A L I E N VA U LT T E C H N I C A L W H I T E PA P E R

Gua Del Tcnico Para Establecer

Un Centro De Operaciones De Seguridad

Esta gua pretende ofrecer a la audiencia tcnica la informacin

fundamental necesaria para evaluar los controles de seguridad
esencialesparaestablecerunCentrodeOperacionesdeSeguridad
(Security Operation Center, SOC). La gua proporcionar una
firme comprensin de los datos que necesita un SOC para poder
operar eficazmente y los mtodos que pueden utilizarse para
reunir dichos datos.
Nota: Esta gua no pretende proporcionar buenas prcticas o los procesos necesarios para
operar un Centro de Operaciones de Seguridad.

SOBRE ALIENVAULT
Founded:

Por qu un Centro de Operaciones de Seguridad?

El mundo actual est formado por dos tipos de organizaciones: las que han sufrido
una brecha de seguridad y las que todava no saben que han sufrido una brecha

2007

de seguridad.

Global Headquarters:

La diferencia entre estos tipos de organizaciones est en la antelacin con la que una

San Mateo, CA

empresa puede detectar una brecha de seguridad y la efectividad con la que puede
responder. Un Centro de Operaciones de Seguridad proporciona la informacin

EMEA/APAC Headquarters:

necesaria para que las organizaciones detecten eficazmente brechas de seguridad y

Cork, Ireland

las mitiguen posteriormente. Aunque eliminar las amenazas a las que nos enfrentamos
es un objetivo imposible, reducir el tiempo de respuesta y contenerlas es alcanzable.

Ownership:

Si nos centramos en responder y contener las amenazas, podemos definir un Centro

Privately held

de Operaciones de Seguridad como: la terminologa y los procesos utilizados para

Customers:
11,000+

detectar brechas de seguridad y coordinar la respuesta adecuada.

Los precedentes histricos han llevado a la mayora de las organizaciones a considerar los
Centros de Operaciones de Seguridad como salas de gran tamao y densidad, dotadas
con una enorme cantidad de empleados altamente cualificados (y caros). Esta percepcin
se debe al hecho de que el mundo ha mirado a las organizaciones ms avanzadas
en seguridad (grandes instituciones financieras, operadores de telecomunicaciones
y organizaciones militares) como modelos a seguir para establecer sus prcticas de
seguridad. Aunque es importante aprender lo que se pueda de dichas instituciones,
deberamos de plantearnos ciertas preguntas: Necesitan todas las organizaciones
invertir de la misma forma para detectar brechas de seguridad y coordinar las respuestas?
Cules son las amenazas a las que se enfrenta mi organizacin y cmo afectan a mis
prioridades de inversin?

A LI E N VAU LT

T E C H N I C A L

W H I T E

PA P E R

El establecimiento de un Centro de Operaciones de Seguridad es un paso necesario

para que una organizacin sea capaz de detectar y contener con eficacia una brecha
de seguridad. Una vez tomada la decisin de establecer un SOC, la siguiente pregunta
importante que se debe formular es: Cmo puede mi organizacin lograr este objetivo
con la mayor eficacia? Para responder a esto es importante ser crtico con las capacidades
existente de su organizacin.

Qu tecnologas tiene ya implementadas que pudieran ser de utilidad?

Estn estas tecnologas a disposicin de mi equipo de seguridad?
Qu capacidades tengo en mi equipo de seguridad?
Cules son las restricciones de tiempo actuales en dicho equipo?
Qu prioridad determina nuestra central para este proyecto?
Cuando pretende establecer un Centro de Operaciones de Seguridad es importante
comprender estas restricciones para asegurar la creacin de una solucin efectiva. Si
la tecnologa ya existe, pero no se puede garantizar el acceso a los datos debido a las
polticas, resultara de poca utilidad. De forma anloga, si se adquiere la tecnologa pero
las generalidades necesarias para su implantacin, integracin y gestin estn ms
all de las capacidades de los empleados actuales (ya sea por falta de capacidades y
conocimientos o por falta de tiempo), entonces ser de poca ayuda.

Capacidades Esenciales
La deteccin de brechas de seguridad se convierte en una tarea extremadamente
complicada si el proyecto se desarrolla a partir de los ejemplos proporcionados por
unas pocas y sofisticadas brechas de seguridad. Sin embargo, cuando se considera
en abstracto, las capacidades esenciales son bastante bsicas. Asegurar un entorno
consiste en responder a unas pocas preguntas bsicas:

Qu activos debo proteger?

