Ciberseguridad: ¿que es un SOC?

06/10/17

El mundo de la seguridad informática es cada día más compleja y ser capaz de manejar muchas más organizaciones de TI incidentes comienzan a considerar la posibilidad de utilizar los servicios de una Centro de Operaciones de Seguridad (SOC) o para construir uno dentro de su organización.

Pero, ¿qué es un Centro de operaciones de seguridad?

Para aclarar un poco, uso un documento que me pareció muy claro y los invito a leer: "Clasificación de los centros de operaciones de seguridad", publicado en 2013 Los autores (Pierre Jacobs, Alapan Arnab, Barry Irwin) trabajan para el Departamento de Ciencias de la Computación de la Universidad de Rhodes en Grahamstown, Sudáfrica.
Lo que nos interesa ahora es resaltar el concepto de SOC para el cual informo el primer párrafo del documento antes mencionado:

"Un Centro de operaciones de seguridad (SOC) se puede definir como una organización de seguridad centralizada [1]. Dependiendo de las capacidades requeridas de un SOC por la empresa o el cliente, un SOC también puede ser responsable de la gestión de los controles técnicos. El objetivo final de un sistema de seguridad social."

Por lo que se ha dicho, está claro de inmediato que el SOC es una estructura organizacional centralizada que se encarga de ayudar a las empresas a identificar, administrar y reparar los ataques de seguridad distribuidos. Un SOC también puede ser llamado para manejar todos los controles técnicos de una compañía que hace uso de sus servicios.
El SOC puede ser interno de la empresa y trabajar solo en apoyo de la empresa u ofrecer servicios a otras empresas también. En cualquier caso, el propósito final de un SOC es mejorar la "postura de seguridad" de una organización identificando y respondiendo a los riesgos y ataques antes de que puedan afectar al negocio principal organización.
Sería mejor decir que el SOC "tiende a evitar el impacto de los ciberataques en los negocios de la organización o, en cualquier caso, a limitar el daño", como una declaración más realista.

En el documento puede encontrar un análisis en profundidad de las funciones y componentes de un SOC, pero en este momento solo nos interesa el concepto descrito anteriormente.
Digamos que SOC no es una invención de nuestros días y ni siquiera se deriva del mundo de las TIC. Ha estado hablando de esto durante mucho tiempo en los entornos que administran la seguridad física y el mundo de las TIC no ha hecho más que adoptarlo.
Actualmente hablamos de SOC de quinta generación, refiriéndonos a estructuras equipadas con capacidades de análisis predictivo así como de seguimiento y respuesta.
Es apropiado resaltar inmediatamente el aspecto, en mi opinión, más importante: una Centro de Operaciones de Seguridad es una unidad organizativa compleja, generalmente centralizada, que se ocupa de identificar, gestionar y solucionar problemas de seguridad de TI y está formada por procesos, herramientas y personas.

Si bien los procesos y las herramientas son fáciles de encontrar y reemplazar si es necesario, lo mismo no se aplica a las personas que necesitan estar preparadas adecuadamente y conocer la organización para la que trabajan.

En general, un SOC utiliza una o más herramientas SIEM, que es Información de seguridad y gestión de eventos, para la agregación y correlación de datos e información de diferentes sistemas.
Y hasta ahora hemos hablado sobre teoría ...

En Italia hay varios SOC administrados por algunas de las compañías más grandes del mundo de las TIC, entre ellos el de la Compañía. Ingeniería, la de la Italtel y la de los Leonardo.

Para comprender mejor la utilidad de los SOC en la sociedad moderna, me dirigí al ingeniero de ingeniería de Pesaresi, un equipo de Italtel y un equipo de Leonardo para hacerles algunas preguntas.

El ciberespacio del ingeniero Pesaresi ha entrado con fuerza en nuestras vidas a través de las noticias diarias, imagino que algo similar está pasando en las organizaciones. ¿Qué importancia tiene el sector cibernético para la ingeniería? ¿Por qué su empresa sintió la necesidad de crear un SOC?

