Roles, procedimientos y dinámica de trabajo que todo equipo SOC debería tener

por Antonio Félix Sánchez-Oro, posted in Actualidad, Ciberseguridad, Guías, SysAdmin

Como ya sabrás la ciberseguridad es una de las áreas de TI que más demanda tiene actualmente. Dentro de este campo puedes encontrar múltiples disciplinas para trabajar, todas ellas muy diferentes entre sí. Elegir una u otra dependerá de tus gustos. Si tienes preferencia por el campo de la ciberdefensa (Blue Team) una de las salidas que puedes encontrar, si eres una persona con experiencia, es analista de seguridad dentro de un equipo SOC (Security Operations Center).

En esta entrada vamos a ver en primer lugar, qué papel puedes desempeñar como analista de seguridad dentro de un equipo SOC, y posteriormente qué dinámica de trabajo se puede seguir para conseguir un desempeño eficaz dentro de la organización.

Roles dentro de un equipo soc

El objetivo de un equipo SOC es proteger a una organización de incidentes de seguridad haciendo uso de técnicas de análisis y monitorización de la infraestructura informática. Este análisis se realiza con herramientas que usan heurísticas para detectar anomalías dentro del funcionamiento «normal» de la empresa.

Normalmente los equipos SOC suelen asociarse a empresas de gran tamaño. Pero hoy en día existen alternativas para que las empresas medianas puedan aprovecharlo sin necesidad de contratar a más personal. Esto se realiza contratando un servicio llamado virtual SOC, que consiste en que una empresa externa, que ya tiene uno o varios equipos SOC, realice la monitorización y le preste el equipo como servicio. Esto supone un gran ahorro para la empresa y una manera rápida de obtener los beneficios que aporta un equipo SOC sin necesidad de crearlo desde cero.

Un equipo SOC no suele estar compuesto de mucho personal (comparado con equipos de otras disciplinas del sector), todo dependerá del tamaño de la organización y sus necesidades. Aun así, dentro del equipo existen varios roles con cometidos diferentes que deben sincronizarse para trabajar en equipo.

En el siguiente diagrama te muestro los principales roles de un equipo SOC.

Roles de un equipo SOC por Tecnógrafos
Roles de un equipo SOC.

En este diagrama incluyo roles que pueden ser opcionales, como un Security Engineer o un Compliance Auditor. Su contratación dependerá de las necesidades de la empresa y del presupuesto que quieran emplear en un equipo de estas características.

Generalmente un Security Analyst es un puesto de trabajo que en función de la especialidad del candidato o de la experiencia ejerce de otros roles. Es habitual encontrar analistas de seguridad junior trabajando como Alert Analysts, por ejemplo.

En muchos casos hay roles que comparten funciones o que son muy similares, todo depende de la cultura empresarial y la nomenclatura que hayan querido acordar. Este es el caso de un Security Engineer que puede ser un Security Analyst o viceversa.

Como puedes ver cada rol está emparejado a un nivel técnico, para dar respuesta a cada situación e ir escalando y administrando los incidentes.

Incident Responder
incident responder (TIER 2)

El papel que desempeña este trabajo es similar al de Alert Analyst. Este analista deberá identificar qué son incidencias reales de seguridad que puedan poner en peligro la organización y cuáles no. Además, deberán evaluar el nivel de riesgo representan.

Cuando determinan si una incidencia es verdaderamente un problema de seguridad, deberán deducir quién o qué es el atacante, qué recursos están afectados o la naturaleza del ataque, entre otros datos. Su labor resumiendo será:

  • Monitorizar y configurar las herramientas de seguridad y monitorización SIEM/IDS/IPS y Log Analytics.
  • Determinar qué anomalías representan una amenaza real.
  • Primera respuesta si la amenaza es de bajo impacto y fácil de resolver.
  • Determinar activos afectados y clasificar el riesgo.
Threat Hunter
THREAT HUNTER (TIER 3)

Este rol lo desempeña una analista de seguridad especializado en la detección de amenazas. Su trabajo consiste en evaluar de forma práctica la seguridad dentro de una empresa y corregir los defectos encontrados. Además, también puede configurar los elementos de seguridad de la empresa e investigar problemas de seguridad. Este tipo de trabajo está muy ligado al término Purple Team y cómo te he mostrado en el anterior diagrama, no todos los equipos SOC cuentan con un perfil de este tipo, puesto que hay equipos que no son proactivos y apuestan por la ser pasivos estrictamente.