Cules de mis activos son vulnerables a los ataques?
De qu forma estn siendo atacados mis activos?
Cmo s si ha tenido lugar una brecha de seguridad?
Qu acciones tendrn un impacto mayor sobre mi actitud ante la seguridad?
En un entorno sencillo con tan solo unas pocas amenazas poco sofisticadas, este
conjunto de preguntas no es difcil de responder. Incluso es posible comenzar a evaluar
estas preguntas con procesos manuales y lograr un resultado final razonablemente
bueno. Sin embargo, no hace falta que un entorno sea demasiado complejo para que
el proceso manual quede fuera de este mbito. Por esta razn, permtanos examinar
la tecnologa que puede utilizarse para automatizar estas tareas.

A LI E N VAU LT

T E C H N I C A L

W H I T E

PA P E R

Qu activos debo proteger?

Qu sistemas son crticos para que su empresa siga funcionando?

Qu sistemas son crticos para las tareas diarias?
De qu otros sistemas dependen dichos sistemas crticos?
Qu sistemas gestionan y almacenan informacin sensible?
Comprender los activos con los que cuenta su organizacin es esencial de cara a priorizar
los esfuerzos para responder a los ataques y contener las brechas de seguridad. Ser
capaz de establecer prioridades en los esfuerzos para mitigar las amenazas a un sistema
crtico es esencial para un Centro de Operaciones de Seguridad eficaz. A menudo, las
polticas de respuesta y las capacidades de deteccin se distribuyen ampliamente
sin una buena comprensin de cmo pueden implantarse de forma ms efectiva en
relacin a su impacto en la empresa. Es esencial disponer de un buen conocimiento
de los activos implementados y los servicios que ejecutan dichos activos.
Ms all de priorizar los esfuerzos en base a su potencial impacto en la empresa,
contar con un buen conocimiento de los activos implantados puede ayudar a priorizar
la respuesta tcnica a las amenazas observadas. Los hackers empiezan a menudo sin
ningn conocimiento del diseo tcnico del sistema que se han fijado como objetivo.
Por eso, una brecha completa de seguridad frecuentemente comienza con una fase
de descubrimiento o sondeo. En esta fase, el atacante escanear la red e intentar
explotar las vulnerabilidades conocidas en servicios habituales. Conocer qu servicios
estn en funcionamiento en un host concreto puede permitir a los observadores del
ataque saber si tienen alguna posibilidad de xito; intentar explotar una vulnerabilidad
de Microsoft Windows en una mquina Unix no tiene ninguna probabilidad de xito.
Tener una visin precisa de los activos implantados y de los servicios en funcionamiento en
dichos activos es un problema muy difcil. El equipo de operaciones de TI a veces puede
ofrecer una imagen razonablemente precisa en un sistema de gestin de activos. Sin embargo,
es complicado acceder a estos sistemas y a menudo estn obsoletos. Es preferible una
solucin automatizada al problema, para garantizar que el ritmo rpido de cambio de los
centros de datos modernos se refleja con precisin en el centro de operaciones de seguridad.

El Descubrimiento de Activos automatizado se puede

realizar de siguiendo tres enfoques:
MONITORIZACIN PASIVA DE RED
Al monitorizar pasivamente la red, se enumeran los hosts de trfico y los paquetes de
software instalados, identificando los puertos y los protocolos usados en el trfico capturado.
ESCANEO ACTIVO DE RED
El escaneo activo sondea la red para intentar provocar respuestas de las mquinas.
Basndose en esa respuesta, la herramienta identificar la mquina y el software
instalado en la mquina.