Ingeniería: Soy el gerente comercial de la BU (Unidad de negocios, ed.) Defensa y espacio en ingeniería. En la visión de la empresa con el problema de la seguridad de la información, y la ciberseguridad debe abordarse a través de un enfoque multidisciplinario, basado en la unificación e integración de las posibles habilidades legales, económicos y tecnológicos, como viene siendo evidente hoy en día que la identificación de soluciones efectivas y Además de las habilidades obvias en el campo de las TIC, las respuestas a los desafíos planteados también requieren una comprensión profunda de los aspectos regulatorios, la dominación y la evaluación de los impactos socioeconómicos.
En estos campos de la ingeniería presta la máxima atención a la seguridad cibernética, ya que se consideraba de importancia primordial para la protección de la información almacenada y procesada por los sistemas informáticos y transmitida a través de redes, con el objetivo de garantizar la confidencialidad, integridad y disponibilidad de la información.
La oferta del Grupo en el campo de la seguridad cibernética se especializa en seguridad de aplicaciones, seguridad perimetral de las infraestructuras de TI, seguridad en el intercambio de información entre redes con diferentes niveles de clasificación y la seguridad de las infraestructuras críticas.

El Grupo de Ingeniería opera a través de una red integrada de centros de datos 4 encuentra en Pont-Saint-Martin, Turín, Milán y Vicenza, cuenta con un sistema de servicios e infraestructuras que proporcionan el mejor nivel tecnológico, la calidad y la seguridad a los clientes sobre 330 tanto a nivel nacional como internacional. En este contexto, para garantizar el marco de seguridad de la información necesario para los datos y sistemas de nuestros clientes, el principal centro de datos del Pont Saint Martin está equipado con un centro de operaciones de seguridad de última generación.

También en Italtel puede contar con un SOC nacional. Esto sugiere que el sector cibernético es muy importante, ¿o sí?

ItaltelLa transformación digital aumenta la superficie de exposición a los ciberataques que están cada vez más evolucionados. Por tanto, es importante proporcionar soluciones y servicios de calidad para garantizar la protección de datos, la resistencia de las infraestructuras críticas y contrarrestar las amenazas avanzadas. La Ciberseguridad es un pilar fundamental de nuestra oferta dirigida a la Administración Pública, empresas y Prestadores de Servicios, nuestra histórica área de fortaleza. Fundada como empresa de telecomunicaciones, Italtel ha diversificado su oferta desde hace varios años y hoy es una multinacional italiana en el sector de las Tecnologías de la Información y las Comunicaciones y aborda con sus soluciones diversos sectores verticales como: Administración Pública, Salud, Defensa, Finanzas, Energía. , Industria 4.0, Smart Cities, sin dejar de lado las Telecomunicaciones. Los servicios Italtel SOC nacieron ya en 2001 con la adquisición de SecurMatics, desarrollando la necesidad de garantizar una gestión eficaz y continua de los niveles de seguridad del cliente junto con servicios profesionales de red y gestión de la infraestructura a través de nuestras redes. Centro de Operaciones (NOC) y Centro de Asistencia Técnica (TAC). En la actualidad, el panorama de las amenazas está en constante cambio y, por tanto, es importante potenciar las soluciones y los servicios, incluidos los gestionados, en una única línea de oferta dirigida a administraciones públicas, empresas y proveedores de servicios.

Visité el SOC de Leonardo hace un tiempo y me impresionó ...

Leonardo: Leonardo garantiza el rendimiento, la continuidad y la superioridad de la información de los sistemas de sus clientes, además de proteger sus infraestructuras y aplicaciones a través de intervenciones específicas. También desarrolla soluciones digitales seguras, identificando, reduciendo y gestionando amenazas, vulnerabilidades y riesgos. En este contexto, Leonardo es capaz de brindar soluciones innovadoras para contrarrestar las ciberamenazas, cada vez más omnipresentes y estructuradas, que hacen de la protección de los activos tecnológicos, informativos e intelectuales de toda organización, civil o militar, una necesidad urgente. Entre los logros más importantes en el sector de la ciberseguridad, Leonardo ha proporcionado un sistema "llave en mano" a la OTAN para el desarrollo, implementación y apoyo de la Capacidad de respuesta a incidentes informáticos de la OTAN (NCIRC), que proporciona servicios a más de 70.000 usuarios en 29 Países. La capacidad de ofrecer protección también se ve reforzada por sofisticadas soluciones de inteligencia, aplicables tanto a datos de fuente abierta como a fuentes heterogéneas, para respaldar las necesidades de las agencias policiales y de investigación.

