Proyecto Final SOC-NOC v3.pdf
Short Description
Download Proyecto Final SOC-NOC v3.pdf...
Description
Universidad Latina de Costa Rica
SOC-NOC en E-Commerce Maestría en Telemática
Comercio Electrónico
Profesor: Maricel Herrera.
Integrantes: Carlos Roberto Rojas Chaves. Jason Ulloa Hernández.
2012
1
Contenido Introducción ................................................................................................................................4 Marco Teórico ............................................................................................................................5 Componentes de la Seguridad del Comercio Electrónico ...............................................5 Seguridad del software cliente .............................................................................................5 Seguridad en el transporte de los datos .............................................................................5 Mecanismos de seguridad ...................................................................................................5 Centro de control de Operaciones de Seguridad Informática (SOC) .....................6
1. 1.1
Dentro de los servicios de un SOC se detallan las siguientes alternativas .......6 Módulos de un SOC ......................................................................................................7
2. 2.1
Sensores .....................................................................................................................8
2.2
Pollers .........................................................................................................................8
2.3
Cajas C y Cajas D .....................................................................................................9
2.4
Cajas A y K .................................................................................................................9
2.5
Cajas R .......................................................................................................................9 Arquitectura global de un SOC ....................................................................................9
3. 3.1
Procedimientos de reacción y escalamiento ..........................................................9 Correlación ...................................................................................................................11
4. 4.1
Funcionamiento de la correlación ..........................................................................11
4.2 Introducción a los contextos .......................................................................................12 4.2.1 Estructura de los contextos ..................................................................................13 Análisis ..........................................................................................................................16
5. 5.1
Análisis estructural ..................................................................................................16
5.2 Módulos de análisis de la estructura ..........................................................................16 5.3 Análisis de la activación del módulo ...........................................................................17 5.4 Correlación avanzada ..................................................................................................17 5.4.1 El análisis funcional ...............................................................................................17 5.4.2 Análisis del comportamiento ................................................................................17 6.
Modelos Sugeridos para la aplicación empresarial ................................................17 6.1 Modelo Lógico ...........................................................................................................18 6.2 Modelo Físico ............................................................................................................20
7.
NOC (Network Operation Center) .............................................................................21 7.1 Network Operations Center (NOC) Servicios ........................................................21 7.1 Beneficios ...................................................................................................................22
2
7.2 ¿Por qué la Convergencia SOC / NOC? ...............................................................22 7.3 Desafíos de la convergencia SOC / NOC ............................................................23 7.3 Pasos para la implementación convergente del SOC/NOC...............................23 7.4 Flujo de Trabajo del NOC ........................................................................................25 7.5 Modelo Físico del NOC ............................................................................................27 7.6 Modelo Lógico del NOC ..........................................................................................28 7.7 Diagrama Flujo de Datos del NOC .........................................................................29 7.8 Implementación en empresa de E-commerce ......................................................30 Información de Arquitectura de Flujo ............................................................................30 7.9 Estructura de Integración Propuesta ......................................................................33 8 Proceso para la continuidad del Negocio .................................................................34 Conclusiones............................................................................................................................37 Recomendaciones...................................................................................................................38 Bibliografía................................................................................................................................39
3
Introducción La Internet se ha convertido en un medio en donde se llevan a cabo una gran cantidad de negocios alrededor de todo el mundo, y como en cualquier otro tipo de negocios, no se puede asumir que todos los participantes estarán dispuestos a jugar limpio. El solo hecho de llevar a cabo transacciones de negocios en un medio inseguro es suficiente para alentar la conducta criminal en Internet.
Hay cuatro componentes cuya seguridad es crítica para la realización de transacciones de negocios en línea: el software cliente, los protocolos de transferencia de datos, el servidor Web (o de comercio) y el sistema operativo. Una falla en cualquiera de estos componentes compromete la seguridad de las transacciones y debilitan la confianza de los consumidores y comerciantes en el comercio electrónico.
El uso de herramientas tecnológicas como Help Desk, NOC y SOC ayudan a estos negocios en la difícil tarea de mantener seguros sus comercios, ayudando así a garantizar la buena imagen de estos para con sus clientes y generando un valor adicional al negocio.
