La entrada de enero donde reflejamos el anuncio de la implantación de un Security Operations Center, SOC, para la Administración General del Estado, nos motiva para añadir unas notas sobre estos servicios ( "Implantación de un SOC para la Administración General del Estado" ).
En los siguientes párrafos explicamos brevemente su relación con los servicios Network Operations Center, NOC, y dejaremos unas líneas sobre la evolución de los servicios SOC.
En los siguientes párrafos explicamos brevemente su relación con los servicios Network Operations Center, NOC, y dejaremos unas líneas sobre la evolución de los servicios SOC.
Operaciones de seguridad física y lógica.
SOC es el Centro de Operaciones de Seguridad. Para
distiguirlo de los centros de control de seguridad física, a veces se
denomina Centro de Operaciones de Seguridad Cibernética, CSOC (CiberSecurity
Operations Center); es decir, están dedicados a la seguridad lógica.
Esta aclaración es oportuna porque todavía en muchas
organizaciones los centros de operaciones cubren conjuntamente tanto la seguridad física y lógica.
Pero cada vez es más necesario implantar centros de operaciones especializados
en la seguridad lógica, a éstos nos referimos como SOC.
 |
| Imagen de un NOC. Cortesía de Azaleos Corporation (Fuente: commons.wikimedia.org) |
¿En qué se diferencia un NOC y un SOC?.
La función de un NOC es monitorizar la infraestructura de
red para garantizar su servicio ininterrumpido, para mantener la disponibilidad
y la capacidad del servicio.
La complejidad de los sistemas de información, las
vulnerabilidades y los riesgos para el negocio y la sofisticación de los ataques
informáticos está llevando a una diferenciación de las actividades entre el NOC
y el SOC. El SOC adquiere una identidad propia y su definición sobre qué es, se basa
en las funciones que realiza. Ésta las veremos más adelante.
Desde el punto de vista de la recomendación de buenas
prácticas de servicios de ITIL, tanto el NOC como el SOC son Funciones, en concreto Función de Gestión de
Operaciones de TI aunque altamente especializadas.
No obstante, el NOC y el SOC deben trabajar conjuntamente y
ambos se necesitan. El SOC supervisa la actividad de la red pero aquella que está relacionada
con la seguridad para prevenir o responder a los incidentes de seguridad. Ambos servicios de operaciones complementan sus tareas pero con objetivos claramente diferentes. La relación entre el NOC y el SOC debe ser de tal modo
que no exista duplicidad de unas funciones ni ausencia de otras. Esto traería unos costes adicionales y una disfunción en el
servicio TI que comprometen el negocio de la organización. La relación entre el NOC y el SOC
es tan estrecha que algunas personas pueden compartir roles en ambos centros de operaciones.
La implantación de SOC en las organizaciones queda fuera del
alcance de este artículo. Pero volviendo a las recomendaciones de buenas
prácticas ITIL, el diseño de un SOC debe iniciarse desde la Estrategia del Servicio,
continuando con los requisitos y restricciones afloren en el Diseño del
Servicio. No obstante, dependiendo de las características y de las necesidades
de la organización, el SOC podrá tener una entidad propia o por el contrario,
consistirá en una mejora y ampliación con otras actividades en el centro de
operaciones de red, la función de gestión técnica y de aplicaciones.
Los objetivos del SOC
El SOC agrupa diversos roles tales como los analistas, operadores,
administradores, etc para monitorizar las infraestructuras, aplicaciones y
sistemas TI. Su objetivo es diseñar los procesos, definir los procedimientos y
actividades para detectar e impedir el mal uso de los equipos y las violaciones
de las políticas sobre el uso de las tecnologías de información. También debe prevenir
los ciberataques. Entre las funciones podemos destacar:
- Identificar y asegurar los sistemas, las infraestructuras y las aplicaciones de la organización.
- Identificar y asegurar que las vulnerabilidades que puedan existir puedan ser gestionadas.
- Identificar las amenazas que pudieran comprometer o explotar las vulnerabilidades de los sistemas, las infraestructuras y las aplicaciones de la organización.
- Identificar qué actores pueden amenazar y explotar las vulnerabilidades que puedan existir.
- Monitorizar el estado de TI para detectar ciberataques en tiempo real o casi en tiempo real, violaciones de seguridad o eventos anómalos y sintomáticos, o desviaciones sobre el funcionamiento normal.
- Analizar eventos y alertas para determinar si están asociados o relacionados con flujos de ataques persistentes.
- Analizar registros de eventos históricos de patrones y tendencias sintomáticos de un ataque.
- Proporcionar información de gestión e informes.
Generaciones de servicios SOC
Desde hace poco más de una década, los sistemas SOC han
evolucionado a la vez que las amenazas. Los ataques tienen una complejidad que los sistemas convencionales de seguridad son incapaces de detener o evitar. (Para más información de estos ataques ver el artículo " Introducción a los ciberataques APT (Advanced Persistent Threat) ").
J.
Muniz, G. McIntyre y N. AlFardan resumen cuatro generaciones de SOC. (La siguiente figura
esta basada en la que aparece en el libro Security Operations Center). He considerado oportuno añadir una generación intermedia a las propuestas por los autores. A
continuación describiré las aportaciones de cada una de ellas.
 |
| Evolución de los servicios SOC (figura del autor) |
La primera generación no corresponde a un SOC en el sentido
estricto. No todos los dispositivos ofrecían registros de sus eventos, la
administración correspondía a los propios servicios de red y los servidores y
equipos finales tenían una dotación de antivirus como mejor exponente de
seguridad. Los pocos mensajes logs se almacenaban localmente en cada sistema y
no existía un registro centralizado de los mismos.