¿Es su SOC para uso interno o para uso externo? ¿Cuáles son los servicios que hace su SOC? ¿Cuáles son los servicios más solicitados?

Italtel: Nuestro SOC está dirigido principalmente al mercado con servicios personalizados según el tipo de clientes. Básicamente, existen dos macrogrupos de clientes típicos. Las grandes empresas, que se han dotado de un gobierno de seguridad adecuado, ya han internalizado sus equipos operativos, pero requieren servicios o habilidades específicas del exterior que no pueden abordar, como los servicios de inteligencia de amenazas o respuesta a incidentes (IR). . Las empresas medianas que nos piden, además de los servicios SOC totalmente subcontratados, también tener un rol de socio / consultor capaz de realizar evaluaciones continuas y análisis de brechas para aumentar el nivel de protección. Entre otras cosas, mantener un SOC operativo requiere una inversión continua en capacitación y tecnologías para respaldar la operación.

¿Cuál es la situación para la ingeniería? ¿Cuáles son los servicios más solicitados?

Ingeniería: Nuestro SOC proporciona servicios tanto para uso interno como, sobre todo, a favor de nuestros clientes, que se distribuyen en todas las áreas de mercado, a saber, finanzas, telecomunicaciones, servicios públicos, industria y servicios, y también la administración pública a la que prestamos servicios en varios niveles desde la consultoría definición de gobierno orientado a la alta, los servicios de evaluación, tales como pentration pruebas, assesment Vulnerabilty y hacking ético, para descender a los servicios de un SOC como la seguridad del equipo de respuesta, seguridad de la infraestructura y soluciones de gestión de DDoS. Además, también creamos proyectos específicos para que nuestros clientes implementen soluciones de seguridad tales como gestión de acceso a la identidad, autenticación fuerte y seguridad de dispositivos móviles. Finalmente, estamos implementando algunos proyectos piloto de solución de inteligencia de amenaza cibernética, destinados a predecir posibles ciberataques por adelantado.

LeonardoLeonardo ha creado dos SOC, uno en Italia y el otro en el Reino Unido. La principal es la de Chieti, un centro de excelencia en el campo de la seguridad cibernética y la amenaza de Inteligencia, que se dedica a la protección contra las amenazas informáticas en sus principales sectores (es decir, las infraestructuras críticas, Negocio corporativo, administración pública, defensa, agencias de inteligencia, las instituciones nacionales e internacional). En el sitio de Chieti se asignan los principales activos de referencia:
- SOC Business (Security Operation Center), a través del cual se garantiza la capacidad de detección y monitoreo 24x7 para todos los clientes nacionales e internacionales de Leonardo;
- CSIRT (Equipo de respuesta a incidentes de seguridad informática), a través del cual se garantiza la pronta respuesta a un ataque informático;
- Cyber ​​Threat Intelligence (es decir, servicios de inteligencia de código abierto basados ​​en middleware propietario implementado en una plataforma de supercomputación de alto rendimiento - High Performance Computer).
El centro operativo de seguridad de Chieti es hoy uno de los proveedores de servicios de seguridad más importantes (MSSP) en Europa, en cuanto a la integridad de la cartera de servicios prestados y en relación con la cantidad de clientes y plataformas monitoreadas. Algunos números más significativos: más que el registro 50,000 recibido, agregado y recolectado por segundo; más que eventos de seguridad 30,000 recopilados y relacionados con el segundo. El SOC gestiona una media de incidentes de seguridad 50 de un día, la aplicación de las principales mejores prácticas internacionales pertinentes (por ejemplo. NIST-800-xx, ENISA) con el fin de reducir los accidentes y respuesta oportuna a las amenazas a la seguridad cibernética de hoy en día. En Chieti, los expertos en seguridad de 100 trabajan, incluido Certified Ethical Hacker especializado en evaluación de vulnerabilidad y prueba de penetración. Cada año, los avisos de alerta temprana se analizan y se envían a los clientes de 500. El sitio también tiene varias certificaciones de Managed Security Services.

Para mantener un SOC operativo, supongo, hay que centrarse en la investigación y el desarrollo. ¿Cuánto invierte en porcentaje y en qué sectores del ciberespacio?