4
Marco Teórico Componentes de la Seguridad del Comercio Electrónico Si bien no existe un esquema establecido para la seguridad en comercio electrónico, podemos identificar claramente cuatro componentes principales que hay que proteger; el software del lado del cliente, el transporte de los datos, el software del servidor Web y el sistema operativo del servidor. Es importante hacer un esfuerzo para que la seguridad de estos componentes sea consistente, ya que si uno de ellos presentara una debilidad obvia, sería blanco de la mayoría de los ataques, y debido a su debilidad muchos de esos ataques serían exitosos. Seguridad del software cliente La seguridad del software cliente se refiere a la seguridad que presenta el software cliente de web, es decir, el software que se utiliza para navegar en Internet. Los dos grandes riesgos de este componente son las vulnerabilidades de los navegadores y los componentes Web activos. Seguridad en el transporte de los datos El transporte de los datos a través de las redes es el aspecto del comercio electrónico que ha recibido la mayor concentración de recursos para asegurar su seguridad. El brindar seguridad a los datos en tránsito implica garantizar la integridad y confidencialidad de los datos, y la autenticidad tanto del emisor como del receptor. La integridad de los datos se refiere a asegurar que los datos no son modificados mientras son transportados a través de la Internet, La confidencialidad se refiere a que los datos no puedan ser leídos por una entidad diferente al receptor y la autenticidad del emisor y receptor se refiere a garantizar que las partes involucradas en la transmisión sean quienes dicen ser, es decir, que no sean suplantados por terceros. Mecanismos de seguridad Para asegurar las transacciones de comercio electrónico es necesario que se cumplan los siguientes requerimientos básicos:
-
Privacidad. Es la habilidad de controlar quien puede (o no puede) ver la información. Las transacciones deben permanecer privadas e inviolables en el sentido de que entidades no autorizadas no puedan descifrar el contenido de los mensajes.
5
-
Integridad. Es la seguridad de que los datos almacenados o transmitidos no son alterados. Se debe asegurar que las transmisiones no son alteradas o interferidas.
-
Autenticidad. Es la habilidad de determinar la identidad de las partes que se comunican.
-
No repudiación. No debe ser posible que un emisor de un mensaje pueda alegar que no envió una comunicación segura o que no realizo una compra.
Para cumplir con estos requerimientos se han desarrollado mecanismos o combinaciones de mecanismos que permiten asegurar las transacciones. Estos mecanismos se describen a continuación:
1. Centro de control de Operaciones de Seguridad Informática (SOC) El objetivo es la administración y gerenciamiento de los servicios de seguridad, que está operado en modo 7x24x365 por especialistas altamente capacitados y certificados en las herramientas y productos más sofisticados de la industria de seguridad informática, quienes están pendientes de las tareas de monitoreo y protección de los activos y recursos informáticos de los clientes, mientras verifican permanentemente toda actividad que pueda afectar real o potencialmente, a la normal operación de las soluciones de IT utilizadas por el Cliente.
Por lo tanto, el SOC tendrá tres componentes básicos de gestión de vulnerabilidades, gestión de amenazas y gestión de acceso.
1.1 Dentro de los servicios de un SOC se detallan las siguientes alternativas a) Gerenciamiento de Firewalls: •
Soluciones basadas en appliances específicos de hardware
•
Soluciones basadas en Personal Firewalls de software gerenciales, ideal para uso de pequeñas empresas.
b) Gerenciamiento de IDS e IPS (Sistemas de Detección y Prevención de Intrusos). c) Gestión de Logs y Correlación de eventos. d) Análisis de Vulnerabilidades. e) Tests de Ataque y Penetración. f)
Auditoría de Redes Internas.
6
g) Filtros de Contenidos (gestión de setup o implementación de soluciones, con reportes estadísticos). h) Gestión de Antivirus y Antispywares de Servidores y de Workstations. i)
Gestión de Soluciones de Autentificación Fuerte.
j)
Gestión de Redes Privadas Virtuales (VPN) (Site to Site y Cliente Remoto).
k) Gestión de redes de telecomunicaciones y soporte de microinformática. l)
Servicios de Consultoría, Auditoría y Asesoramiento: •
Normas ISO 17799 – ISO 24001 (BS 7799-2) Compliance y gap analysis.
•
Sarbanes-Oxley Compliance.
•
BCP /DRS planeamiento y definición (Business Continuity Plan).
•
Diseño de Plan de Seguridad.
m) Servicios de Capacitación. 2. Módulos de un SOC Security Operation Center es un término genérico que describe una parte o la totalidad de una plataforma cuyo objetivo es proporcionar servicios de detección y reacción a incidentes de seguridad. De acuerdo con esta definición, podemos distinguir cinco de las operaciones a ser realizadas: generación de eventos de seguridad, recolección, almacenamiento, el análisis y la reacción.
Para mayor facilidad vamos a empezar con la definición de "cajas":
Cajas de E: Eventos generadores
Cajas D: Eventos bases de datos
Cajas R: Eventos reacción
A continuación, se altera ligeramente la definición de las cajas A (descritas como "recibir informes y realizar análisis ") a tan sólo" el análisis ", dejando la " operación de recolección" de los datos de Cajas E a Cajas C específicas.
Cajas A: Análisis de eventos
Cajas C: la recopilación de eventos y formato
Otro tipo de caja será definida conforme necesitemos gestionar el conocimiento de las características protegidas de la plataforma, así como la vulnerabilidad y la intrusión de firmas de base de datos.
Cajas K: Base de Conocimiento 7
Como se puede imaginar fácilmente, cada caja describe un grupo funcional de "Módulos" que realizan operaciones específicas. Como un ejemplo una "caja E" puede ser un grupo de aplicaciones que generan los eventos del sistema a través del estándar de interfaz
syslog del sistema operativo en que se ejecutan. . También
podría ser un conjunto de ID's de Red. En los ejemplos anteriores, los módulos serían respectivamente aplicaciones y IDS de red.
Desde un punto de vista macro de cajas operaría como se describe en la Figura 1.
