar las alertas de ciberseguridad generadas por los sistemas SIEM: (1) C-1. Los analistas son responsables de la monitorización en tiempo real de las alertas de ciberseguridad y decidir si una alerta es lo bastante grave como para escalarse al análisis de la capa 2. Los analistas establecen reglas para filtrar el ruido y determinar que alertas pasar a la capa 2. (2) C-2. Los analistas de esta capa se instruyen de las alertas que reciben de la capa 1 y las correlacionan con otras informaciones valiosas para ver si pudo haber ocurrido un ciber-incidente y determinar las respuestas apropiadas. Aquí se trata de entender el impacto potencial del ciber-incidente en los activos de la organización y en su caso riesgos operacionales y ayudar en la respuesta-remedio al ciber-incidente. (3) C-3 (hunt team). Su misión es buscar proactivamente ciber-amenazas en la red y acabar con ellas en vez de esperar la llegada de posibles alertas antes de iniciar acciones, así mismo, trabajan con los equipos de analistas de las capas 1 y 2 cuando la probabilidad de una ciber-amenaza crece.

Pueden identificarse cinco modelos organizacionales para un SOC: (a) Equipo de seguridad estándar. No tiene capacidades de respuesta a ciber-incidentes, pero utiliza sus recursos cuando se necesita para responder a los ciber- incidentes. (b) SOC distribuido interno. Integra miembros de la organización que no pertenecen al SOC. (c) SOC centralizado interno. Se compone de un equipo dedicado de profesionales de ciberseguridad IT/OT cuya misión primaria es monitorizar y responder a las ciber-amenazas. (d) SOC centralizado y distribuido interno combinado. Combina los modelos de SOC centralizado interno y SOC distribuido interno. (e) Enfoque coordinado. Coordina y facilita capacidades entre múltiples SOC internos menores.

En un SOC se pueden distinguir diversos niveles, por ejemplo: (1) N-1. Incluye los analistas de ciberseguridad que realizan tareas rutinarias como escanear vulnerabilidades, observar IDS o consolas SIEM, recoger 'noticias cyber' (por ejemplo, de CERT/Computer Emergency Readiness Team) y contestar las consultas (llamadas telefónicas, e.mails, IM, etc.) de los usuarios (vía call center o help-desk). (2) N-2. Realiza todo el análisis en profundidad de ciber-incidentes que le pasa el nivel 1 como análisis de logs y red, tendencias, análisis de ciber-incidentes y coordina la respuesta a ciber-incidentes con los usuarios y componentes. (3) N-3. Corresponde a la administración del sistema, mantiene los sistemas SOC y sensores que pueden incluir ingeniería y despliegue de nuevas capacidades (creación de firmas a medida, mantenimiento y ajuste de sensores, despliegue de herramientas, scripting, etc.).

Los SOC se abastecen de diversas fuentes de información de ciber-inteligencia como, por ejemplo: Dshield, ISC, NetCraft, US-CERT, SANS, Microsoft Security Intelligence Report, McAfee, WOMBAT (Worldwide Observatory of Maliciosus Behaviors and Attack Threats), Malware Domain List, Exposure, Anubis, Symantec, Virustotal, IBM ISS X-Force, Metascan online, lista de firmas de Emerging Threats, las de otros SOC, etc.

Entre las principales capacidades y servicios que aporta un SOC se pueden identificar: la visibilidad de ciber-amenazas (a nivel global en dispositivos de computación, comunicaciones fijas y móviles e infraestructuras cloud y 'on-premise' es decir, en la propia organización), análisis y prevención de ciber-incidentes/ciber-amenazas de forma proactiva (incluye análisis continuo de ciber-amenazas, escaneo de vulnerabilidades en redes y dispositivos de computación, coordinación de despliegue de contramedidas, evaluación de políticas y arquitecturas de ciberseguridad), monitorizar, detectar y analizar potenciales ciber-intrusiones en tiempo real y a través de tendencias históricas sobre fuentes de datos de ciberseguridad relevantes, respuesta a ciber-incidentes confirmados, coordinando recursos y dirigiendo el uso de contramedidas apropiadas a tiempo, orquestación, proporcionar concienciación de la situación e informar sobre el estado de ciber-seguridad, los ciber-incidentes y tendencias en comportamiento no autorizado a nivel de la organización, operación con tecnología de ciberseguridad (como IDS, UTM, sistemas de análisis y recogida de datos, SIEM, IAM, etc.), análisis en tiempo real utilizando call center/(help desk para defensa de red y computadores), servicios CSIRT (con especialistas en fraudes, seguridad de código fuente, análisis de malware, análisis forense, etc.), monitorización-vigilancia en tiempo real, creación, análisis, recogida, fusión y distribución de datos de ciber-inteligencia de ciber-amenazas, mejora continua, valoración-estimación-análisis de tendencias/ciber-amenazas, análisis de ciber-incidentes, análisis artesanal y automatizado de actividad maliciosa, caza de ciber-amenazas, coordinación de respuesta frente a ciber-incidentes, implementación de contramedidas, respuesta en su sitio a ciber-incidentes, respuesta remota a ciber-incidentes, análisis y gestión forense de componentes digitales, análisis e ingeniería inversa de malware, mantenimiento y ajuste de sensores (SIEM, IDS, etc.), red team/tests de penetración, hardening, operación y mantenimiento de dispositivos de protección de frontera y de infraestructura SOC, escaneo y valoración de vulnerabilidades, mapeo de las redes de los usuarios, creación de firmas a medida en IDSs, soporte e investigación de ciber-amenazas desde dentro, distribución y recogida de datos de auditoría, creación y gestión de contenidos de auditoría, servicios de consultoría (ingenieros de procesos, soporte de gestión, consultores de ciber-seguridad, especialistas técnicos, perfiles adaptables a cualquier circunstancia), gestión de alertas, respuesta-remedios a ciber-incidentes, valoración y gestión de vulnerabilidades/ciber-amenazas, visualización del estado de ciber-seguridad global, gestión de firmas y certificados, etc.