A LI E N VAU LT

T E C H N I C A L

W H I T E

PA P E R

INVENTARIO DE SOFTWARE BASADO EN HOST

La instalacin de un agente basado en host proporciona el ltimo nivel de visibilidad.
Desde la perspectiva del inventario, el agente puede enumerar todo el software instalado
en la mquina, no solo el software que est usando activamente la red (como requiere
la monitorizacin pasiva de red), o el software que escucha en un puerto (como requiere
el escaneo activo). Esto proporciona un inventario mucho ms exhaustivo y preciso.
Estas tcnicas se pueden emplear individualmente o combinadas. Cada enfoque requiere
una cantidad diferente de acceso al entorno que se va a inventariar; el uso de diversos
enfoques asegura que se pueda reunir algo de informacin en entornos fuertemente
controlados. Una buena solucin ofrecer un enfoque flexible al descubrimiento
de activos, combinando una o ms de las tcnicas enumeradas anteriormente para
proporcionar una imagen lo ms precisa posible. Adems, ofrecer un mecanismo
centralizado para descubrir activos en segmentos remotos de la red. Incuso una topologa
de red moderadamente compleja puede provocar que los operadores se enfrenten a
procedimientos complicados de acceso, siendo necesario dar pasos manuales para
descubrir activos en segmentos remotos de la red y aadirlos a los costes de gestin
de la solucin a largo plazo.

Cules de mis activos son vulnerables a los ataques?

Cmo estn configurados los activos que tengo en funcionamiento?

Cmo se puede acceder a ellos?
Tiene alguno de ellos vulnerabilidades conocidas que pueda explotar un atacante?
Cuando haya logrado un conocimiento razonable de los activos implementados en su
organizacin, es importante comprender dnde se encuentran sus debilidades. Cuando
se responde a un ataque o a una brecha de seguridad, comprender cmo puede
atacarse su organizacin es un factor crucial a la hora de establecer prioridades. Saber
que un sistema en particular es vulnerable a los ataques puede convertir el entorno
en que opera dicho sistema en una de sus principales prioridades de seguridad. Por
ejemplo: si un proceso crucial de la empresa depende de un servidor web anticuado
que no puede actualizarse debido a problemas funcionales, se puede hacer un esfuerzo
adicional para asegurar que el servidor web est bien protegido frente a los ataques. O
si se detecta una brecha de seguridad en el mismo segmento de red del servidor web,
se puede asignar una prioridad adicional a la respuesta del incidente. No siempre es
factible eliminar la vulnerabilidad de sus sistemas, pero es posible conocer dnde se
encuentra y qu impacto podra tener si se explotara. Poseer un buen conocimiento
de dnde se encuentran sus debilidades es esencial para comprender qu esfuerzos
deben ser prioritarios cuando se enfrenta a un ataque o a una brecha de seguridad.
El anlisis de vulnerabilidades es un esfuerzo complejo y que consume mucho tiempo.
El software implementado en nuestros entornos, ya sea en forma de aplicaciones web,
middleware o incluso el firmware de nuestros dispositivos, todos ellos son intrnsecamente
vulnerables. Cada parte del software contiene fallos que potencialmente podran explotarse.

A LI E N VAU LT

T E C H N I C A L

W H I T E

PA P E R

Esto se debe en gran medida al hecho de que la seguridad a menudo no se tiene en

cuenta durante la implementacin. Incluso si se tuviera en cuenta la seguridad, siempre
se estn desarrollando nuevos mtodos de ataque, haciendo que el software que era
seguro hace un ao ya no lo sea hoy. Dada la naturaleza de este problema, el anlisis
de vulnerabilidades es un proceso continuo y, en ltima instancia, una tarea muy
compleja para realizarse de forma automatizada. Comprender cmo se podra explotar la
vulnerabilidad de un software a menudo requiere saber cmo funciona dicho software,
qu tipos de datos acepta y qu funcin se supone que realiza. Esta es la razn por
la cual el anlisis de vulnerabilidades en nuestros entornos de red simplemente trata
de identificar los paquetes de software que contienen vulnerabilidades conocidas.
Una vez hecha la simplificacin esta tarea de anlisis de vulnerabilidades, se puede
realizar la automatizacin.