Figura 1 Diagrama de cajas
2.1 Sensores El tipo más conocido de sensores son los IDS, pueden ser basados en host o basado en la red.
2.2 Pollers Pollers son un tipo específico de generadores de eventos. Su función es generar un evento cuando un estado específico se detecta en un sistema de terceros. La analogía más simple es hacerse con los sistemas de gestión de red.
8
2.3 Cajas C y Cajas D El propósito de las cajas de recogida es reunir información de diferentes sensores y traducirla en un formato estándar, con el fin de tener una base homogénea de mensajes.
2.4 Cajas A y K Estos módulos son responsables para el análisis de eventos almacenados en las cajas D. Están para realizar varias operaciones en orden de proveer mensajes de alerta calificados.
2.5 Cajas R Es un término genérico utilizado para definir el conjunto de reacciones y herramientas de reporte usadas para reaccionar contra los eventos ofensivos que están teniendo lugar en o dentro de los sistemas supervisados.
3. Arquitectura global de un SOC La arquitectura global de un SOC implementa los diferentes tipos de cajas definidas anteriormente. Sin embargo, al lado de los puros aspectos técnicos involucrados en este tipo de implementación, es necesario tener en cuenta la supervisión de la infraestructura de TI como un proyecto plenamente operativo. 3.1 Procedimientos de reacción y escalamiento Con el tiempo, reaccionar adecuadamente a un ataque es sobre todo una cuestión de organización y los procedimientos a ser aplicados por los equipos de respuesta a incidentes. Por supuesto, la reacción apropiada debe ser determinada antes de que un ataque se lleva a cabo y los procedimientos deben ser validados a continuación de forma segura (sobre todo en términos de integridad) almacenada y accesible a los equipos de supervisión.
En términos simples, un cierto nivel de escalamiento se debe definir con el fin de asegurar una reacción rápida y eficaz, en paralelo con el uso de apropiado los recursos humanos. Los procedimientos de escalamiento se dan en la figura 3. Otro aspecto a ser especificado es el retardo, definido como t1 en la figura anterior, en la que el procedimiento de reacción debe ser puesto en marcha, de acuerdo con atacar a la criticidad. Una vez que este retraso se ha agotado, el escalamiento y el siguiente paso (parte superior) deberían ser automáticos. 9
Figura 2 Procedimiento de escalamiento
El primer nivel debe ser lo que nos referimos como agentes, es decir, a mediados de técnica el personal de nivel, que son capaces de entender los eventos generados por unidades de embalaje, así como el procedimiento de reacción para aplicar.
El segundo nivel debe ser un equipo de expertos técnicos. Estos expertos son responsables del análisis de eventos de intrusión que no se han definido a priori.
El tercer nivel debe ser un "laboratorio" en el que los paquetes sospechosos, el sistema de operaciones y así sucesivamente se volverá a jugar, con el fin de determinar la naturaleza de la intrusión desconocida y proporcionar un procedimiento de reacción completo 10
4. Correlación
4.1 Funcionamiento de la correlación El propósito de la correlación es analizar secuencias complejas de información y producir eventos simples, sintetizados y precisos. Con el fin de generar eventos calificados, cinco operaciones deben llevarse a cabo:
a)
Identificación de duplicados, la primera, la operación obvia, es identificar duplicados y establecer un indicador específico, a fin de mantener la información y continuar sin la necesidad de mantener múltiples mensajes idénticos.
b)
Patrones de la secuencia de coincidencia, es la operación más común realizada por un motor de correlación. Su finalidad es identificar una secuencia de mensajes que sería característico de un intento de intrusión. Se hace posible identificar los procesos en curso de intrusión, así como los escenarios complejos de intrusos.
c)
Coincidencia de patrón de tiempo, está diseñado para incluir una dimensión importante en el análisis de intrusión: el tiempo. Esto se utiliza principalmente para el contexto (ver más abajo) gestión, así como lentas y distribuida procesos de intrusión.
d)
Exposición del sistema y el análisis de criticidad, proporciona información sobre el sistema de destino de la vulnerabilidad a los intentos de intrusión detectados. En efecto, se parece inapropiado que las alarmas de generación de SOC sobre una intrusión escenario basado en una vulnerabilidad que el sistema de destino no está expuesto. Otra pieza de información es la criticidad de la intrusión es decir, su impacto global sobre el sistema supervisado. Esto ayuda a gestionar las prioridades en términos de reacción a los incidentes múltiples.
e)
Coincidencia de las políticas de seguridad, es un filtro basado en el comportamiento que elimina eventos específicos si coinciden con los criterios de políticas de seguridad, como administrador de inicio de sesión, los procesos de identificación y autorizaciones y restricciones. 11
Una visión global de las operaciones de correlación se da en la figura 3 a continuación
Figura 3 Operaciones de Correlación
4.2 Introducción a los contextos El análisis definido anteriormente se basa en una estructura específica llamada contextos.
Todas las operaciones de correlación se realizan contra estas estructuras. En términos sencillos, la definición de un contexto es la siguiente: un contenedor de datos con formato que corresponden a un criterio común.
