Llegamos a ustedes gracias a:



Reportajes y análisis

La importancia de crear un Cyber SOC

[17/06/2019] El pasado 11 de junio se realizó sexta edición de su Cyber Security Protection Summit, un evento que la empresa SecureSoft realiza todos los años, y que tiene como propósito ofrecer a los asistentes las más recientes tendencias en cuanto a la ciberseguridad. Para la edición de este año tuvieron como invitado especial a Ioan - Cosmin Mihai, experto en seguridad de Rumania y con experiencia en la policía de ese país.

El evento estuvo dividido en key notes y dos tracks que, en conjunto sumaron 20 presentaciones en total, sobre una diversidad de temas que iban desde la transformación digital hasta la inteligencia artificial y la automatización, todos, obviamente, centradas en sus aplicaciones prácticas en la ciberseguridad.

Las primeras intervenciones fueron de los anfitriones del evento. En un primer momento, Jorge Castañeda, general general corporativo, y Óscar Avilés, CEO y fundador de la compañía, fueron los que tomaron la palabra.

Jorge Castañeda, general general corporativo de SecureSoft.
Framework de seguridad

Castañeda fue el primero en salir frente a los asistentes. Su intervención básicamente constó de señalar lo que la compañía está haciendo en la actualidad. Y lo que dijo fue positivo. La compañía no solo está creciendo en el Perú sino también en la región; prueba de ello es que en la sala no solo se encontraban ejecutivos de la oficina de la compañía en Ecuador, sino también algunos ejecutivos de empresas clientes de ese país. Castañeda también anunció que recientemente habían abierto su oficina en Colombia y que, similarmente, en la sala se encontraban los ejecutivos de la compañía responsables por esa operación.

"Que Perú no solo sea visto por su buena comida o por su buen turismo sino también por su desarrollo tecnológico en la región, y ese es uno de los temas importantes que SecureSoft como corporación desarrolla en su casa matriz en Perú, sostuvo el ejecutivo.

En cuanto al ámbito tecnológico, Castañeda sostuvo que la empresa invierte en desarrollo tecnológico, sigue ampliando las capacidades de su ciber SOC, está incorporando machine learning e inteligencia artificial dentro de sus capacidades.

En el campo de los procedimientos, acaban de lanzar una patente para el desarrollo de un framework que tiene como base la NIST y el ISO 27001 -algo que Avilés, poco después, presentó en el evento- y que es parte de lo que se ofrece a los clientes, desde un punto de vista de las estrategias.

A nivel regional, ya están implementando su primer ciber SOC en un banco en Colombia, y a nivel local han inaugurado nuevas oficinas de 1.500 metros cuadrados con las cuales han ampliado sus capacidades de ciber SOC.

Luego de la presentación de Castañeda subió al escenario Avilés para presentar precisamente el framework del que había hablado Castañeda.

Óscar Avilés, CEO y fundador de SecureSoft
SecureSoft Cyber Security Protection Summit

"El día de hoy quiero presentarles un desarrollo propio que acabamos de lanzar al mercado, que es el marco de referencia para estrategias de ciberseguridad, indicó Avilés.

El marco que presentó se generó porque, sostuvo Avilés, pocas empresas en nuestro mercado realmente tienen un roadmap de seguridad establecido, o muy pocas empresas conocen su nivel de madurez a nivel de seguridad. El framework que SecureSoft ha creado busca llenar esos vacíos.

Para ello se ha basado en la metodología CMMI para evaluar el nivel de madurez. Así, el marco de SecureSoft reconoce cinco niveles (reactivo, documentado, organizado, integrado y sistémico) que corresponden a igual número de niveles en el modelo CMMI.

Igualmente, ha determinado cuatro vectores estratégicos de la ciberseguridad (protección de activos, vigilancia 360, resiliencia y cumplimiento) con los cuales se puede establecer los campos en los cuales se van a realizar las iniciativas para avanzar en el nivel de madurez.

Así, si una empresa ya ha determinado que su nivel de madurez en cuanto a la ciberseguridad es de, por ejemplo, 2,8, sabrá que para avanzar al nivel 3 o 4 en un plazo determinado tendrá que realizar iniciativas en los vectores en los que haya encontrado deficiencias. De esta manera se determina lo que la empresa debe hacer para mejorar su posición en ciberseguridad.

Ioan – Cosmin Mihai, experto en seguridad de Rumania y con experiencia en la policía de ese país.
SecureSoft Cyber Security Protection Summit
Los desafíos recientes

Luego de las presentaciones de los anfitriones del evento, se desarrolló la presentación central, la de Ioan-Cosmin Mihai, quien se concentró en los desafíos que actualmente se tienen que enfrentar en el mundo del cibercrimen. Básicamente, ofreció información sobre las amenazas de tipo software y hardware, y las maneras que existen para enfrentarlas.

El expositor sostuvo que la principal amenaza es la que todos conocemos simplemente como malware. De hecho, es la misma que la del año pasado y su evolución ha sido creciente a lo largo de los años; si en el 2010 se encontraron alrededor de 47 millones de malwares, el año pasado se encontraron 856 millones.

Y, contra lo que pudiera pensarse, el sistema operativo que más incidentes presentó fue Linux, seguido de Unix, con el 41% y 30%, de los incidentes respectivamente. El expositor sostuvo que esta extraña cifra se debe a que es en base a estos sistemas operativos que trabajan muchos servidores de empresas. Windows, en cambio, solo tuvo el 0,44% de los incidentes.