Se pueden utilizar los siguientes enfoques para automatizar

el Anlisis de Vulnerabilidades
ESCANEO ACTIVO DE RED
Un escaneo activo de red explora activamente los hosts usando trfico de red
cuidadosamente diseado para suscitar una respuesta. Esta combinacin de trfico
dirigido y la consiguiente respuesta permite a un motor de anlisis determinar la
configuracin del sistema remoto y de los paquetes de software que estn funcionando
en el sistema. Esto, combinado con una base de datos de vulnerabilidades conocidas,
permite que el anlisis genere una lista de vulnerabilidades presentes en el sistema.
ANLISIS BASADO EN HOST
Usando el acceso al sistema de archivos de un sistema, un motor de anlisis puede realizar
una deteccin ms precisa y exhaustiva de vulnerabilidades mediante la inspeccin
del software instalado y la comparacin de los paquetes de software detectados con
una lista de paquetes conocidos de software vulnerable.
Dado que ambos mtodos dependen de una base de datos de vulnerabilidades
conocidas, es importante que se realicen peridicamente. Los investigadores publican
constantemente informacin sobre nuevas vulnerabilidades, y la nica forma de
asegurar que su motor de anlisis puede detectar las vulnerabilidades ms recientes
es teniendo una base de datos actualizada. Al igual que con el descubrimiento de
activos, la implementacin del anlisis de vulnerabilidades puede ser un obstculo
logstico. Una buena solucin ofrecer un abordaje flexible en entornos estrechamente
controlados, as como una gestin centralizada de los escaneos de evaluaciones de
vulnerabilidades en entornos con topologas complejas de red.

De qu forma estn siendo atacados mis activos?

Hay alguien atacando mis sistemas?

Qu tcnicas estn empleando los hackers cuando intentan comprometer mis
sistemas?

A LI E N VAU LT

T E C H N I C A L

W H I T E

PA P E R

De dnde vienen esos ataques?

Dada la naturaleza de Internet, no hay ni uno solo de nosotros que no haya sido atacado.
A diferencia del mundo fsico, en Internet a los hackers les resulta bastante sencillo
encontrarnos de forma automatizada. Es posible que el atacante no sepa exactamente
a quin est atacando, pero encontrar nuestra puerta principal es tan sencillo como
contar hasta tres. Adems, a diferencia del mundo fsico, un ataque automatizado
contra muchos sistemas no es ms caro que un ataque contra un nico sistema. Por
eso, los atacantes estn constantemente escaneando Internet a ciegas, atacando todos
y cualquier tipo de sistemas que encuentran. Por ejemplo, un simple servidor web que
est sirviendo una pgina web privada y que no haba sido indexada por Google se
enfrenta a una media de 50 intentos de intrusin al da. Todos nosotros estamos siendo
constantemente atacados; comprender la naturaleza, el objetivo y la sofisticacin de
dichos ataques es crucial a la hora de dar prioridad a nuestros esfuerzos de seguridad.
Se puede pensar en la deteccin de amenazas como en el problema inverso al anlisis
de vulnerabilidades.
El anlisis de vulnerabilidades es la metodologa utilizada para encontrar vulnerabilidades
conocidas en su sistema; la deteccin de amenazas es el medio para detectar los
ataques que estn dirigidos a esas vulnerabilidades.
Algunos ataques se dirigen a vulnerabilidades concretas con cargas dainas conocidas;
stos se pueden detectar fcilmente usando una firma que pueda identificar dichas
cargas dainas. Otros ataques son menos conocidos, y en estos escenarios puede
ser posible intentar detectar la tcnica que est usando el atacante para explotar la
vulnerabilidad. Por ejemplo, cuando se intenta explotar un buffer overflow, el atacante
tiene que inyectar una gran cantidad de datos al software para desbordar el segmento
de memoria que est utilizando ese programa para un bfer en concreto.
Una vez conseguido esto, el atacante debe intentar hacerse con el control de la
ejecucin del programa escribiendo instrucciones mquina en la memoria que acaba
de sobrescribir. Como el atacante no conoce el modo exacto en que se va a comportar
su ataque, deben dejar cierto margen para el error; a menudo esto se consigue usando
una cadena larga de instrucciones de no operacin que esencialmente ser ignorado
por la mquina. Sin embargo, esto deja una bonita huella para que las herramientas
de deteccin de amenazas intenten encontrarlo y lo encuentren: una gran cantidad de
datos que se pasan a un programa que contiene una cadena larga con instrucciones
de no operacin pueden identificarse como un intento potencial de explotacin de
vulnerabilidad. De forma alternativa, es posible detectar indicadores de un ataque o
indicadores de que algo est comprometido.