Por lo tanto, cualquier mensaje almacenado en la base de datos de mensaje con formato es parte de uno o más contextos. Las operaciones de correlación se llevarán a cabo en paralelo para que se puedan ejecutar simultáneamente en cada contexto. 12
Hay dos tipos de enfoque de contexto de la gestión puede llevarse a cabo:
La primera es para definir contextos independientes y distintos. Cada contexto contendrá los mensajes que coinciden todos los criterios. Se define la arquitectura como una gran variedad de contextos.
El segundo enfoque es uno de tipo jerárquico. Contextos de nivel superior que coincidan con un número limitado de criterios son definidos. A continuación, subcontextos, basados en diferentes criterios, se crean y así sucesivamente. Esto se define aquí en adelante como contexto árbol.
Como es de esperar, ninguno de los enfoques anteriores satisfacer todas las necesidades, ser que en términos de rendimiento o funcionalidad. Una arquitectura mixta por lo tanto se tiene que ser definido.
4.2.1 Estructura de los contextos Como cualquier operación de correlación se realiza exclusivamente en los contextos, parece que su estructura es probablemente uno de los aspectos más importantes de la SOC.
4.2.1.1 Arquitectura Funcional La arquitectura funcional se compone de una matriz de árboles de contexto. Cada árbol contiene cuatro niveles de ramas, como se describe en la figura 4.
13
Figura 4 Arquitectura funcional de árbol
4.2.1.2 Estructura de datos Con el fin de manejar la arquitectura que se ha definido anteriormente, es necesario implementar una estructura que garantice un adecuado almacenamiento y acceso a la información.
La figura 5 describe un esquema de implementación de contexto. Como PERL de forma nativa soporta matrices de implementos y tablas de hash vamos a utilizar la notación de PERL. Sin embargo, esto no es necesariamente una implementación recomendada.
14
Figura 5 Esquema de implementación de contexto
4.2.2 Estado de los Contextos Otra
característica
importante
de
contexto
es
su
estado.
Definimos
tres
estados distintos que se detallan a continuación:
a) Activo: el contexto coincide con los criterios específicos (por lo general basadas en el tiempo pero podría ser cualquier otro criterio)
b) Inactivo: como un contexto, o bien no está de acuerdo con los criterios de "activos" o no recibe un código de cierre específico
c) Cerrado: el contexto ha sido completado
15
Figura 6 Estado de los contextos
5. Análisis
5.1 Análisis estructural El propósito del análisis estructural consiste en identificar intentos de intrusión en curso, administrar el estado de inactividad y el contexto de las condiciones del contexto de cierre. En términos sencillos, el análisis estructural es un conjunto de operaciones realizadas por módulos independientes en cada contexto. Cada módulo se activa mediante un mensaje específico y realiza el análisis con una semántica "estándar".
5.2 Módulos de análisis de la estructura La salida de los módulos de análisis es el resultado de varias operaciones lógicas entre las condiciones de autónomos contra los campos de los contextos. La Figura 7 describe miembros de tales operaciones
Figura 7 Módulos de análisis
16
5.3 Análisis de la activación del módulo Hay dos tipos de eventos pueden activar los módulos de análisis: los mensajes y el tiempo.
5.4 Correlación avanzada Las operaciones avanzadas de correlación se realizan a fin de definir la criticidad de un intento de intrusión y evaluar si este tipo de intento de intrusión está permitido de acuerdo con la política de seguridad. 5.4.1 El análisis funcional Este paso correlación segunda se realizó con el fin de evaluar la exposición del sistema a la intrusión y el impacto global de una intrusión en la supervisión sistema.
5.4.2 Análisis del comportamiento El propósito de este último análisis es definir si los intentos coinciden con la política de seguridad. Esto se utiliza principalmente para controlar el acceso a las cuentas, pero puede también aplicarse en el caso de auditorías pre-programadas, escaneos de puertos, etc. En tal situación, un código de cierre se envía al contexto.
6. Modelos Sugeridos para la aplicación empresarial A continuación se muestran los diagramas de solución propuestos para la implementación de un SOC, tanto en forma física como lógica.
17
6.1 Modelo Lógico
Figura 8 Diagrama Lógico
18
Figura 9 Diagrama Lógico, bajo nivel
19
6.2 Modelo Físico
Figura 10 Diagrama Físico
20
7. NOC (Network Operation Center)
Un Centro de Operaciones de Red, o NOC, es utilizado para monitorear, administrar y solucionar problemas en una red. El Centro de Operaciones de Red ofrece la supervisión de la gestión de problemas, configuración y cambios, seguridad de red, el rendimiento y la supervisión de políticas, informes, control de calidad, programación, documentación y gestión de la red mediante la utilización de sofisticados instrumentos de seguimiento y análisis. El NOC proporciona un entorno estructurado que coordina de manera efectiva las actividades operacionales con todos los participantes y los proveedores relacionados con la función de la red. Los técnicos NOC suelen proporcionar apoyo veinticuatro horas al día, siete días a la semana.
