Scribd
Cargar
32 vistas6 páginas

Capitulo 1 - CyberOps

La ciberseguridad implica múltiples capas de protección en computadoras, redes y datos, donde personas, procesos y tecnología trabajan en conjunto para prevenir ciberataques. Existen diversas amenazas como phishing, ransomware y malware, así como actores de amenazas que van desde cibercriminales hasta ciberterroristas. Los centros de operaciones de seguridad (SOC) son fundamentales para monitorear y gestionar la seguridad, utilizando tecnologías como SIEM y SOAR para detectar y responder a incidentes.

Cargado por

kennethzamora1980
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd
32 vistas6 páginas

Capitulo 1 - CyberOps

La ciberseguridad implica múltiples capas de protección en computadoras, redes y datos, donde personas, procesos y tecnología trabajan en conjunto para prevenir ciberataques. Existen diversas amenazas como phishing, ransomware y malware, así como actores de amenazas que van desde cibercriminales hasta ciberterroristas. Los centros de operaciones de seguridad (SOC) son fundamentales para monitorear y gestionar la seguridad, utilizando tecnologías como SIEM y SOAR para detectar y responder a incidentes.

Cargado por

kennethzamora1980
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd

¿Sobre qué trata la ciberseguridad?

Un enfoque exitoso de ciberseguridad tiene múltiples capas de protección repartidas en las


computadoras, redes, programas o datos que uno pretende mantener a salvo. En una
organización, las personas, los procesos y la tecnología deben complementarse para crear
una defensa eficaz contra los ciberataques.

Personas
Los usuarios deben comprender y cumplir con los principios básicos de seguridad de datos,
como elegir contraseñas seguras, ser cautelosos con los archivos adjuntos de los correos
electrónicos y hacer copias de seguridad de datos.

Procesos
Las organizaciones deben tener una estructura para manejar los ciberataques tentativos y
sospechosos. Una estructura de buena reputación puede guiar y explicar cómo puede
identificar ataques, proteger sistemas, detectar y responder a amenazas, y recuperarse de
ataques exitosos.
Vea la explicación en video del marco de ciberseguridad del NIST (1:54)
[Link]

Tecnología
La tecnología es esencial para brindar a las organizaciones y los individuos las herramientas
de seguridad informática necesarias para protegerse de ciberataques. Se deben proteger
tres entidades importantes: los dispositivos Endpoints (como computadoras, dispositivos
inteligentes y routers), las redes y la nube.
La tecnología común que se usa para proteger estas entidades incluye firewalls de próxima
generación, filtrado de DNS, protección contra malware, software antivirus y soluciones de
seguridad de correo electrónico.

Tipos de amenazas a la ciberseguridad


Suplantación de identidad (phishing)
La suplantación de identidad (phishing) es la práctica de enviar correos electrónicos
fraudulentos que se asemejan a correos electrónicos de fuentes de buena reputación. El
objetivo es robar datos sensibles, como números de tarjetas de crédito e información de
inicio de sesión. Es el tipo más común de ciberataque. Puede protegerse mediante la
educación o una solución tecnológica que filtre los correos electrónicos maliciosos.
Ransomware
El ransomware es un tipo de software malicioso. Está diseñado para exigir dinero mediante
el bloqueo del acceso a los archivos o el sistema informático hasta que se pague un
rescate. El pago del rescate no garantiza que se recuperen los archivos o se restaure el
sistema.

Malware
El malware es un tipo de software diseñado para obtener acceso no autorizado o causar
daños en una computadora.

Ingeniería social
La ingeniería social es una táctica que los adversarios usan para engañarlo a fin de que
revele su información confidencial. La ingeniería social puede combinarse con cualquiera
de las amenazas listadas anteriormente para predisponerlo a hacer clic en un enlace,
descargar malware o confiar en una fuente maliciosa.

¿Qué es un actor de amenazas?