A LI E N VAU LT

T E C H N I C A L

W H I T E

PA P E R

La deteccin de amenazas se puede automatizar usando

siguientes enfoques:
DETECCIN DE INTRUSIONES EN RED (IDS)
Analiza el trfico de red para detectar firmas de ataques conocidos y los patrones que
indican actividad maliciosa. Esto se usa para identificar ataques, malware, violaciones
de polticas y escaneo de puertos.
DETECCIN DE INTRUSIONES BASADAS EN HOST
Analiza el comportamiento y la configuracin del sistema para identificar comportamientos
que podran indicar un compromiso. Esto incluye la capacidad de reconocer rootkits
comunes, detectar procesos maliciosos, y detectar la modificacin de archivos de
configuracin cruciales.
DETECCIN DE INSTRUSIONES INALMBRICAS
Accede a la tarjeta wireless para monitorizar el trfico wifi e identificar redes maliciosas.
Esto permite la deteccin de clientes wifi, las redes asociadas y el cifrado utilizado.
Crucial para hacer cumplir las polticas inalmbricas.
Tal y como comentamos anteriormente, frecuentemente los ataques dirigidos comienzan
con una fase de descubrimiento en el que el atacante est intentando identificar
activos vulnerables en su red. Detectar que un host concreto est intentando sondear
su sistema puede ser esencial para evaluar posteriormente si un ataque potencial del
mismo host es real o no. El ltimo recurso para detectar amenazas es intentar detectar
los indicadores de compromiso.
Al igual que con las otras capacidades de seguridad comentadas, es esencial disponer
de un enfoque flexible para detectar amenazas. Los atacantes disean los ataques
explcitamente para evadir diferentes tipos de capacidades de deteccin de amenazas.
La mejor manera de garantizar que se identifica un ataque es disponer de capacidades
de deteccin de amenazas por capas y redundantes.
Otra consideracin importante es dnde tenemos ya implementadas la tecnologa
de deteccin de amenazas. A menudo, estas tecnologas solo se implementan en el
permetro de la organizacin con el pensamiento de que los ataques solo pueden venir
del exterior. Los ataques modernos han roto este molde; hoy en da, los atacantes utilizan
el hecho de que los empleados usan sus ordenadores dentro y fuera del cortafuego
corporativo. Un ordenador comprometido mientras se encuentra fuera del permetro
se convierte ahora en un punto de partida para un ataque desde dentro de la red. La
deteccin de amenazas debera implementarse de forma generalizada para abordar
esto. Una buena solucin para la deteccin de amenazas emplear mltiples tcnicas
y proporcionar capacidades de gestin considerables para reducir los costes a largo
plazo de la implementacin.

Cmo s si ha tenido lugar una brecha de seguridad?

Si no detecto el ataque, cmo sabr que un activo est comprometido?

8

A LI E N VAU LT

T E C H N I C A L

W H I T E

PA P E R

Si un activo est comprometido, cmo puedo abordar el problema antes de que

la brecha se expanda?

No todas las brechas de seguridad son evitables. Nuestros esfuerzos para hacer que
un sistema sea impenetrable nunca sern suficientes para impedir todos los vectores
de ataque. Siempre nos enfrentaremos a una decisin de gestin de riesgos cuando
tengamos que determinar la rentabilidad de parar un proceso crtico de negocio al
encontrar una vulnerabilidad en algn activo que lo soporte. Los atacantes lo saben
y siempre lo utilizarn en su beneficio. Para garantizar que la ventaja que adquieren
gracias a esta cuestin es la menor posible, es importante que nosotros detectemos
la brecha de seguridad tan rpido como sea posible.
Comprender el comportamiento de nuestros sistemas y monitorizar dicho comportamiento
buscando indicaciones de que pueda haber ocurrido una brecha de seguridad es esencial
para una respuesta eficiente. Por ejemplo, si un servidor interno que solo enva y recibe
trfico HTTP de repente abre un tnel ssh de salida hacia un servidor externo, tenemos
buenas razones para pensar que el servidor se ha visto comprometido. Comprender
el comportamiento de su sistema como un todo incluye comprender qu activos se
comunican entre s, determinar cundo aparecen y desaparecen los servicios y hacer
un modelo del flujo de red y de uso de protocolo para detectar anomalas.

