Para ello, he ido dedicando los ratos de ocio a profundizar en la materia tratando de leer (aunque no de la forma sosegada y centrada que me hubiera gustado) diferentes fuentes de información contando para ello con apoyo de diferente bibliografía que a continuación voy a resumir:
Este es un libro esencial dado que fija los conceptos más importantes que deben estar claro en un plan de despliegue de monitorización. Es necesario aplicar criterios de diseño a dónde situar los sensores, qué tipo de información recoger, cuanto tiempo retenerla, valorar los ratios entre cantidad de información y capacidad de proceso, etc.
Este libro complementa al anterior ya que empieza a sentar las bases de la telemetría del estado de seguridad de la red y plantea ya cuestiones más avanzadas sobre cómo procesar la información para obtener conclusiones. Tiene una parte importante centrada en el análisis de datos usando R como lenguaje.
Este tercer libro también es un apoyo importante dado que si en los dos primeros obtenemos una visión del qué es importante conocer, en este se obtiene una visión de "cómo" transmitir aquello que se va conociendo para hacer procesable de forma más rápida y sencilla la información. Este libro no se centra en la monitorización sino que plantea la visualización de todo tipo de datos vinculados a la seguridad.
Hay algunas referencias más que he ido consultando pero a nivel teórico estos son unos buenos pilares para tener claro cómo enfocar el tema. Justo a mitad del proceso, principios de junio, me llegó una invitación a participar en la primera jornada de Ciberseguridad organizada por la Escola de Policia de Catalunya en Mollet del Vallés (Resumen del evento en el blog de empresa que podéis consultar un este enlace.
Este seguramente será el primero de algunos post dedicados a describir el proceso de construcción de un SOC pero mis primeras impresiones, tras conocer ya herramientas y sus capacidades me plantean de nuevo la gran importancia que tiene la capa estratégica y lo verdes que están muchas empresas en "conocerse a si mismas".
Todo se resume en la frase de Federico II el Grande "Quien trata de defenderlo todo, no logra proteger nada". En este sentido, el despliegue de cualquier tecnología orientada a la prevención va a platear preguntas sobre la infraestructura TI de la organización y su impacto en el negocio que sólo pueden ser resueltas desde la visión holística y completa que proporciona un análisis de riesgos. Incluso en las herramientas SIEM existe un importante aspecto a configurar vinculado con los activos en donde la relevancia o severidad de las alarmas está condicionada por el valor de los activos o las redes en las que se producen los eventos. Sin un inventario completo de qué aspectos clave son los que inicialmente deben centrar el despliegue, el equipo de seguridad está perdido y desorientado. Cualquier sistema, con la cantidad de ruido existente en la red, va a empezar a disparar alarmas que habrá que priorizar y ponderar en función de a qué afecta, en qué momento, con qué tipo de ataque. Si a esto sumamos que también de repente aparecen eventos potencialmente peligrosos que eran desconocidos para la organización, tenemos un carajal de cuidado en donde es difícil poner orden y concierto.
Antes de entrar en pánico, debemos volver a los principios, a los cimientos y situar cada pieza de la seguridad en su sitio.
Para poder vigilar es necesario que existan primero decisiones. Tener políticas y normativas de seguridad facilitan las respuestas a cuestiones relevantes sobre lo que está permitido, no lo está, es tolerable pero indeseable o lo que será permitido por cultura de la organización.
Por tanto, dado que los sistemas son complejos y grandes, tenemos que bajar de nuevo al papel y lápiz, aplicar estrategia militar y diseñar con el plano de red, cuales serán los puntos críticos donde vamos a poner centinelas.
En un mundo ideal, las estrategias preventivas como la establecida por el Gobierno australiano con sus 35 actuaciones básicas para evitar una intrusión, que finalmente quedaron reducidas a cuatro aspectos esenciales no funcionan. Pese a ser muy básico, estas cuatro "decisiones" de seguridad son complicadas de desplegar en organizaciones grandes. A menudo es difícil decidir qué se puede ejecutar, tener control sobre el parque de aplicaciones para garantizar que están parcheadas al igual que sobre el parque de sistemas operativos. Lo único que sueles encontrar funcionando es el principio de mínimos privilegios pero como se muestra, es la última de las 4 actuaciones urgentes.
Por ello, es necesario un cambio de enfoque al problema. Migrar la estrategia de pensar que somos capaces de cerrar todos los agujeros a pensar que la intrusión se va a producir seguro aunque no sabemos cuando. Nuestra misión, como responsables de seguridad es tratar de detectar de forma más temprana posible que existe dicha intrusión y expulsar de los sistemas al extraño antes de que sea capaz de recolectar un volumen alto de información que es realmente lo que causa impacto.
El problema principal de los APT no es que existan, sino su persistencia.
En próximos post iré desgranando aspectos importantes a resolver para poder construir conciencia situacional.