Los actores de amenazas, también conocidos como actores de amenazas cibernéticas o
actores malintencionados, son individuos o grupos que causan daños intencionadamente a
dispositivos o sistemas digitales.

Tipos de actores de amenazas


• Cibercriminales: Estos individuos o grupos cometen ciberdelitos, sobre todo para
obtener beneficios económicos.
• Actores del Estado-nación: Con frecuencia, los Estados y los gobiernos financian a
los actores de las amenazas con el objetivo de robar datos sensibles, recopilar
información confidencial o interrumpir la infraestructura crítica de otro gobierno.
Estas actividades maliciosas a menudo incluyen el espionaje o la ciberguerra y
tienden a estar altamente financiadas, lo que hace que las amenazas sean
complejas y difíciles de detectar.
• Hacktivistas: Estos actores de amenazas utilizan técnicas de pirateo para
promover agendas políticas o sociales, como difundir la libertad de expresión o
destapar violaciones de los derechos humanos. Los hacktivistas creen que están
provocando un cambio social positivo y se sienten justificados para atacar a
individuos, organizaciones o agencias gubernamentales con el fin de revelar
secretos u otra información sensible. Un ejemplo bien conocido de grupo hacktivista
es Anonymous,
• Buscadores de emociones: Como su nombre indica, la principal motivación de los
buscadores de emociones es atacar sistemas informáticos por diversión. Una clase
de buscadores de emociones, los llamados "script kiddies", no tienen
conocimientos técnicos avanzados, pero utilizan herramientas y técnicas
preexistentes para atacar sistemas vulnerables.
• Amenazas internas: A diferencia de la mayoría de los demás tipos de actores, los
actores de amenazas internas no siempre actúan con mala intención. Algunos
perjudican a sus empresas por errores humanos. Pero también existen los
empleados malintencionados, como los empleados descontentos que abusan de
sus privilegios de acceso para robar datos con fines lucrativos o dañan datos o
aplicaciones.
• Ciberterroristas: Los ciberterroristas lanzan ciberataques por motivos políticos o
ideológicos que amenazan o conducen a actos de violencia. Algunos
ciberterroristas son agentes del Estado-nación, otros actúan por su cuenta o en
nombre de un grupo no gubernamental.

Impacto de la amenaza

La información que permite identificar personas (Personally Identifiable Information, PII) es


cualquier dato que pueda utilizarse para identificar inequívocamente a una persona.
Algunos ejemplos de PII son los siguientes:

• Nombre
• Número de seguridad social
• Fecha de nacimiento
• Números de tarjetas de crédito
• Números de cuentas bancarias
• Identificación emitida por el gobierno
• Información sobre dirección (calle, correo electrónico, números de teléfono)

Uno de los objetivos más lucrativos de los ciberdelincuentes es obtener listas de PII que
puedan vender en la web oscura.

La Información confidencial sobre la salud (Protected Health Information, PHI) es un


subconjunto de la PII. La comunidad médica crea y mantiene registros médicos
electrónicos (EMR) en los Estados Unidos, la manipulación de la PHI está regulada por la
Ley de Transferibilidad y Responsabilidad del Seguro Médico (HIPAA). En la Unión Europea,
el Reglamento General de Protección de Datos (RGPD) protege una amplia gama de
información personal incluyendo registros médicos.

La información de seguridad personal (Personal Security Information, PSI) incluye nombres


de usuario, contraseñas y otra información relacionada con la seguridad que los individuos
utilizan para acceder a información o servicios de la red.

El centro de operaciones de seguridad (SOC – Security Operations Center)


Los SOC proporcionan una amplia gama de servicios, que abarcan desde el seguimiento y
la gestión hasta soluciones completas contra amenazas y seguridad alojada que se pueden
personalizar para satisfacer las necesidades del cliente.