Ingeniería: La ingeniería cree en la investigación y la necesidad de transformar el potencial de la tecnología de la información en oportunidades de crecimiento para sus clientes a través de la innovación, en una alineación continua con la evolución de las tecnologías, los procesos y los modelos de negocios.
Engineering ha abierto el primer laboratorio de investigación en 1987 y hoy, en colaboración con empresas, universidades y centros de investigación a nivel nacional e internacional, cuenta con:

Investigadores 250

Proyectos de investigación 70 en progreso

Laboratorios de desarrollo 6

aproximadamente 30 millones de euros de inversiones anuales en Investigación e Innovación.

La ciberseguridad es uno de los temas en los que estamos invirtiendo más en términos de investigación, en particular en Europa, donde Ingeniería está presente con un laboratorio llamado IS3Lab (Sistemas de Inteligencia y Software Social) que participa con un papel principal en los principales proyectos de investigación financiada bajo Horizon2020.

¿Tienes asociaciones con organizaciones de seguridad? ¿Qué tipo de relaciones existen entre su SOC y el CERT nacional?

Ingeniería: Engineering es también uno de los miembros fundadores de la ECSO (Organización Europea de Seguridad Cibernética) que reúne a las principales compañías europeas involucradas en la seguridad de TI, y que está colaborando con las instituciones europeas para definir una estrategia común en el campo de la Seguridad Cibernética.

LeonardoLa colaboración es un factor de éxito crítico en esta área. Colaboramos con numerosas compañías internacionales y proveedores de tecnología con quienes intercambiamos información sobre nuevas amenazas y vulnerabilidades. Gracias a las habilidades reconocidas por el mercado, somos el socio estratégico de muchas de las organizaciones públicas y privadas más importantes de Europa y más allá. Esto nos permite apoyar a estas organizaciones en el diseño e implementación de sus sistemas de seguridad informática. Con ellos podemos intercambiar información según lo requerido por las relaciones contractuales. Finalmente, participamos en grupos de trabajo y tablas de comparación institucional en Europa (por ejemplo, ECSO), así como en Italia y el Reino Unido.
También se desarrolla un importante proyecto de asociación junto con la OTAN.
Leonardo y la Agencia de Comunicaciones e Información de la Alianza Atlántica (NCI - Agencia de Comunicaciones e Información) han firmado un acuerdo de colaboración sobre seguridad de la información con el fin de compartir información confidencial para mejorar el conocimiento del contexto de referencia y aumentar la protección de sus respectivas redes y sistemas.
Esta iniciativa de colaboración tiene como objetivo compartir información sobre ciberamenazas y prácticas de seguridad que se adoptarán y reconoce la importancia de trabajar con socios industriales confiables para que la Alianza pueda cumplir plenamente sus objetivos de protección contra el delito cibernético. Leonardo cooperará con la agencia NCI para comprender mejor los últimos modelos de amenazas y atacar las tendencias. Esto hará que la aplicación de medidas preventivas sea más efectiva y mejorará la capacidad de la compañía de salvaguardar la información, reduciendo así el alcance de cualquier intento futuro de intrusión.

¿Cuál es el mercado de los servicios de seguridad informática en Italia? Dado el mayor interés en la ciberseguridad, ¿ha aumentado el mercado en el último período?

Ingeniería: En Italia, el mercado de seguridad de TI ha tardado en despegar porque nuestros clientes no eran muy sensibles a este tipo de amenazas. Quizás la brecha tecnológica italiana ha jugado un papel importante, que es uno de los menos conectados y, por lo tanto, intrínsecamente menos expuesto a los riesgos de TI. Sin embargo, en los últimos meses, tal vez debido a los recientes incidentes de ataques que han puesto en peligro la reputación de muchas empresas, la cuestión que se vio anteriormente como un problema técnico gestionado por el CIO / OSC, se ha elevado a la atención de los vértices han empezado a tomar conciencia de las consecuencias para la reputación que una empresa puede sufrir por los ciberataques. Como resultado, el mercado italiano parece arrojar una mirada más cercana a la cuestión de la protección de datos y los sistemas de negocio, y cada vez más están empezando clientes a resolver el problema, pidiendo, en primera instancia para el análisis de riesgos y, posteriormente, haciendo actividades de puesta seguridad de sus infraestructuras de TIC.

