Introducción

Cubrimos una introducción al centro de operaciones de seguridad y cómo funciona, cuáles son las diferentes funciones y responsabilidades, como el monitoreo de la red y la detección de intrusiones, la respuesta a incidentes y la gestión de vulnerabilidades. Esto fue parte de TryHackMe Introducción a la ciberseguridad.

Obtenga notas del certificado OSCP

Centro de operaciones de seguridad (SOC) es un equipo de profesionales de seguridad de TI encargados de monitorear la red y los sistemas de una empresa las 24 horas del día, los siete días de la semana. Su finalidad de seguimiento es:

    • Encuentra vulnerabilidades en la red.: A vulnerabilidad es una debilidad que un atacante puede aprovechar para realizar cosas más allá de su nivel de permiso. Se puede descubrir una vulnerabilidad en el software de cualquier dispositivo (sistema operativo y programas) en la red, como un servidor o una computadora. Por ejemplo, el SOC podría descubrir un conjunto de computadoras con MS Windows que deben ser parcheadas contra una vulnerabilidad publicada específica. Estrictamente hablando, las vulnerabilidades no son necesariamente responsabilidad del SOC; sin embargo, las vulnerabilidades no solucionadas afectan el nivel de seguridad de toda la empresa.

    • Detectar actividad no autorizada: Considere el caso en el que un atacante descubrió el nombre de usuario y la contraseña de uno de los empleados y los utilizó para iniciar sesión en el sistema de la empresa. Es fundamental detectar este tipo de actividad no autorizada rápidamente antes de que cause algún daño. Muchas pistas pueden ayudarnos a detectar esto, como la ubicación geográfica.

    • Descubra violaciones de políticas: A politica de seguridad es un conjunto de reglas y procedimientos creados para ayudar a proteger una empresa contra amenazas a la seguridad y garantizar el cumplimiento. Lo que se considera una infracción variará de una empresa a otra; Los ejemplos incluyen la descarga de archivos multimedia pirateados y el envío de archivos confidenciales de la empresa de forma insegura.

    • Detectar intrusionesIntrusiones consulte intrusiones en el sistema y la red. Un escenario de ejemplo sería el de un atacante que explotara con éxito nuestra aplicación web. Otro escenario de ejemplo sería el de un usuario que visita un sitio malicioso e infecta su computadora.
  • Apoyo en la respuesta a incidentes.: Un incidente puede ser una observación, una violación de la política, un intento de intrusión o algo más dañino, como una infracción importante. Responder correctamente ante un incidente grave no es una tarea fácil. El SOC puede ayudar al equipo de respuesta a incidentes a manejar la situación.

Fuentes de datos

El SOC utiliza muchas fuentes de datos para monitorear la red en busca de signos de intrusiones y detectar cualquier comportamiento malicioso. Algunas de estas fuentes son:

  • Registros del servidor: Hay muchos tipos de servidores en una red, como un servidor de correo, un servidor web y un controlador de dominio en redes MS Windows. Los registros contienen información sobre diversas actividades, como intentos de inicio de sesión exitosos y fallidos, entre muchos otros. Hay una gran cantidad de información que se puede encontrar en los registros del servidor.
  • DNS actividadDNS significa Sistema de nombres de dominio y es el protocolo responsable de convertir un nombre de dominio, como tryhackme.com, a una dirección IP, como 10.3.13.37, entre otras consultas relacionadas con nombres de dominio. Una analogía de la DNS La consulta es: "¿Cómo puedo acceder a TryHackMe?" y alguien respondiendo con la dirección postal. En la práctica, si alguien intenta navegar tryhackme.com, el DNS El servidor tiene que resolverlo y puede registrar la consulta DNS para monitorear. El SOC puede recopilar información sobre los nombres de dominio con los que los sistemas internos intentan comunicarse simplemente inspeccionando las consultas de DNS.
  • Registros de firewall: Un firewall es un dispositivo que controla los paquetes de red que entran y salen de la red, principalmente dejándolos pasar o bloqueándolos. En consecuencia, los registros del firewall pueden revelar mucha información sobre qué paquetes pasaron o intentaron pasar a través del firewall.
  • DHCP registrosDHCP significa Protocolo de configuración dinámica de host y se encarga de asignar una dirección IP a los sistemas que intentan conectarse a una red. Una analogía de la solicitud DHCP sería cuando ingresa a un restaurante elegante y el camarero le da la bienvenida y lo guía a una mesa vacía. Sepa que DHCP le ha proporcionado automáticamente a su dispositivo la configuración de red cada vez que puede unirse a una red sin configuración manual. Al inspeccionar las transacciones DHCP, podemos conocer los dispositivos que se unieron a la red.

Estas son algunas de las fuentes de datos más comunes; sin embargo, se pueden utilizar muchas otras fuentes para ayudar en el monitoreo de la seguridad de la red y otras tareas del SOC. Un SOC podría utilizar un sistema de gestión de eventos e información de seguridad (SIEM). El SIEM agrega los datos de las diferentes fuentes para que el SOC pueda correlacionar los datos de manera eficiente y responder a los ataques.

Respuestas al desafío

Que hace NSM ¿representar?
Agregue las reglas de firewall necesarias para bloquear el ataque en curso. ¿Cuál es la bandera que recibió después de detener con éxito el ataque?

Que hace SOC ¿representar?

¿Cuántas horas al día trabaja el SOC monitorear la red?

Tutorial en vídeo

Acerca del Autor

Creo notas de ciberseguridad, notas de marketing digital y cursos online. También brindo consultoría de marketing digital que incluye, entre otros, SEO, Google y meta anuncios y administración de CRM.

Ver Artículos