La monitorizacin de comportamientos se puede llevar a

cabo con los siguientes enfoques:
MONITORIZACIN ACTIVA DEL SERVICIO
Valida activamente que los servicios ejecutndose en hosts estn disponibles
continuamente. Esto se hace con un intercambio de pulsos de sincronizacin (handshake)
a nivel de red y una respuesta que proporcione retroalimentacin si el servicio deja
de estar disponible.
ANLISIS DE FLUJO DE RED (Netflows)
Analiza los protocolos y el ancho de banda usado por cada uno. Esto se hace capturando
metadatos de un netflow, guardando informacin del protocolo, as como calculando
el uso del ancho de banda.
CAPTURA DE PAQUETES
Captura el paquete TCP/IP completo. Permite el anlisis forense del flujo , para que
pueda realizarse la inspeccin detallada si fuera necesario.
DETECCIN DE INSTRUSIONES BASADAS EN HOST
Puede monitorizar los procesos y recursos usados en un sistema concreto. Detectar
nuevos procesos o un uso anormal de recursos puede ser indicador de un compromiso.
La informacin que puede obtenerse mediante las herramientas de monitorizacin de
comportamientos debe usarse con precaucin. Los sistemas que funcionan en nuestra
organizacin estn lejos de ser predecibles: el esfuerzo de picos estacionales como las
ventas de final de trimestre pueden causar cargas y conductas nunca vistas antes. Una

A LI E N VAU LT

T E C H N I C A L

W H I T E

PA P E R

buena solucin para la monitorizacin de comportamientos proporcionar mltiples

mecanismos para recopilar estos datos. Adicionalmente, proporcionar un mecanismo
de bajo coste para una implementacin generalizada en la organizacin.

Qu acciones van a tener un impacto mayor sobre mi

actitud ante la seguridad?

Qu hago primero?
Qu datos debera analizar hoy?
Debera detener un ataque recientemente observado, o intentar y contener una
brecha de seguridad recientemente descubierta?

Cuando se implementan a escala, los controles esenciales descritos para proporcionar

descubrimiento de activos, anlisis de vulnerabilidades, deteccin de amenazas y
monitorizacin de comportamientos, producen una cantidad ingente de datos. La
comprensin y priorizacin de dichos datos debe automatizarse para tomar decisiones
dentro de un marco temporal razonable. Adems es importante que los datos generados
se evalen en conjunto con datos procedentes de otros controles de seguridad. La
evaluacin de cada flujo de datos de forma independiente conducir a una mala
priorizacin de los esfuerzos. Por ejemplo: se descubre una nueva vulnerabilidad en
un host. Sin contar con un conocimiento de qu servicios proporciona ese host o qu
ataques se estn dirigiendo al host es complicado decir si es ms importante arreglar
la vulnerabilidad o eliminar el malware que se acaba de encontrar en otro servidor.
Sin embargo, si sabemos que el host en cuestin proporciona a nuestros socios de
negocios la capacidad de remitirnos los clientes, y el servidor que tiene la infeccin
con malware est en nuestro laboratorio de examen, entonces podemos empezar a
tomar mejores decisiones. La capacidad de encontrar el sentido a estos datos requiere
un sistema que los consolide y los gestione todos. Ese sistema debe proporcionar
tambin capacidades de normalizacin para que los datos de fuentes diversas puedan
relacionarse entre s y pueda presentarse una visin completa al cliente final receptor
de la informacin.

Hoy en da existe nicamente un enfoque que permita

automatizar la comprensin de los datos:
SECURITY INFORMATION & EVENT MANAGEMENT (SIEM)
Una plataforma de gestin de la informacin especficamente diseada para la evaluacin
de los eventos y la informacin de seguridad. Proporciona capacidades para normalizar
y analizar datos de diversas fuentes y los correlaciona para presentar una visin ms
completa de los incidentes que tienen lugar en el sistema en general.
El aspecto ms importante de una plataforma SIEM es la eficacia con la que la plataforma
es capaz de correlacionar y presentar los datos que recopila. El nico propsito de
esta plataforma es aumentar la eficiencia del usuario que debe analizar todos los datos

10

A LI E N VAU LT

T E C H N I C A L

W H I T E

PA P E R

con los que se alimenta. Para que el usuario pueda comprender todos los datos, es
necesario poder asociarlos y responder a las consultas del usuario; sin embargo, esto
no es suficiente para alcanzar nuestro objetivo de mejorar la eficiencia del operador.
La plataforma debe ser capaz de automatizar la correlacin de datos con el objetivo de
detectar conductas maliciosas, ataques a gran escala y brechas de seguridad. En una
buena solucin, esta correlacin se mantiene actualizada con los ltimos conocimientos
de amenazas que permitan detectar los mtodos ms novedosos de los atacantes y
las conductas del software malicioso.