LeonardoEn el período 2013-2018, el mercado mundial de la seguridad cibernética crece con una tasa de crecimiento anual compuesta (CAGR) del 10,4% hasta un valor esperado de 80 millones de euros en 2018; el mercado italiano crece con un CAGR del 8,6% por un valor de aprox. 2B € en 2018. El informe Assinform 2017 indica un crecimiento en el mercado de seguridad de TI de más del 11% durante el año pasado.
En el contexto italiano, el sector Gobierno / Defensa representa el 20% del mercado, mientras que el Clúster Empresarial en torno al 80% (del que el sector CNI - Infraestructura Nacional Crítica - tiene un impacto de más de la mitad).

¿Qué tipo de personal puede encontrar empleo en un SOC? ¿Qué tipo de estudios y qué especializaciones necesitas?

IngenieríaEn nuestro SOC contamos con ingenieros informáticos especializados en seguridad de redes y software. Desafortunadamente, estos profesionales son difíciles de encontrar en el mercado porque hay pocos programas de estudio en Italia destinados a preparar ingenieros expertos en seguridad informática. Para llenar este vacío, empezamos a nuestra escuela TIC "Enrico Della Valle", una serie de cursos especializados en seguridad cibernética diseñados principalmente para capacitar al personal interno, sino también abierta al exterior a aquellas organizaciones que deseen especializar sus empleados.

LeonardoContamos con expertos en seguridad de TI y jóvenes técnicos e ingenieros con conocimientos teóricos de los estándares y protocolos de seguridad de TI, de los principales problemas de seguridad. Preferimos personal con alta propensión a resolver problemas de red y seguridad, conocimiento de los estándares y mejores prácticas de referencia para el gobierno de la Seguridad TIC, la prevención y gestión de incidentes de seguridad informática y conocimiento de temas de seguridad orientados a proteger redes y sistemas de control y automatización.

¿Por qué sus clientes recurrieron a usted? ¿Seguir accidentes cibernéticos o prevenir problemas?

Italtel: Italtel ha trabajado tradicionalmente en el diseño y construcción de infraestructuras de red para proveedores de servicios globales y en nuestra experiencia el elemento de seguridad siempre ha sido un factor clave en muchos aspectos. En virtud de esta experiencia, muchos clientes nos han recurrido a Cyber ​​Security porque ya han tenido la oportunidad de probar nuestra calidad de servicio en la administración de redes complejas.

Ingeniería: Como se mencionó anteriormente, nuestra compañía ha estado brindando servicios de TIC a nuestros clientes públicos y privados durante décadas, y en este contexto siempre ha sido una obligación para nosotros garantizar los más altos niveles de seguridad lógica y física. Muchos de estos clientes administran su infraestructura por lo que sintieron la necesidad de mejorar sus niveles de seguridad. Por lo tanto, era casi natural que nuestros clientes, a la luz de nuestras capacidades reconocidas, nos pidieran asesoramiento sobre ciberseguridad. Sin embargo, recientemente, nuestra compañía ha comenzado un negocio de promoción de su experiencia en el sector de ciberseguridad también en relación con todo el mercado.

En su opinión, ¿cuál es la cifra más importante, si existe, dentro de un SOC? Y si tuviera que dirigirse a los jóvenes, invitándolos a estudiar una o más asignaturas, ¿qué podría sugerir?

Ingeniería: Diría que no hay una figura más importante que las otras. La ciberseguridad es un tema multidisciplinario que requiere habilidades variadas, que van desde la gobernanza hasta cuestiones más estrictamente técnicas que involucran a toda la infraestructura de TIC, desde los niveles más bajos de la red hasta los niveles más altos de aplicaciones.
Por lo tanto, la única sugerencia que le daría a un ingeniero informático joven es especializarse en cualquier tema relacionado con la ciberseguridad, ya que sin duda encontrará una empresa disponible para contratarlo.

Italtel: Si tuviéramos que identificar una figura importante, entonces diría que el SOC MANAGER es el rol fundamental para la prestación del servicio, capaz tanto de gobernar como de estimular a los analistas de seguridad en las fases más delicadas de la gestión de un incidente informático y de gestionar adecuadamente comunicaciones con el mundo exterior.

¿Qué herramientas usas en tu SOC? ¿Qué SIEM usas?

