SOC en el mundo de

Ciberseguridad
 Sobre mi …
Kenneth I.Monge Quiros
-SOC Manager- invinsec
-Tutor de la materia de Informática Forense-UNED
-Investigador Criminal-OIJ

Estudios
- Licenciatura en Ingeniería Informática con
énfasis en Gerencia Informática
- Cursos varios en área de Ciberseguridad-Criminalistica
- Formación en Inv. Criminal – Esc.Jud.

Estudiante
-Maestría de Ciberseguridad-Cenfotec (5toC)

Otros
Miembro de la Comisión de Ciberseguridad - CPIC
 S O C e n e l m u n d o d e l a C i b e r s e g u r i d a d

Agenda
• Triada
• SOC
• Generaciones de SOC
• Caracteristicas
• Objetivos
• Hechos
• Alcanse
• Como funciona
 S O C e n e l m u n d o d e l a C i b e r s e g u r i d a d

Lo que todos queremos es mantener los servicios

funcionando y Triada de la información intacta

“Existen dos tipos de empresas: las que han sido hackeadas y

las que aún no saben que fueron hackeadas”

John Chambers
CEO de Cisco Systems, John Chambers, dijo, “There are two types of companies: those who have
been hacked and those who don’t yet know they have been hacked.”
S O C e n e l m u n d o d e l a C i b e r s e g u r i d a d

SOC ( Security Operations Center)

• Ciber SOC en las empresas lo podemos comparar con el Sistema nervioso
central
• Alerta temprana de incidentes y ataques 24/7/365
• Herramienta SIEM (Security Incident and Event Management)
• Visualizar y explorar datos que se encuentran indexados
S O C e n e l m u n d o d e l a C i b e r s e g u r i d a d

Generaciones de SOC
1975-1995 1996-2001 2002-2006 2007-2012 2013-?

Analytics and big data,

intelligence-driven
methodology,
information sharing,
human adversary
approach

Fifth Generation
S O C e n e l m u n d o d e l a C i b e r s e g u r i d a d

Como funciona?

• Monitoreo de seguridad: Solución diseñada para monitorear y detectar eventos de seguridad de la información que
podrían afectar negativamente los activos y recursos de información

• Inteligencia de amenazas: La inteligencia de amenazas permite centrar sus esfuerzos y recursos disponibles en las
amenazas más relevantes para el entorno del cliente, ayudando a estar preparado para ataques

• Respuesta a incidentes: Permite a los manejadores de incidentes el apalancamiento como comunicadores primarios para
coordinar eficazmente la respuesta a un ataque tanto en el lado monitoreado como en el lado que monitorea

• Análisis forense: Permite que al personal del SOC enfocar los esfuerzos de investigación en el transcurso de un ciclo de
vida de incidentes, liberando al manejador de incidentes para que se centre en controlar el ataque
S O C e n e l m u n d o d e l a C i b e r s e g u r i d a d

Características
• Defensa proactiva
• Alertas en tiempo real
• Se implementa la mejora continua SO
+ dispositivos
• Materia prima = logs
 S O C e n e l m u n d o d e l a C i b e r s e g u r i d a d

Objetivos
• Detectar
• Analizar
• Investigar

https://www.google.com/url?sa=i&rct=j&q=&esrc=s&source=images&cd=&cad=rja&uact=8&ved=0ahUKEwiN3oOs7-
LXAhVCuxQKHQmeBZIQjRwIBw&url=http%3A%2F%2Fwhatismyipaddress.com%2Fblacklist-
El atacante solo necesita suerte una vez
check&psig=AOvVaw2XcxyypX9wvCWFkGQfN1K9&ust=1512013398320593
Los defensores necesitan suerte todo el tiempo
S O C e n e l m u n d o d e l a C i b e r s e g u r i d a d

Hechos
• Ataques más sofisticados
• Incidente = - $
• Afectación d reputación personal ó empresarial = - $
• Áreas de TI regularmente priorizan desarrollo de sistemas y
otros pero no en ciberseguridad
• Por reputación no se pública que se ha sido victima de …ó
no se tiene a quien consultar
• Se compran soluciones de seguridad y el personal tiene
poca o ninguna preparación en el uso de herramientas
S O C e n e l m u n d o d e l a C i b e r s e g u r i d a d

Alcanse
Cualquier punto de datos registrados en un
Evento sistema o dispositivo de red o cualquier usuario
relacionado con la seguridad

Cualquier ocurrencia observable considerada inusual

Incidente
ya que no se ajusta al comportamiento operativo
estándar o esperado

Cualquier incidente que comprometa la

confidencialidad, integridad o disponibilidad de la
Incidente de seguridad información y crea una amenaza potencial de pérdida o
de la información
interrupción de las operaciones comerciales, la
reputación o los activos Y también es una violación de
la política de seguridad explícita o implícita o prácticas
de seguridad generales
S O C e n e l m u n d o d e l a C i b e r s e g u r i d a d

Manejo de Incidentes
IH

TTMA
Niveles dependen de la empresa

SOC
Manager
 S O C e n e l m u n d o d e l a C i b e r s e g u r i d a d

Visualizaciones
Aquí es donde el cazador resulta cazado

Procesos

Combinación

Experiencia Tecnología
Preguntas
S O C e n e l m u n d o d e l a C i b e r s e g u r i d a d

Referencias

• Security Operations Center: Building, Operating and Maintaining your SOC by Joey Muniz, Nadhem
AlFardan, Gary McIntyre
• https://www.slideshare.net/ahmadhagh/an-introduction-to-soc-security-operation-center
• https://www.adictosaltrabajo.com/tutoriales/introduccion-a-kibana/
• http://www.cnmeonline.com/myresources/hpe/docs/HP_ArcSight_WhitePapers_5GSOC_SOC_Generatio
ns.PDF
• https://www.youtube.com/watch?v=CgMRge_uruQ