Los procesos típicos diarios incluyen:
a) Monitoreo de las operaciones de todos los enlaces troncales y dispositivos de red.
b) Asegurar la operación continua de servidores y servicios. c) Proporcionar apoyo a la calidad para los usuarios de la red. d) Solución de problemas de red y todos los problemas relacionados con el sistema. e) Apertura para rastrear y documentar resolución de problemas. f)
24 horas al día, 7 días a la semana bajo la supervisión y operación por ingenieros altamente cualificados de la red y del sistema.
7.1 Network Operations Center (NOC) Servicios a) Observar, identificar, aislar, solucionar problemas, escalar, corregir los problemas, y en el documento infraestructura de la información, incluyendo la WAN, LAN, cortafuegos, RAS y conexiones secundarias.
b) Identificar la causa raíz de los problemas c) Realizar análisis de tendencias
21
d) Registrar todos los problemas utilización de control automatizado, resolución de problemas y sistemas de ticketing. e) La interacción con otros técnicos de la empresa para asegurar un manejo adecuado y edición resolución 7.1 Beneficios a) Aumento de la eficiencia de la red existente y recursos empresariales.
b) Le permite planificar con mayor precisión para el futuro inversiones en la infraestructura de red. c) Mejorar el servicio y el acceso a su usuario final comunidad y su cliente. d) Reducir los costos e) Interfaz con varias técnicas y gestión recursos para la escalada problema, resolución y documentación
7.2 ¿Por qué la Convergencia SOC / NOC? Las discusiones son una actividad constante en cualquier organización creciente de TI. La clave para la toma de decisiones es encontrar una masa crítica en las capacidades de los grupos. Los beneficios esperados son claros que esperamos optimizar recursos, alinear los servicios del equipo operativo y aumentar la capacidad de respuesta para el negocio.
Hay que tener en cuenta las funciones de un NOC, la tolerancia a fallos, la solución de problemas específicos de cortes de red, sistema de seguimiento de tiempo de actividad, etc y compararlos con las funciones de un SOC, detección de intrusiones, detección de anomalías de comportamiento de red, gestión de registros, etc. Cuando se trata de control y la reacción, la mayor diferencia entre el NOC y SOC es que el SOC es en busca de "adversarios inteligentes."
Siendo realistas, es muy difícil decir la diferencia entre los ataques y actos al azar de la red en las primeras etapas.
Elementos comunes en los procesos existen y deberían ser potenciados. La seguridad debe ser implicado no sólo en la identificación de incidentes y la respuesta, sino 22
también cuando se trata de gestión del cambio, implementación de aplicaciones y selección de servicios. Además, la utilización de los sistemas de tickets, los sistemas de evaluación de riesgos, las herramientas de información y sistemas de monitoreo puede ser compartida entre ambos.
7.3 Desafíos de la convergencia SOC / NOC
No hay convergencia sin obstáculos. Los retos más importantes giran en torno a la utilización de recursos:
a) La racionalización de los procesos y el impulso de la eficiencia destacan los procesos que están siguiendo caminos diferentes a conclusiones similares.
b) Encontrar la herramienta adecuada, el SOC y NOC suelen tener una serie de herramientas para satisfacer sus necesidades. Estas herramientas deben ser inventariadas y evaluadas funcionalmente para encajar dentro del centro de operaciones convergentes. c) Aumento de correlación, con una gran cantidad de herramientas, los procesos de racionalización y herramientas conduce a una necesidad de mayor profundidad de correlación de eventos. d) Un enfoque metodológico para la implementación es la mejor manera de abordar estos desafíos.
7.3 Pasos para la implementación convergente del SOC/NOC
Un proceso para SOC/NOC que aprovecha la implementación basado en principios de convergencia posee cinco pasos.
Paso 1: evaluar los mandatos y las mejores prácticas Es importante entender las expectativas de una organización que considere convergencia. Este primer paso implica la comprensión de las fortalezas de la organización y las debilidades, y comparándola con la voluntad de cambiar. La cultura corporativa puede dictar mandatos desde una perspectiva de arriba hacia abajo o
23
basada en un consenso. Comprender el razonamiento de la organización asegura coherencia con la iniciativa.
Quizás el factor más importante en la evaluación de mandatos internos es entender las mejores prácticas y determinar la cantidad de cambio que sea necesario para cumplir los objetivos. Un enfoque conservador suele proporcionar más éxito y da lugar a una respuesta positiva de los departamentos afectados y personas.
Paso 2: Documentar las políticas y el valor del negocio
Con los mandatos definidos, es importante documentar la política a nivel estratégico para las funciones del SOC/NOC. Estas políticas deben definir los objetivos de un grupo de operaciones. La política puede poner de relieve las responsabilidades del individuo para cada función y sentar las bases para la determinación de cómo los recursos deben ser asignados.
Tal política es más importante de lo que es el valor del negocio, ya que a menudo se pasa por alto y es clave para que todos los jugadores trabajen bien dentro de los mandatos establecidos por la organización.
El valor del negocio debe manejar todas las políticas, procesos y controles.