IngenieríaNuestro SOC utiliza los llamados productos de "marca". Sin embargo, existe un creciente enfoque en el código abierto no solo por cuestiones económicas, sino también por las necesidades de "seguridad nacional". De hecho, la tendencia es intentar controlar el código fuente también para este tipo de productos.

Desde el punto de vista reglamentario, la nueva "Directiva con directrices para la protección cibernética y la ciberseguridad nacional", DPCM emitió el 17 2017 de febrero y publicado en el Boletín Oficial, serie general n. 87 de 13 April 2017, parece prometer grandes cambios, ¿qué opinas?

Italtel: El DPCM Gentiloni mejora y optimiza la cadena nacional de toma de decisiones en el manejo del dominio cibernético, el terreno principal de conflictos futuros. Además, el modelo cooperativo y colaborativo entre las instituciones y las infraestructuras críticas, creo, es fundamental para enfrentar las amenazas que nos aguardan.

LeonardoCon 17 / 2 / 2017 DPCM y el posterior Plan Nacional, el Departamento de Información de Seguridad (DIS) adquiere el papel principal de las actividades de ciberseguridad a nivel nacional.
El rol se ejercerá a través de dos estructuras dedicadas respectivamente a la primera "operativa" y la segunda a aquellas de naturaleza estratégica y evolutiva. En el campo operativo, se establece un servicio de Inteligencia y Seguridad Cibernética (NSC) con el objetivo de administrar h24, la unidad para alertar y responder a situaciones de crisis cibernéticas, adquirir comunicaciones sobre violaciones o intentos de violar organizaciones de información para seguridad, por las Fuerzas Policiales, por las estructuras del Ministerio de Defensa (que permanecen separadas) y por el CERT (Equipo de Preparación / Respuesta ante Emergencias Informáticas).
También se prevé la creación de laboratorios de evaluación nacional y certificación de componentes TIC de mercado destinados a infraestructuras críticas y estratégicas, desarrollo de criptografía nacional, Investigación y Desarrollo en tecnologías soberanas.
Leonardo puede proporcionar habilidades y servicios para apoyar las operaciones del DIS. En particular, esto se refiere a las áreas de Inteligencia de amenazas e Inteligencia de código abierto, modelos, soluciones y capacidades para admitir CERT, sistemas y servicios para capacitación (Cyber ​​range / Cyber ​​Academy), competencias de consolidación de infraestructura y aplicaciones, habilidades de " endurecimiento "de los sistemas.
Un elemento interesante es, además, el centro de investigación y desarrollo en tecnologías soberanas de seguridad cibernética, que probablemente se establecerá en el contexto de una colaboración entre los sectores público y privado, creando un ecosistema que ve la colaboración de instituciones, industria y academia.

Ingeniería: Sin duda, era necesario dar una "gobernanza" a la ciberseguridad nacional y la Directiva ciertamente va en esta dirección al confiar al DIS un papel central de liderazgo. Sin embargo, se debe hacer todo lo posible para garantizar que el enfoque no sea tratar el asunto como un asunto "confidencial" para unos pocos profesionales, sino abordar el problema con la máxima apertura posible, involucrando a todas las partes involucradas, tanto públicas como privadas. especialmente privado.

Creo que la descripción general hecha con la ayuda de Italtel, Engineering y Leonardo es suficiente para ilustrar la importancia de los SOC y los servicios de ciberseguridad brindados, por lo que solo queda agradecer a todos por su disponibilidad y espero que puedan ayudar a hacer un poco. de claridad en el mundo cibernético sobre el concepto de SOC.
I SOCser claro, son solo un aspecto de la ciberseguridad. Centro de operaciones de red (NOC) e Centro de operaciones de infraestructura (IOC) con sus variantes completan las estructuras utilizadas en la gestión del ciberespacio y espero tener la oportunidad de hablar de ello pronto.

Alessandro Rugolo y Ciro Metaggiata

Para obtener más información:
- http://ieeexplore.ieee.org/document/6641054/
- http://icsa.cs.up.ac.za/issa/2013/Proceedings/Full/58/58_Paper.pdf;
-http://academic.research.microsoft.com/Publication/12790770/security-ope...
https://www.slideshare.net/ahmadhagh/an-introduction-to-soc-security-ope...
http://www.eng.it/
http://www.leonardocompany.com/
http://www.italtel.com/it/

(foto: Leonardo)