Las personas en el SOC

Los roles de trabajo en un SOC están evolucionando rápidamente. Tradicionalmente, los


SOC asignan roles de trabajo por niveles, de acuerdo con la experiencia y las
responsabilidades que requiere para cada uno. Los trabajos de primer nivel son más
básicos, mientras que los trabajos de tercer nivel requieren una amplia experiencia.

• Analistas de alertas nivel 1 – Estos profesionales monitorean las alertas entrantes,


verifican que sea un incidente verdadero haya ocurrido y reenvían los tickets al nivel
2, si es necesario

• Respuesta de incidentes nivel 2 - Estos profesionales son responsables de realizar


una investigación profunda de los incidentes y aconsejar soluciones o acciones para
ser tomadas.

• Cazador de amenazas de nivel 3 – Estos profesionales tienen un nivel experto de


habilidad en la red, punto terminal, inteligencia de amenazas e ingeniería reversa de
malware Son especialistas en seguir los procesos del malware para determinar su
impacto y cómo eliminarlo. Los cazadores de amenazas buscan amenazas
cibernéticas que están presentes en la red pero que aún no se han detectado.

• Administrador del SOC – Este profesional administra todos los recursos del SOC y
sirve como punto de contacto con el resto de la organización o el cliente.
Los procesos en el SOC

El día de un analista de ciberseguridad comienza con el monitoreo de colas de alertas de


seguridad. El sistema de tickets es frecuentemente utilizado para asignar alertas a la cola
para que un analista las investigue. Dado que el software que genera alertas puede activar
falsas alarmas, una de las tareas del analista de ciberseguridad puede ser verificar que una
alerta sea realmente un incidente de seguridad. Cuando la verificación está establecida, el
incidente puede ser reenviado a investigadores u otro personal de seguridad sobre el que
actuar. De lo contrario, la alerta puede descartarse como falsa alarma.

Tecnologías en el SOC: SIEM

Un SOC necesita un sistema de administración de información y eventos de seguridad


(Security Information and Event Management System, SIEM) o equivalente. SIEM da sentido
a todos los datos que generan los firewalls, dispositivos de red, sistemas de detección de
intrusiones y otros dispositivos.

Los sistemas SIEM se utilizan para recopilar y filtrar datos, detectar y clasificar amenazas y
analizar e investigar amenazas. Los sistemas SIEM también pueden administrar recursos
para implementar medidas preventivas y hacer frente a amenazas futuras.

Tecnologías en el SOC: SOAR

SIEM y la coordinación de seguridad, automatización y respuesta (SOAR) se emparejan a


menudo, ya que tienen capacidades que se complementan entre sí.

Los grandes equipos de operaciones de seguridad (SECops) utilizan ambas tecnologías


para optimizar su SOC.

Las plataformas SOAR permiten agregar, correlacionar y analizar alertas igual que las SIEM.
Sin embargo, la tecnología SOAR va un paso más allá al integrar la inteligencia de amenazas
y automatizar los flujos de trabajo de investigación y respuesta de incidentes basados en
playbooks desarrollados por el equipo de seguridad.

La mayoría de las redes empresariales tienen que estar funcionando en todo momento. El
personal de seguridad entiende que, para que la organización logre sus prioridades, debe
mantenerse la disponibilidad de la red.
El tiempo de actividad preferido a menudo se mide en la cantidad de minutos de inactividad
en un año, como se muestra en la tabla. Entre los ejemplos, un tiempo de actividad de “cinco
nueves” indica que la red está activa el 99,999 % del tiempo, es decir, permanece inactiva
menos de 5 minutos por año. “Cuatro nueves” equivale a un tiempo de inactividad de 53
minutos por año.
Tiempo de
Disponibilidad %
inactividad

99,8 % 17,52 horas

99,9% ("tres nueves") 8,76 horas

99,99% ("cuatro nueves") 52,56 minutos

99,999% ("cinco nueves") 5,256 minutos

99,9999% ("seis nueves") 31.56 segundos

99,99999% ("siete nueves") 3.16 segundos

También podría gustarte