Si se observan los ataques de malwares locales el Perú presenta un 36%, una cifra alta que los coloca al mismo nivel que Bolivia y Venezuela, y de varios países de África y Asia.

Entre los malwares más significativos Mihai presentó a los troyanos financieros, siendo el más representativo Cobalt del 2016; los ransomeware entre los cuales el más representativo fue PUBG del 2018. Dicho sea de paso, el expositor aprovechó la oportunidad para mencionar que existe un proyecto denominado No More Ransom, el cual básicamente ofrece ayuda para las empresas que quieran enfrentar este tipo de malware.

El expositor siguió presentando diferentes tipos de amenazas como el cryptojacking o las botnets, e incluso algunos desafíos técnicos como Spectre que incidían sobre las CPU. Los ataques de ingeniería social también fueron explicados, junto con algunos tips para identificar cuándo un correo electrónico es en realidad un ataque de phishing en cualquiera de sus variantes.

Pero ya hacia el final indicó que hay cosas que necesitamos hacer. Por ejemplo, necesitamos crear una legislación integral y actualizada, crear mecanismos de cooperación para compartir información e incidentes y crear alianzas entre el sector público, el sector privado y la academia. También debemos fortalecer nuestras cibercapacidades, es decir, proyectos de investigación y desarrollo en temas de ciberseguridad y generar modernas herramientas de investigación y capacitación; además de programas de concientización (awareness) y realizar ejercicios de ciberseguridad a nivel nacional e internacional.

Dentro de la empresa, aconsejó algunos elementos básicos de 'higine en ciberseguridad', como minimizar los privilegios administrativos, listas blancas de directorios de aplicaciones, parches para las aplicaciones, parches para los sistemas, y segmentación y segregación de la red.

Para los usuarios aconsejó el uso de políticas de seguridad, el uso de soluciones de seguridad proactivas, la actualización de los sistemas operativos, la actualización de las aplicaciones y el respaldo de los archivos importantes.

Marco Isasi, gerente regional de Ciber SOC de SecureSoft.
SecureSoft Cyber Security Protection Summit
El ciber SOC

La siguiente exposición fue la de Marco Isasi, gerente regional de Ciber SOC de SecureSoft quien básicamente habló sobre lo que implica diseñar, construir y operar un ciber SOC.

Lo primero es tener un marco de referencia, algo que fácilmente se puede encontrar en Internet. Pero lo segundo es ser autodidactas. Dada la velocidad con la que se producen los nuevos tipos de ataques no queda otra alternativa que investigar lo que está ocurriendo en el ciberespacio en términos de amenazas. Además, hay que basarse en mejores prácticas y metodologías. Isasi sostuvo que ellos se basan en Mitre CRIT, Cyber Squad ThreatConnect, BAE Detica CyberReveal, Lockheed Martin Palisade y OpenDNS.

"Toda esta información es nuestro input para poder ofrecerles el mejor servicio, anotó el ejecutivo.

Pero para hacerlo, es necesario conocer otras cosas. Una de ellas, quizás la más importante, es la llamada Cyber Kill Chain, que es básicamente la serie de pasos que siguen los atacantes durante su proceder. Se compone de siete pasos (reconocimiento, armamento, delivery, explotación, instalación, comando y control, y acciones y objetivos). Recién luego de conocer esta cadena, afirma el ejecutivo, es que uno puede crear un ciber SOC.

Y para Isasi el componente más importante en la creación del ciber SOC son las personas, los analistas. El segundo componente es un SIEM, una empresa que no cuente con un SIEM, dice Isasi, difícilmente podrá hacer frente a los ataques, "porque ni siquiera un jedi va a poder leer todos los logs.

El tercer componente es la gestión de vulnerabilidades, ya que ninguna empresa puede garantizar que está 100% segura, ya que siempre existe la posibilidad de que un área de la empresa genere una vulnerabilidad; por ello el proceso de gestión de vulnerabilidades tiene que ser constante. El cuarto componente es la ciberinteligencia, que se trata de toda la información, actualizada, que va a alimentar al SIEM.

Es necesario también saber cómo se están comportando los ataques. Ahora, de acuerdo al expositor, los ataques son cada vez más expertos y tienden a utilizar el componente social; hay que recordar que la persona es el eslabón más débil de la cadena de seguridad.

Otro elemento que se debe de tomar en cuenta al momento de crear el ciber SOC es que se tiene que utilizar un modelo de madurez. En el caso de Isasi, éste recomendó el SOC CMM (capability maturity model) que les sirvió para que la firma obtenga un nivel de madurez 4 sobre 5, el año pasado.

Este modelo consta de cinco pilares (negocio, servicios, tecnología, procesos y personas) en base a los cuales recomienda acciones y tecnologías a utilizar. Por ejemplo, en el pilar de procesos recomienda reportar incidentes, analizarlos, crear playbooks y gestionar las vulnerabilidades. Estos pilares se tienen que desarrollar a lo largo de las cuatro fases (planeación, diseño, construcción y operación) que señala el modelo.

Un consejo que dio Isasi a los profesionales que deseen implementar un ciber SOC es que automaticen sus procesos, algo que ha hecho la propia SecureSoft. En su SOC han implementado dos robots, uno es VVTron Reporteador que se encargan de automatizar la parte operativa del SOC para que el personal pueda enfocarse en otros procesos más importantes; y el otro es VVTron Mensajero que es un script que conecta el servidor de alertas con la aplicación Telegram para que las alertas lleguen a los celulares.