Implantacin de las capacidades esenciales

Las organizaciones de seguridad se enfrentan a un reto complicado: si tiene lugar una
brecha de seguridad importante, ser culpa suya, independientemente del apoyo que
la organizacin haya proporcionado al equipo de seguridad antes de esa fecha. Las
capacidades descritas anteriormente son esenciales para que un equipo de seguridad
pueda prevenir que ocurran brechas de seguridad o para contener dichas brechas
antes de que se conviertan en un problema importante. Sin embargo, a los equipos de
seguridad de una organizacin a menudo se les da poco apoyo poltico o logstico. Las
preocupaciones de las empresas, como el presupuesto, y la asignacin de recursos
frecuentemente adquieren prioridad sobre la seguridad proactiva. Dada esta limitacin
de seguridad, los equipos de seguridad deben ser tan eficientes como sea posible
durante el establecimiento de un Centro de Operaciones de Seguridad. Para lograr
una visin completa y una priorizacin exhaustiva, las herramientas de seguridad que
proporcionan las capacidades esenciales deben implementarse de forma generalizada
en toda la organizacin.
Para reducir el coste de esta implementacin, es importante tratar y encontrar modos
de usar la infraestructura redundante siempre que sea posible. La mayora de las
herramientas de seguridad requieren acceso a los puntos ms lejanos de la red,
ya sea para monitorizar el trfico de red o para reunir datos sobre un host. Si cada
herramienta se implementa independientemente de las dems, entonces ser necesario
configurar cada herramienta para comprender la topologa de su red, y necesitar las
credenciales adecuadas para obtener acceso a todos los segmentos. De forma similar,
un gran nmero de estas herramientas necesitan reglas o informacin sobre amenazas
para actualizarse peridicamente. Si se puede utilizar un mecanismo de actualizacin
comn para proporcionar reglas a todas las herramientas, la cantidad de configuracin
se reducir enormemente.
Otro punto a tener en cuenta es el coste de integrar los controles individuales de
seguridad que se han implementado. Tal y como se coment anteriormente, un
producto SIEM est diseado para consumir y evaluar los datos generados por estos
productos. Sin embargo, una plataforma SIEM es tan solo un medio para llegar a un
fin. Su propsito es la integracin de cualquier tipo de datos, y a menudo requiere un
esfuerzo sustancial para integrar una nueva fuente de datos.

11

A LI E N VAU LT

T E C H N I C A L

W H I T E

PA P E R

Conclusin
Las capacidades comentadas en este trabajo son los activadores esenciales para que
una organizacin responda eficaz y eficientemente a las amenazas y contenga las
brechas de seguridad. Aunque la implementacin de todas estas capacidades es una
tarea mproba, al final se trata de un proyecto que ahorra tiempo y dinero. Sin contar
con visibilidad de las amenazas reales a las que se enfrenta su sistema, el dinero se
gastar de forma ineficiente en controles de compensacin que podran no tener ningn
efecto. Para las organizaciones, es importante evaluar realistamente cmo se gasta
el dinero, y hacerse la pregunta crucial sobre si hay datos de su propio entorno que
justifique el gasto en esos proyectos. El establecimiento de un Centro de Operaciones
de Seguridad, la tecnologa y los procesos utilizados para detectar brechas de seguridad
y coordinar la respuesta adecuada, son el primer paso para lograr una gestin del
riesgo rentable a largo plazo.

12

Sobre AlienVault
AlienVault proporciona a organizaciones de todo tipo y tamao visibilidad sin
precedentes en toda la pila de seguridad con la plataforma de gestin de la
seguridad unificada AlienVault Unified Security Management (USM). Basada en
OSSIM (el SIEM de cdigo abierto creado por AlienVault que es el estndar de
facto), la plataforma USM cuenta con cinco capacidades esenciales de seguridad
integradas: descubrimiento de activos, evaluacin de vulnerabilidades, deteccin
de amenazas, monitorizacin de comportamientos y conocimientos de seguridad.
AlienVault Open Threat Exchange, un sistema para compartir conocimientos
de amenazas entre usuarios OSSIM y clientes de AlienVault, garantiza que USM
siempre est por delante de las amenazas. AlienVault es una empresa privada con
sede en Silicon Valley y respaldada por Kleiner Perkins Caufield & Byers, Sigma,
Trident Capital y Adara Venture Partners.

Para ms informacin, visite www.AlienVault.com o sganos en

Twitter (@AlienVault).
Copyright AlienVault. Todos los derechos reservados. 040913