Paso 3: Definir los controles de apoyo
Teniendo en cuenta la gestión orientada a los servicios, las operaciones de TI que comprenden tanto componentes del SOC y NOC claves de TI y servicios empresariales, su disponibilidad y rendimiento, y los componentes subyacentes de TI que apoyan la prestación de dicho servicio. Para ello será necesario identificar e internamente auditar las aplicaciones específicas, sistemas e infraestructura de red que comprenden un servicio de TI.
Un enfoque útil es identificar un puñado de servicios de TI y organizar en un documento un proceso de auditoría. Esto no sólo produce la salida manejable (en lugar de intentar documentar todos los servicios posibles), sino que también puede identificar áreas para mejorar recopilación de datos. Una vez que el servicio está definido, la disponibilidad básica o avanzada y requisitos de rendimiento o Acuerdos de Nivel de Servicio (SLA) pueden ser investigados. 24
Esto ayudará a determinar qué controles pueden existir o ser necesarios.
Tanto las operaciones de red y funciones de operaciones de seguridad deben ser evaluados para establecer los controles apropiados. Desde la recogida de información sobre el tráfico a través de su análisis, identificación de problemas, la investigación inicial y el seguimiento forense, cada paso en el proceso debe tener controles para las entradas y la transferencia a la siguiente etapa.
Paso 4: Revisión, verificación y lograr apoyo
Los auditores internos y externos, y los miembros del personal del SOC y NOC deben apoyar el proceso, los objetivos, requisitos y parámetros para garantizar el mayor nivel de éxito.
La documentación y revisión posterior de los pasos 1 a 3, será necesaria para identificar cualquier punto muerto y hacer mejoras que son típicas en un amplio esfuerzo.
Paso 5: Implementar, mejorar y ampliar
El paso final es la implementación. Se sugiere que el mantenimiento de la aplicación y limitar el alcance del proyecto por etapas antes de la implementación real, esto asegurará el progreso en la convergencia del SOC/NOC obteniendo un medio más rápido para las correcciones operativas y la capacidad de medir más fácilmente los resultados operativos.
7.4 Flujo de Trabajo del NOC El flujo de trabajo NOC se organizará en cinco fases distintas:
a) Fase 1: El NOC se gestiona de forma virtual. Los componentes básicos del NOC son accesibles de forma ubicua.
b) Fase 2: Parte del NOC es el sistema de gestión de red virtual. Se compone de mejoras en las interfaces gráficas de usuarios a fin de planificar,
25
disponer y monitorear (en tiempo real), los cambios físicos en la infraestructura de red. c) Fase
3:
Nuevos
servicios
se
ofrecen
con
el
servicio
Virtual
Manager. Estos servicios se utilizan para diseñar, especificar y organizar el despliegue de servicios avanzados sobre la infraestructura de NOC. d) Fase 4: Cuando se produce un problema es posible interactuar con el Sistema de ayuda, con el fin de resolver los problemas de conectividad y manejar Incidencias del sistema. e) Fase 5: La alta gerencia está disponible para tomar decisiones sobre aspectos estratégicos del proyecto y los correspondientes servicios desplegados.
26
7.5 Modelo Físico del NOC
Auto Descubrimiento
Motor de Auto Descubrimiento y Encuesta
SNMP
Notificación Automática
Ejecutivos
Registro de dispositivos
Receptor Trap/Servidor de Logs
Procesador de Alarmas
Personal Experto
Motor Correlación de eventos
Interface WEB
TRAPs/Syslog
Archivo de Alarmas
Recolección datos de rendimiento y presentación de informes
NOC-Help Desk
SNMP
Figura 11 Diagrama Físico del NOC
27
7.6 Modelo Lógico del NOC
Administración de Vulnerabilidades
Expertos en la matería
Administración de dispositivos
Administración de Amenazas
Administradores del NOC
Jefe del NOC
Internet
Proceso Inteligencia Global
Procedimientos de Operación Estandar
Motor de Alarmas
Análisis y Diagnostico
Funcionamiento de equipos de infraestructura
Calidad de Servicios y Aplicaciones
Administrador de enlaces físicos
Gestor de fallos y rendimiento
Control de la seguridad de instalaciones
Operaciones de todos los dispositivos de red
Analizar, evaluar y corregir
Detección y prevención de problemas de red
Gestión de fallas, configuración y base de reglas
Red
Data Center 1
Data Center 2
Computación de Usuario
Figura 12 Diagrama Lógico del NOC
28
7.7 Diagrama Flujo de Datos del NOC
Inicio
Conectar al NOC
Seleccionar un Servicio: Helpdesk, Administración de Servicios, Administración de Servicios de Red
ASR
Administración Topología de Red
Ocurrió un Problema
Sí
HelpDesk
No Reiniciar Servicio de Red No Poner un nuevo servicio
Sí Llamar administrador Servicio
Poner nuevo servicio
Tomar decisiones estrategicas?