Durante la segunda generación, los proveedores se
especializaron en el desarrollo de herramientas especializadas para la
selección eventos relacionados directamente con la seguridad. De este modo diferenciaban estomáticamente los eventos más o menos importantes y a los administradores se les evitaba la tediosa tarea de buscarlos y clasificarlos en los interminables ficheros de
registros. Estas mismas herramientas recopilaban todos los eventos, generaban
informes y permitían la correlación de sucesos. Los incidentes de seguridad se
registraban con las herramientas de ticketing junto con otros eventos, peticiones e incidentes. El análisis posterior de
los registros permitía conocer las causas de la violación de la seguridad. Durante esta
generación se desarrolla la disciplina del análisis forense de los sistemas.
La tercera generación consolida las metodologías de gestión
de la seguridad. El personal se especializa en los procedimientos y tareas
específicos. La evaluación de riesgos, los procedimientos de respuesta ante
incidentes, el análisis de vulnerabilidades y su impacto en los servicios van
perfilando la arquitectura de un SOC complejo y especializado. En conclusión,
esta generación destaca por su contribución con nuevas metodologías y prácticas
en el análisis de riesgos, vulnerabilidades y recuperación de los servicios.
Añado una generación intermedia entre la tercera y la cuarta. En esta generación incluyo la ampliación de las arquitecturas de red con dispositivos
especialmente diseñados para la seguridad de servicios concretos como pueden ser Service
Web Gateway o Service Mail Gateway entre otros. Estos dispositivos ofrecen análisis
complejos, intercambio de información con bases de datos en red de organizaciones
dedicadas a la seguridad (servicios en la nube) y se implantan las tecnologías “sandboxing” (ver nota 1 al final) basadas en la virtualización.
La cuarta generación se distingue en el uso del análisis de
Big Data. La capacidad del Big Data es la recopilación de muchos eventos durante
largo tiempo y poder correlacionarlos. Esto permite descubrir aquellos ataques que se efectúan en fases muy
espaciadas en el tiempo (nos referimos a ataques APT señalados anteriormente). Sin grandes bases de datos resulta muy complicado encontrar el
origen del ataque y descubrir los mecanismos de intrusión para evitarlos en el
futuro. Las grandes cantidades de datos que se manejan permiten análisis en
tiempo real o a posteriori.
La cuarta generación proporciona soluciones complejas
distribuidas en diferentes niveles de seguridad. Las herramientas son capaces
de responder de manera automática ante determinados ataques e incluyen
procedimientos de mejora y ajustes para mejorar los resultados. El servicio que
ofrece el SOC es, por lo tanto, más avanzado y a la vez más complejo.
Nota (1). Describo brevemente la técnica de “sandboxing” en
el contexto de ciberseguridad.
Estos análisis complejos los realizan equipos denominados habitualmente Service Web Gateway y están situados en la red, entre el proxy o router de acceso a la red externa y el puesto del usuario. Por ejemplo, cuando se descarga un programa ejecutable desde una web y antes de enviarlo al puesto de usuario del destinatario, el programa debe pasar una batería de diferentes antivirus basados en diferentes firmas y algoritmos. Si el diagnóstico sobre su seguridad no es totalmente claro, el programa es etiquetado como “sospechoso”. Entoces pasa a la siguiente etapa de análisis.
El equipo arranca una máquina virtual con un sistema operativo idéntico al que está instalado en el puesto del usuario. En este entorno virtual se ejecuta el programa sospechoso. Inmediatamente, el software del equipo de esta etapa comprueba si el programa sospechoso realiza cambios en la configuración de sistema operativo virtual o si establece conexiones por los puertos hacia el exterior. En estas circunstancias, si se confirman cambios o una conexión, el resultado es que el programa sospechoso se trata de un programa dañino. No se reenviará al puesto del usuario, queda almacenado en el equipo y puede ser eliminado. Como se puede observar, estos procedimientos tardan varios minutos en ejecutarse y en devolver un diagnóstico preciso. Esto es un inconveniente para las necesidades de muchos negocios.
Estos análisis complejos los realizan equipos denominados habitualmente Service Web Gateway y están situados en la red, entre el proxy o router de acceso a la red externa y el puesto del usuario. Por ejemplo, cuando se descarga un programa ejecutable desde una web y antes de enviarlo al puesto de usuario del destinatario, el programa debe pasar una batería de diferentes antivirus basados en diferentes firmas y algoritmos. Si el diagnóstico sobre su seguridad no es totalmente claro, el programa es etiquetado como “sospechoso”. Entoces pasa a la siguiente etapa de análisis.
El equipo arranca una máquina virtual con un sistema operativo idéntico al que está instalado en el puesto del usuario. En este entorno virtual se ejecuta el programa sospechoso. Inmediatamente, el software del equipo de esta etapa comprueba si el programa sospechoso realiza cambios en la configuración de sistema operativo virtual o si establece conexiones por los puertos hacia el exterior. En estas circunstancias, si se confirman cambios o una conexión, el resultado es que el programa sospechoso se trata de un programa dañino. No se reenviará al puesto del usuario, queda almacenado en el equipo y puede ser eliminado. Como se puede observar, estos procedimientos tardan varios minutos en ejecutarse y en devolver un diagnóstico preciso. Esto es un inconveniente para las necesidades de muchos negocios.
No hay comentarios:
Publicar un comentario