SIMPOSIO DE CIBERSEGURIDAD OEA

Capacidades a considerar en el SOC.-

 Prevención: estrategia procesos, gestión de vulnerabilidades y riesgo, seguridad en

aplicaciones, plataforma de entrenamiento War Games.
 Detección y monitoreo :inspección de anomalías de red, detección de malware
 análisis inteligencia: inteligencia pre construida en la herramienta, análisis de
comportamiento de usuarios, investigación forense, el SOC y el Cert tienen que trabajar
juntos, seguridad cognitiva
 mitigación: plataforma de respuesta a incidentes, acción de cuarentena, significa que un
atacante se le ponga en cuarentena para que no pueda acceder a la red, coordinación de
las acciones de respuesta, plan de recupero ante desastres.
 Protección: seguridad de redes, detección de datos, protección de equipos.

El SOC es una fábrica de incidentes de seguridad cerrado, se alimenta de todos los eventos, que
me podrá ayudar a la solución de la organización.

Desafíos government- SOC

 Limitado control sobre infraestructura

 Diversidad de la infraestructura
 Resistencia a subirse al SOC nacional
 Alcances del Gov-SOC.- los eventos deben ser repostados para tener una base de datos
que nos ayude a un posible ataque en otra área.

Desafíos gsoc y nacional CERT CSIRT

Dificultada para contratas y retener el talento (programas de capacitación y solución cognitivas)

Dificultada para coordinar entre los diferentes entes.

Diferencias de alcance en iniciativas conjuntas entre ciberseguridad y defensa

Convergencia a un único SOC con defensa

Volumen de información a analizar.- fefds abiertos para empresas y gobierno, acuerdos de

cooperación en materia de ciberseguridad, relaciones cognitivas (relación de eventos que se
deben comparar con miles de documentos)

XFORCE EXCHANGE
Marco de modelamiento de casos de uso:

Casos de uso representan los objetivos misionales mejores practicas siguiendo el marco Nisrt
Cybersegurity

Roles, procesos y métricas.

Analistas, operador, administrador de SIEM (es una aplicación, el administrador debe tener
monitoreando para asegurarse que esta funcionando, es el responsable de su funcionamiento),
ingeniero de correlacionador (traduce en casos de uso las reglas del SIEM, para que los analistas
reciban las ofensas que son perjudiciales para la empresa), analista de inteligencia de seguridad
(investiga si los ataques son perjudiciales o no, debe hacer correlaciones de ip maliciosas),
administrador de dispositivos de seguridad (administra las estructuras de seguridad FW, IPS, IDS,
monitorea dispositivos y verifica las alertas)

Respuesta a incidente de seguridad

Preparación planeamiento y análisis forense, servicio 24x7x365, escalamiento a equipo global de

respuesta a emergencias de seguridad, asistencia remota o presencial, planeamiento de respuesta
a incidente, metodología de manejo del incidente: (prevención, inteligencia, contención,
erradicación, recuperación, cumplimiento)

Proceso de análisis de potenciales incidentes

Analizar si ya ha pasado, ve la parte de inteligencia, revisa las ip, si es sospechosa o es lejitima,

debe identificar si puede resolverlo o escalarlo.

Triaje

Aquí se ve las prioridades baja, media, alta

Proceso de análisis y métricas

 Tiempo de respuestas es muy importante

 tiempo de análisis
 calidad de análisis

Entrenamiento y capacitación

Entrenamiento sobre las soluciones, aprender de manera práctica, es importante la capacitación

de los especialistas
 KASPERSKY ITU CYBER DRILL

Karbanack es un virus bancario que infecta haciendo movimiento lateral a equipos, estudia al
banco durante meses para que no parezca un transacción fraudulenta.

Cuando hay amenazas una opción es realizar un análisis forense antes de tomar una decisión.

Existe la ciberguerra?

Existen ataques dirigidos de la NSA

Incidentes reales recientes

 2014 planta nuclear en Japón

 2014 Planta de acero en Alemania
 2015 energy distribution en ucrania
 2016 organización extorsiona a Inglaterra sobre su agua potable

Blackenergy .- es un malware de propósito múltiple que ha sido utilizado desde 2007 en ataques
de tipo denegación de servicio y amenaza persistente avanzada. Se ha detectado que este
software tiene capacidad de extensión para incluir ataques a plataformas ARM y MIPS, dispositivos
de redes Cisco, robo de certificados, puertas de entrada SSH, el componente KillDisk para
destrucción de archivos, escritorio remoto, etc.12 Se ha comprobado también el uso de
BlackEnergy como ransomware en incidentes de secuestro de datos.

Las motivaciones son varias, acciones destructivas, fraude industrial, cyberarmas.

La guerra ahora es dentro del ciberespacio, neutralizando las estructuras criticas, como hospitales,
agua, luz, etc.

Que dificulta la protección hoy en día?

 Confianza de que no pasara nada
 La seguridad típica de IT no se puede aplicar en ambientes industriales
 Tecnología , Infraestructura obsoleta
 Falta de habilidades de ciber seguridad
 Falta de un dueño de ciber seguridad en el área de OT (no permiten instalar nada porque
si no pierden el soporte)

Ciberseguridad es una capacidad que se tiene que desarrollar dentro de un plan de riesgos, en un
programa de concientización y así tener un ciclo recurrente.

Las capacidades son: Procesos, gente, conocimientos, tecnología.

Casos en América Latina

Intercepción de tráfico de red (fidler)

Con el comando IRC se han logrado robar dinero con el método hombre en el medio.