Los sistemas SIEM realizan un sinfín de acciones: detectan ciber-incidentes que de otra forma no podrían ser detectados, gestionan ciber-incidentes de manera más eficiente, tienen bajo control eventos de diversas fuentes, identifican ciber-incidentes rápidamente para tomar medidas correctivas y mitigar el impacto, reducen el volumen de información que se comunica y almacena, generan informes personalizados a medida de forma más eficiente y centralizada, posibilitan las tareas de cumplimientos de forma centralizada, etc. Por su parte, un SOC ayudado por sistemas SIEM permite dar servicio a las organizaciones a hacer un uso mejor de las herramientas y sistemas de ciberseguridad como (IDS, IPS, NGFW, IAM/Identity-and-Access-Management, DLP, AV, etc.) para detectar y mitigar ciber-amenazas de forma proactiva, así mismo ayuda a reducir el tiempo de estancia de una ciber-arma, malware o ciber-amenaza dentro de una organización debido a la monitorización continuada de indicadores e indicios específicos de actividad de ciber-amenazas avanzadas.

Una buena forma de comprobar la efectividad de un SOC es medir el rendimiento del SOC en respuesta a un test de penetración. Gartner señala en Market Guide for Mobile Threat Defense que para el 2019 las amenazas a móviles ascenderán a un tercio del total de eventos de seguridad, así mismo señala que en 2016 sólo era de un 7,5%. Según Gartner en Market Guide for Mobile Threat Defense de agosto del 2017, las amenazas maliciosas o los riesgos de fuga de datos eluden los controles EMM. Así mismo, Forrester opina que las capacidades de seguridad de EMM no son suficientes e IDC afirma que EMM, sandoxing nativo y segmentación en sistemas operativos de móviles no son suficientes para satisfacer las necesidades en cuanto a protección de amenazas a móviles. EMM (Enterprise Mobility Management) combina diversos componentes como MDM (Mobile Device Management), MAM (Mobile Application Management) y MCM (Mobile Content Management), su intención era dar protección a dispositivos móviles en las redes de las organizaciones (con responsabilidad BYOD tanto individual como corporativa).

Referencias

• Areitio, J. ‘Seguridad de la Información: Redes, Informática y Sistemas de Información’. Cengage Learning-Paraninfo. 2018.
• Areitio, J. ‘Estrategias y tácticas de defensa a los intentos de intrusión y ataques en ciberseguridad-privacidad’. Revista Eurofach Electrónica. Nº 467. Diciembre 2018.
• Areitio, J. ‘Protección frente a la sofisticación de las armas cibernéticas’. Revista Eurofach Electrónica. Nº 466. Octubre 2018.
• Areitio, J. ‘Identificación y análisis de tecnologías para la ocultación de información en redes’. Revista Eurofach Electrónica. Nº 389. Mayo 2010.
• Areitio, J. ‘Análisis y exploración de mecanismos de control de acceso físico: correlación seguridad física-ciberseguridad’. Revista Eurofach Electrónica. Nº 426. Febrero 2014.
• Miller, D.R., Harris, S., Harper, A. Vandyke, S. and Blask, C. ‘Security Information and Event Management (SIEM) Implementation’. McGraw-Hill Education. 2010.
• URL video sobre beneficios de SIEM: https://youtu.be/6qBKNAnWcUk
• Thomas, A.E ‘Use of Cyber Threat Intelligence in Security Operations Center’. Createspace Independent Pub. 2017.
• Jarpey, G. and McCoy, S. ‘Security Operations Center Guidebook: A Practical Guide for a Successful SOC’. Butterworth-Heinemann. 2017.
• Muniz, J., Alfardan, N., Muniz, J. and McIntyre, G. ‘Security Operations Center: Building, Operating, and Maintaining your SOC’. Cisco Press. 2015.
• URL video sobre introducción a SIEM: https://youtu.be/ZuLazPgFtBE
• Nathans, D. ‘Designing and Building Security Operations Center’. Syngress. 2014.
• Li, K-C, Chen, X. and Susilo, W. ‘Advances in Cyber Security: Principles, Techniques, and Applications’. Springer-Verlag. 2019.
• Daras, N.J. ‘Cyber-Security and Information Warfare’. Nova Science Publishers Inc. 2019.
• Ellis, R. and Mohan, V. ‘Rewired: Past, Present and Future of Cybersecurity’. John Wiley & Sons Inc. 2019.
• Brooks, C.J., Craig, P. and Short, D. ‘Cybersecurity Essentials’. Sybex. 2017.