Ciberseguridad: Security Operations Center (SOC) Parte 1

Ciberseguridad: Security Operations Center (SOC) Parte 1

Hoy hablaremos de la eterna lucha del bien contra el mal, de pensamientos clásicos debatidos por grandes filósofos a lo largo de la historia, pero esta vez llevados al campo de la ciberseguridad y poniendo de relieve la operatividad .

En este artículo vamos a hablar del panorama de la ciberseguridad, de cómo actúan los malos, pero sobre todo de cómo actúan los buenos.

En el mundo de la ciberseguridad se habla mucho de ataques, de hacking, de hackers, de pentesting, de auditorías de seguridad, pruebas de intrusión, equipos de red team… Esta variante de la seguridad es la que suele predominar en la escena "ciber".

En parte es normal ya que siempre se ha asociado la ciberseguridad defensiva como algo de vendors, de fabricantes o de los sistemas operativos; y si sigues rebuscando por esta línea al final acabas con que la culpa es de Windows y encuentras a un haters del popular sistema operativo.

También es normal conocer la parte ofensiva del asunto, para detectar, mitigar, proteger y asegurar los sistemas. ¡Recuerdo a los lectores que la comunidad de hacking y ciberseguridad somos los buenos! Los malos son los criminales que usan Internet y la tecnología para el delito, ¡pero no olvides que nosotros somos los buenos!

En esta entrada voy a comentar algunos aspectos del SOC o Security Operations Center que seguramente conocerás, o quizás no, pero espero que sea algo a tener en cuenta en tus planes de seguridad.

Coste de montar un SOC de vigilancia

Lo primero que tenemos que discernir es qué necesitamos y qué recursos tenemos. Diría que lo segundo antes que lo primero. Lo que necesitamos es seguridad 100%  o bueno, al 99.99%. Pero, ¿a qué coste?

¿Cuál es el coste para una empresa montar un SOC de vigilancia? ¿En el mejor de los casos el coste humano de una persona? ¿O quizá de dos? ¿24 horas 7 días por semana? Más por supuesto el coste de la infraestructura de monitorización, gestión, respuesta a incidentes, etc.

Seguramente para empresas grandes sea un coste asequible, pero para la mayoría del tejido productivo español, la pyme, el coste es inasumible. Pero entonces, ¿qué hacemos? No conozco ninguna empresa que no quiera esa seguridad al 99,99%.

En la vida real nos enfrentamos con situaciones de lo más graciosas, pero claro, nosotros en Verne nos dedicamos a esto. Empresas que se creen seguras… ¡porque usan antivirus! Algunas incluso los compran.

Otras empresas seducidas por su partner de confianza invierten en productos UTM, Firewalls o similares porque también van a estar protegidos al 100%, o eso les dijo su preventa.

La lucha contra los malos en internet es continua, no cesa. Todos los días salen nuevos fallos en sistemas, nuevas técnicas de explotación, de anonimato, procesos más o menos complejos que ponen nuestros sistemas en exposición de riesgo y que no siempre se protegen con un aparato de hace 3 años, o actualizado hace dos días... Tenemos que ser conscientes de esto.

Vamos a poner el ejemplo de la salud. Nadie puede ir a un hospital, pasar pruebas, realizarse operaciones y decir que está 100% sano. En algunos casos necesitarás medicación, en otros cambios de hábitos, en otros simplemente necesitas vivir, ¡pero eso no garantizan que un día no te pille un coche!

La seguridad es igual, pero con una diferencia, la posibilidad de que te "pille un coche" en ciberseguridad es mucho más alta. ¿Por qué? Por una cuestión de estadística. En Internet hay miles de cibercriminales buscando entrar en tus sistemas.

Experiencias en nuestras auditorías de ciberseguridad

Sí, activamente, todos los días. Y no porque te tengan manía, o porque tu organización sea lo que sea, sino por ganar dinero. Las fronteras en Internet, los "países" están a golpe de click, no a miles de kilómetros.

