Entorno de la Infraestructura
Continuando con los “6 elementos a considerar al implementar un SOC”, esta semana vamos a introducir el elemento #4: “Entorno de la Infraestructura”.
Cuando estamos en proceso de implementar un SOC es importante conocer el entorno de la infraestructura que vamos a monitorear y proteger, pero para esto debemos contar con lo siguiente:
Un inventario consolidado de activos:
Este inventario puede existir tanto en forma física como electrónica, ya sea almacenado en bases de datos, en archivos, en sistemas dedicados a la gestión de inventario de activos, como CMDB, por sus siglas en inglés, etc. Para iniciar, debemos conocer también qué se considera un “activo de información” en el campo de la ciberseguridad. Un activo de información es cualquier información o elemento relacionado con el tratamiento de ésta que tenga valor para la empresa, ahora bien, un inventario de activos contiene toda la información relevante sobre hardware y componentes de software usados para los servicios de tecnología de la información de la organización, y las relaciones entre esos componentes.
Poder contar con un inventario de activos preciso y actualizado, garantiza que se pueda realizar un seguimiento del tipo hardware en uso, además de que provee una visión general, con algunos detalles, de toda la infraestructura tecnológica y por tanto, un mejor control y documentación al momento de realizar investigaciones relacionadas con comportamientos observados en esos activos. El simple hecho de conocer qué activo es el que estamos observando nos permite un mejor análisis y correlación de eventos.
Un inventario de activos es un elemento fundamental al final del día ya que, en ultima instancia, puede mejorar su postura de seguridad. Le ayudará a mitigar el riesgo y garantizar que las operaciones funcionen sin problemas.
Crear uno puede ser tan simple como una hoja de cálculo de Excel. Otra forma puede ser, escaneando todos los segmentos de red con una herramienta donde estén incluidos las Pcs de usuarios, servidores, management y también las herramientas de seguridad.
Fuente de datos
Para la recopilación de los registros de eventos de los diferentes mecanismos de control de seguridad, red y aplicaciones, las fuentes de datos deben ser consideradas. Entre los ejemplos de dispositivos físicos y virtuales que podrían proporcionar valiosos registros de eventos se incluyen:
• Elementos de seguridad como firewalls, sistemas de detección y prevención de intrusiones, soluciones antivirus, proxies web y herramientas de análisis de malware.
• Elementos de red como enrutadores, conmutadores y puntos de acceso y controladores inalámbricos.
• Sistemas operativos como las diferentes versiones de Microsoft Windows, UNIX, Linux, Apple.
• Aplicaciones en servidores web, servidores del sistema de nombres de dominio (DNS) y Mail gateway.
Es posible recopilar, almacenar y analizar otras formas de datos, además de registrar eventos. Por ejemplo, la recopilación de paquetes de red, NetFlow, puede ser beneficiosa para las labores del SOC.
Cada una de estas fuentes de datos proporciona un valor único; Sin embargo, cada una tiene sus propios costos asociados a considerar antes de invertir en algún método para recopilar y analizar los datos.
Recopilación de datos
Tan pronto tenga una idea sobre los datos que desea recopilar, debe indagar cómo hacerlo, para esto, existen diferentes protocolos y mecanismos que puede utilizar para reunir datos de diversas fuentes.
En función de lo que admita la fuente de datos, estos se pueden extraer del origen hacia el colector o enviarlos directamente al SIEM.
Se hace necesario enfatizar la necesidad de ubicar mecanismos de sincronización del tiempo al recopilar datos. La captura de eventos sin marca de tiempo adecuada podría causar confusión al evaluar los eventos y podría traer resultados no favorables, por ejemplo, al momento de hacer una auditoria.
Un SOC aplica la sincronización de tiempo en toda la red, aprovechando un servidor de sincronización central y utilizando el protocolo diseñado para llevar información de tiempo de red (NTP) y, esta es la forma más común para aplicar dicha sincronización.
Igualmente, una forma de recopilar los datos es, utilizando el protocolo syslog . Las implementaciones de syslog utilizan el Protocolo de datagramas de usuario (UDP) con el número de puerto por default 514.
Destinos de registro: los cuales son; la dirección IP del colector o SIEM o los nombres del equipo. Dependiendo de la implementación, el originador puede reenviar mensajes de syslog a uno o más destinos.
Protocolo y puerto: Normalmente, estos se establecen en UDP y el puerto 514 de forma predeterminada, en este caso, la opción de cambiar esta configuración depende de la implementación.
Es importante tomar en cuenta que la idea fundamental no es monitorear todo por el simple hecho de hacerlo, sino más bien, diseñar su capacidad de recopilación de datos para que sus objetivos técnicos y de cumplimiento, se lleven a cabo dentro de los límites en los cuales usted es responsable de monitorear.
Gestion vulnerabilidades
Para que las organizaciones prioricen las posibles amenazas y minimicen su superficie de ataque dentro del entorno de la infraestructura, es importante saber a qué vulnerabilidades se encuentran expuestos.
Se hace necesario contar con un proceso que se realice continuamente, de esta forma podrán mantenerse al día con los nuevos sistemas que se agregan a las redes, los cambios que se realizan en los sistemas y el descubrimiento de nuevas vulnerabilidades a lo largo del tiempo.
Al asegurar disponer de todo esto, inicialmente, se traduce en un ahorro de tiempo al investigar y buscar eventos; por tanto, corresponde como uno de los elementos claves de esta serie de publicaciones semanales.