  • Evaluar la seguridad de la organización de forma proactiva.
  • Identificar vulnerabilidades desconocidas.
  • Estar al día de las vulnerabilidades descubiertas en productos o activos de la organización.
  • Asesoramiento para adquisición de herramientas, mejoras en el flujo de trabajo y otros procesos.
Security Investigator
SECURITY INVESTIGATOR (TIER 3)

Un investigador de seguridad es un técnico de nivel tres (senior) que destaca por resolver problemas técnicos de una alta complejidad. Entre las funciones fundamentales que debe desempeñar se encuentran:

  • Realizar evaluaciones de seguridad
  • Identificar eventos que muestren indicios de actividades maliciosas
  • Investigar problemas de seguridad y proponer soluciones
  • Gestionar la infraestructura de relacionada con la seguridad
  • Asegurar el cumplimiento de los sistemas de acuerdo con las normas y directrices fijadas por la organización.
  • Evaluar la idoneidad de las herramientas de seguridad para su posible adquisición.
Alert Analyst
Alert analyst (tier 1)

Este rol representa la primera línea de actuación. Su labor consiste en monitorizar y analizar los logs y alertas provenientes de los dispositivos de la infraestructura informática de la empresa.

Es muy importante la eficacia de los involucrados en este nivel, puesto que deben saber filtrar lo que es un falso positivo de una incidencia real.

Los analistas de seguridad deberán:

  • Monitorizar el SIEM/IDS/IPS.
  • Configurar las herramientas de seguridad y monitorización.
  • Determinar si una anomalía o evento es una incidencia. Si lo fuera escalarla al personal del siguiente nivel.
Security Analyst
SECURITY ANALYST (TIER 3)

Este es el empleo más común dentro de un equipo SOC. Un analista de seguridad puede adaptarse a la mayoría de roles del equipo SOC puesto que los conocimientos son similares. Todo dependerá de la experiencia y habilidades de la persona.

La misión de un analista de seguridad es:

  • Gestionar incidentes de seguridad.
  • Gestionar la infraestructura de relacionada con la seguridad.
  • Diseñar la arquitectura de la seguridad de una empresa.
  • Asegurar el cumplimiento de los sistemas de acuerdo con las normas y directrices fijadas por la organización.
  • Evaluar la idoneidad de las herramientas de seguridad para su posible adquisición.
  • Estar al día de las vulnerabilidades descubiertas en productos o activos de la organización.
SOC Manager
SOC MANAGER (TIER 4)

El SOC Manager es el líder del equipo. Realiza tareas que tienden a ser menos técnicas y más relacionadas con la gestión y las operaciones del equipo. Este responsable es una persona con experiencia que pone en contacto el departamento de seguridad con otros departamentos de la organización.

Entre sus funciones destacan:

  • Cumplir los objetivos establecidos por la dirección
  • Alinear los objetivos propuestos por la capa directiva con los técnicos, involucrando a los interesados en este proceso, como por ejemplo otros departamentos o stakeholders.
  • Gestionar el equipo SOC
  • Comunicación del SOC con otros departamentos de la organización.
  • Compra de herramientas y activos para el SOC.

procedimientos y dinámica de trabajo

El objetivo de tener de tener una dinámica de trabajo es para que cada miembro del equipo sepa cuál es su misión, y pueda centrarse en realizar sus tareas particulares; con la finalidad de cumplir el objetivo general de un equipo SOC: descubrir problemas de seguridad y resolverlos.

Existen 4 habilidades esenciales que todo equipo SOC debería de adquirir para que su labor dentro de la organización sea efectiva.

  • Clasificación y detección de incidencias: esta habilidad se aplica mayoritariamente en la primera línea de actuación (Tier 1). El objetivo es calibrar los sistemas para que tengan el menor número de falsos positivos posibles, ya que de esta forma se traslada menos trabajo a la capa inmediatamente superior (Tier 2).
  • Mitigación de problemas y recuperación rápida en caso de desastre: Cuando aparece un incidente deberá de existir un plan de mitigación rápido que detenga la amenaza y, al mismo tiempo, salvaguarde el mayor número de activos posible. Una vez acabado el problema se deberá proceder a recuperar los servicios afectados o los archivos perdidos durante el incidente.
  • Habilidades forenses: Cuando ocurre un incidente de seguridad la organización deberá proveer de herramientas forenses para que el equipo SOC pueda iniciar una investigación de lo ocurrido, y elaborar un informe con planes de prevención, mejora y solución del problema. De esta forma se garantiza que el incidente no pueda volver a ocurrir.
  • Gestión del riesgo: El equipo deberá de evaluar las vulnerabilidades en la infraestructura que hayan encontrado y analizar el nivel de peligro que puedan representar para la organización. Es una tarea compleja en la que se deberá de evaluar el riesgo frente al coste-beneficio.