No
Sí
Alta Gerencia
Tomar decisiones estratégicas
Fin
Figura 13 Diagrama de Flujo de Datos NOC
29
7.8 Implementación en empresa de E-commerce
La seguridad es un componente integral y necesaria de los negocios de hoy, cada vez más, debido a la expansión de Internet y la gran "E": e-business, e-commerce y ecommerce al por menor. La seguridad nunca ha sido tan crítica para la supervivencia de una empresa, la ventaja competitiva y la capacidad de mantener valor en los interesados. Un programa de seguridad eficaz, por lo tanto, no es sólo acerca de los dispositivos de seguridad y tecnología, sino que también debe incorporar a las personas y los procesos.
El objetivo de la implementación se centra en poder integrar tanto el NOC como el SOC junto al Help Desk, para dar a la empresa de venta de Hosting y Dominios un único punto central de acceso y administración de Software e Infraestructura.
En este caso el SOC llevara toda la parte de monitoreo y administración de seguridad, mientras que el NOC manejara toda la parte de Red. Ambos brindaran una interface web integrada que permitirá analizar tanto elementos del SOC como del NOC. Es en este punto donde inicia el papel del Help Desk, el cual tendrá acceso a estas interfaces para poder generar Tickets o bien poder informar al usuario de forma oportuna sobre algún problema o inconveniente que se esté presentando.
Información de Arquitectura de Flujo Como se representa en la arquitectura de flujo de información en la Figura 14, el sistema requisitos es descompuesto en módulos jerárquicos y funcionales de flujo horizontal que son elementos de decisión para apoyar el proceso de NOC-SOC táctico para la gestión de la información.
Cada una se descompone en sub-funciones de bajo nivel o misiones (Kossiakoff & Sweet p.381, 2003). A continuación en la Figura 15 se muestra la información de alto nivel de la arquitectura de flujo que es de colores codificados para alinear a la Figura 13 que muestra la disposición física y funcional de la NOC.
30
Interpretar
Links de Influencia Sentido
Proceso
Evaluar
Analizar
Revisar
Ciclo de Realimentación continua
Figura 14 NOC-SOC Nivel Superior Flujo de Información
Figura 15 Función NOC-SOC y maquetación Física
Con el fin de cumplir con los requerimientos tácticos de la misión, la descomposición se repite en La Figura 16 hasta que la asignación a un sistema particular (s) o elemento de sistema (s) está completa.
Para los requisitos de rendimiento de la red, y los requisitos de colaboración de apoyo dentro las relaciones jerárquicas se utilizan en la construcción de las relaciones entre padres e hijos durante la especificación de los objetos
31
Sentido
Proceso
Evaluar
Analizar
Revisar
Explorar
Correlación
Interpretar
Seleccionar
Monitorear
Capturar
Asociar
Clasificar
Alinear
Evaluar
Recolectar
Fucionar
Validar
Integrar
Iterar
Ciclo de Realimentación continua
Figura 16 Información NOC-SOC Flujo Arquitectura
32
7.9 Estructura de Integración Propuesta Help Desk
Administración de Vulnerabilidades
Expertos en la matería
Administración de dispositivos
Internet
Administración de Vulnerabilidades
Expertos en la matería
Administración de dispositivos
Administración de Amenazas
Administradores del NOC
Jefe del NOC
Internet
Proceso Inteligencia Global
Administración de Amenazas
Administradores del SOC
Proceso Inteligencia Global
Jefe del SOC
Interface WEB
Motor de detección de vulnerabilidades
Herramienta de prevención fuga de datos
Motor de Alarmas
Análisis y Diagnostico
Administrador de parches y configuración
Analizador de Log
Funcionamiento de equipos de infraestructura
Calidad de Servicios y Aplicaciones
Herramienta administración active directory
Gestor de fallos y rendimiento
Administrador de enlaces físicos
Gestor de fallos y rendimiento
Consola administración seguridad de dispositivos
Control de la seguridad de instalaciones
Operaciones de todos los dispositivos de red
Consola central de antivirus
Analizar, evaluar y corregir
IDS-IPS
Detección y prevención de amenazas
Gestión de fallas, configuración y base de reglas
Analizar, evaluar y corregir
Detección y prevención de problemas de red
Gestión de fallas, configuración y base de reglas
Red
Data Center 1
Data Center 2
Computación de Usuario
Procedimientos de Operación Estandar
33
8 Proceso para la continuidad del Negocio
Plan de Continuidad del Negocio (BCP) es el resultado de la aplicación de una metodología interdisciplinaria, llamada Cultura BCM, usada para crear y validar planes logísticos para la práctica de cómo una organización debe recuperar y restaurar sus funciones críticas parcial o totalmente interrumpidas dentro de un tiempo predeterminado después de una interrupción no deseada o desastre.
Los objetivos del Plan de Continuidad de Negocio son:
a) Salvaguardar los intereses de sus clientes y socios además del negocio y la imagen de la organización.
b) Identificar los puntos débiles en los sistemas de la organización. c) Analizar las comunicaciones e infraestructuras. d) Conocer la logística para restablecer los servicios, independientemente de los sistemas. e) Ofrecer alternativas viables a todos los procesos críticos de negocio.