En ciberseguridad tenemos que llevar el termómetro conectado las 24 horas. La tensión medida, el azúcar, la analítica... todas estas mediciones harán que el estado de salud de nuestro sistema de seguridad sea el adecuado.

A lo largo de nuestra experiencia con los test de intrusión y auditorías de seguridad nos encontramos con departamentos que nos cuentan:

  • ¿El lunes vimos unos logs raros del viernes, fuiste vosotros?
  • Saltó una alerta en la consola del antivirus, pero no podemos estar viéndola todo el tiempo.
  • El sistema de tickets mandó 10.000 correos con errores en la web y tuvimos que detener la monitorización...

Todos argumentos válidos, reales, cercanos, seguro que en el alguno te sientes identificado, pero todos tienen algo en común, permitieron al atacante realizar su trabajo, por suerte a modo de auditoria, pero otras veces no tenemos esa suerte y se produce el incidente.

El ciberdelito y la ciberpolicía

Muchas veces encontramos escenarios en los que el cliente piensa que el ciberdelito está protegido por la ciberpolicía: Aunque poco a poco las Fuerzas y Cuerpos de Seguridad hacen su trabajo, la realidad es que aún no hay suficientes recursos para ello y sobre todo, que la dificultad de la tarea hace casi imposible esta vía.

Imaginaos el escenario de una empresa en que sufre un robo de contraseñas y aparece en Internet. El departamento de IT llama a la policía. ¿La policía acude? Si es un robo con fuerza y con destrozos físicos irá una patrulla corriendo, o dos... pero, ¿para lo ciber? Lo dudo.

Luego está la parte de las pruebas. En un robo "físico" la policía actúa como el CSI de las películas, tomando huellas, revisando cámaras, preguntando a gente, realizando su investigación.

En el mundo ciber, con suerte, el compañero policía pedirá los logs del firewall: y la respuesta suele ser:

  • No hay porque la empresa lo puso, y los logs se quedan en el cacharro, se apagó la luz, y se borraron los logs.
  • Preguntan por los logs del correoy suelen estar en una nube pública y no tienen acceso a los logs.
  • Preguntan por las claves de usuarios y si hay fáciles, y resulta que hay media docena de usuarios con claves 12345 y similares.
  • Antivirus: en los servidores no se puso porque nosequé..

Así, puedes imaginar que el investigador a los 5 minutos diga: no podemos hacer nada por ayudarle, no tiene usted medidas de contingencia o de control.

¿Entonces qué? Esas organizaciones que piensan que la policía es la encargada de la vigilancia, ¿qué? ¿Crees que todo esto que contamos no es la realidad de las empresas? Pues sin duda es la realidad.

La seguridad es un proceso que requiere de un esfuerzo constante.

Cuando "comenzó" esto de los ordenadores (fíjate a donde me voy...hace 30 años), el reto era que los ordenadores hicieran cosas, cubrieran nuestras necesidades.

La informática evolucionó hacía la solución de problemas o necesidades en corto espacio de tiempo. El siguiente paso creo que fue la disponibilidad.

Ya que tenemos esa dependencia a la informática necesitamos poder trabajar con ella a todas horas desde cualquier punto. La fase siguiente, la que creo que nos concierne ahora, no es la de controlar nuestras facturas y presupuestos de manera ágil en el tablet cuando estamos en la playa, es hacerlo de manera segura.

Seguramente dentro de unos años el reto de la informática será que sea la propia informática la que evolucione por si sola, y el humano sea un mero espectador o controlador, lo que llamamos la Inteligencia Artificial, Machine learning, big data y palabras modernas. Pero el reto real actual es la ciberseguridad.

No una moda, no es una tendencia, es la evolución lógica o mejor dicho, el perfeccionamiento de la informática y su popularización lo que hace de la seguridad un pilar primordial.

Espero que os gusten estas reflexiones sobre el SOC y la monitorización. En el próximo capítulo hablaremos de qué datos se manejan y daremos pistas y trucos para el correcto funcionamiento del SOC.