Estas habilidades se aplican dentro de un flujo de trabajo establecido. Existen varios autores que proponen distintas dinámicas de trabajo. Bajo mi punto de vista te propongo un flujo de trabajo estándar que responde a las necesidades que demanda una organización de un equipo SOC.

Flujo de trabajo por Tecnógrafos
Flujo de trabajo

Dentro de un equipo SOC todo comienza con la recolección de logs y eventos. Esta información procede de la operación diaria que genera la infraestructura informática de la organización como, por ejemplo: los logs o eventos de sistemas operativos, capa de middleware, softwares específicos, switches, enrutadores, firewalls, NAC (Network Access Control), servidores, cabinas de almacenamiento, etc.

Esta información es recolectada en un único punto y es analizada a través de herramientas que son capaces de definir un patrón base de comportamiento y trabajar sobre él, encontrando anomalías o eventos no previstos.

Generalmente se ayudan de parsers ya predefinidos por el desarrollador, de forma que con una correcta configuración y tunning, estos softwares aplican heurísticas para encontrar eventos extraños dentro del comportamiento base. Para crear un comportamiento base las herramientas hacen uso de reglas y modelos que deberán de ser calibrados y afinados cada cierto tiempo por los técnicos de nivel 2 y 3.

Las herramientas más populares que podemos encontrar en el mercado para el análisis masivo de logs son:

  • Splunk
  • Datalog
  • Graylog
  • Devo
  • LogRhythm NextGen
  • IBM QRadar
  • Fortinet FortiAnalyzer
  • Check Point Security Management

Con la ayuda de estas herramientas el Alert Analyst podrá detectar anomalías o incidencias y pasársela a un técnico de nivel 2, el Incident Responder, si procede.

El Incident Responder, además de configurar las herramientas de análisis de logs, determinará si la anomalía que les han pasado los técnicos del nivel 1 es una verdadera incidencia de seguridad o no. Si determina que el evento representa un problema de seguridad entonces abrirá un caso donde clasificará el problema y asignará un nivel de riesgo. Su trabajo termina cuando cede el caso a un técnico de nivel 3 Security Analyst o un Security Investigator.

Flujo de trabajo con los roles del equipo SOC por Tecnógrafos
Flujo de trabajo con los roles del equipo SOC

Cuando un técnico de nivel 3 del equipo recibe un caso la primera tarea es evaluar los activos de información afectados. Una vez conocido el alcance del problema se procederá dar una primera respuesta al problema. En esta fase comienza la mitigación de los daños y las primeras acciones que habrá que llevar a cabo para recuperar los servicios y activos afectados.

Cuando la situación no represente una amenaza para la empresa y esté bajo control, se procederá a investigar lo ocurrido. En esta fase el técnico deberá responder a las preguntas «¿Qué ha sucedido?» y «¿Por qué?». Debera iniciar una investigación en la que se esclarecerá las causas del incidente, su expansión dentro de la organización y cómo ha sucedido.

Finalmente, cuando se completa la investigación y se toman las medidas necesarias para eliminar la brecha de seguridad y estén los servicios o activos afectados, totalmente recuperados se documentará el caso y se procederá a su cierre. Documentar el caso es una tarea primordial, ya que ayudará en el futuro a resolver de forma más rápida y eficaz el mismo problema o similares que puedan darse en el futuro. Además, documentar los casos correctamente forma parte de una buena cultura de seguridad que aporta conocimiento y saber hacer a la empresa, lo que se conoce como know how.

Publicado por Antonio Félix Sánchez-Oro

¡Hola! Soy Antonio Félix y trabajo como técnico de seguridad de la información en el sector nuclear. Como ves, me encanta escribir sobre la actualidad tecnología y ciberseguridad. Sígueme para estar atento a las últimas novedades.