Antes de iniciar con la propuesta para mantener la continuidad del negocio, es importante aclarar algunos conceptos que están asociados directamente con el tema y cuyo dominio es relevante. ¿Qué es Riesgo? Los riesgos, que pueden ser naturales o provocados por el hombre, representan la exposición a la pérdida dentro de una organización. Los potenciales riesgos son típicamente medidos en términos de probabilidad de ocurrencia y el impacto generado en caso que los mismos se materialicen.
¿Qué es Probabilidad? La probabilidad mide la capacidad de ocurrencia del riesgo en el tiempo, considerando niveles de (como ejemplo): muy poco probable, poco probable, moderada, probable y casi cierta.
34
¿Qué es Impacto? El impacto mide el nivel de daño provocado una vez manifestado el riesgo. Este nivel de impacto se puede medir (como ejemplo) con la calificación siguiente: insignificante, menor, moderado, significativo o catastrófico.
Procedimientos de Recuperación Se elaborarán procedimientos de recuperación que apoyarán el proceso de recuperación de la plataforma de TI posterior a la manifestación de cualquier evento que los afecte parcial o totalmente (escenario de peor caso). De esta forma deberá documentarse procedimientos para la recuperación de:
_ Sistemas de información; _ Servidores; _ Equipos y líneas de comunicación.
En todos los casos se considerará con prioridad aquellos elementos (de los citados anteriormente) que sean críticos de acuerdo a los procesos críticos del negocio y considerando los tiempos máximos de interrupción identificados en cada uno de los casos.
Desarrollar programas de entrenamiento y concientización En esta etapa, se desarrollara un programa orientado a crear y mantener conciencia en el negocio, además de mejorar las habilidades requeridas para desarrollar e implementar los planes de recuperación.
Pruebas y dar mantenimiento al Plan Esta etapa se orienta a probar con antelación y coordinar ejercicios, documentando y evaluando los resultados de ellos. Desarrollar procesos para mantener vigentes las capacidades para lograr una adecuada recuperación de las operaciones de TI, en acuerdo con la dirección estratégica del negocio.
Centro de Operaciones de Emergencia (COE) El Centro de Operación de Emergencias (COE) es un local o área desde la cual se controla toda la emergencia y se realizan actividades de evaluación inicial, coordinación y toma de decisiones. Es el sitio que albergará al personal responsable de coordinar los esfuerzos de la recuperación.
35
Directriz de capacitación en planes de continuidad Debe ser política proveer la capacitación necesaria a los funcionarios, sobre el Plan de Continuidad de TIC, con el propósito de asegurar la obtención de una participación acorde con los lineamientos establecidos en este plan y esperados en el evento de un desastre.
La capacitación puede ser considerada como la mejor manera de proporcionar al personal con el conocimiento apropiado de sus responsabilidades ante un desastre. Adicionalmente ayuda a mantener el Plan actualizado al permitir la identificación de áreas de mejora y de actualización en el mismo.
Captura de Información de Riesgos
.
Ejemplo de Implementación
36
Conclusiones La complejidad de la configuración de SOC-NOC es más una cuestión de la integración que la implementación de los módulos individuales. Las nuevas normas deben ayudar a reducir las diferencias entre los enfoques teóricos, de propiedad las implementaciones y los sistemas independientes.
Mientras tanto, las intrusiones están claramente teniendo lugar y no hay por tanto una necesidad para sistemas de supervisión operativas en la actualidad. La experiencia demuestra que un enfoque pragmático debe ser tomado con el fin de poner en práctica un SOC-NOC profesional que puede proporcionar resultados fiables.
La teoría se ha descrito anteriormente constituye el marco para la implementación de un SOC
37
Recomendaciones Debido a la alta complejidad del tema, así como los elevados costos tras su implementación, se debe analizar muy bien las necesidades; a fin de determinar si lo mejor es implementarlo o subcontratarlo (actualmente muchas empresas brindan estos servicios a terceros).
Es de vital importancia que si se desea monitorear, vigilar o regular el uso de recursos, información o acceso exista una o varias políticas que estipulen ese requerimiento ejecutivo para poder así justificar la implementación o contratación de servicios que se encarguen de hacer cumplir las políticas
Debe existir o fomentar una cultura sobre la seguridad informática, que tenga un peso en las empresas, ya que estas, no gustan de capacitar al personal y la contratada no cuenta con la experiencia suficiente.
Se debe buscar la mayor convergencia entre herramientas del SOC y el NOC con el fin de abaratar los costos
38
Bibliografía
Group, M. P. (s.f.). Mid Point Group. Recuperado el 23 de 11 de 2012, de http://www.mindpointgroup.com/SOC.pdf Intelligence, N. (s.f.). Network Intelligence. Recuperado el 18 de 11 de 2012, de http://www.niiconsulting.com/services/managedsecurity/nocsoc.html Nasa. (s.f.). Nasa. Recuperado el 25 de 11 de 2012, de http://www.uscert.gov/GFIRST/presentations/Incident_Management_Anatomy_of_a_Security_Oper ations_Center.pdf Wikipedia. (s.f.). Wikipedia. Recuperado el 18 de 11 de 2012, de http://en.wikipedia.org/wiki/Security_operations_center http://es.wikipedia.org/wiki/Plan_de_continuidad_del_negocio
39
View more...
Comments