En artículos anteriores hemos visto cuando el hacking pasa de ser un acto legal a convertirse en un ciberdelito.
Además, también hemos visto cuales son los principales delitos cometidos hoy en día.
Pero … aún nos quedan algunas preguntas ¿Verdad?
¿Cómo se puede detectar un ciberataque?
Pues bien, las palabras claves para responder a esta pregunta son: SIEM y SOC. Y para entenderlo correctamente vamos a imaginar una situación en la que dos empresas recibe un ciberataque.
A partir de aquí existirán 2 opciones bien diferenciadas:
EMPRESA A:
La empresa ha tomado las medidas necesarias de prevención, detección y respuesta ante un incidente.
EMPRESA B:
La empresa no ha tomado las medidas necesarias.
Supongamos que un ciberdelincuente consigue entrar en la red interna de la empresa, tras conseguir acceso, pivota hasta ser administrador de dominio y desde ahí, se dispone a implantar un ransomware en toda la infraestructura.
EMPRESA A:
Como las cosas estaban bien hechas, la empresa tiene una herramienta que vigila y correlaciona todos los eventos (logs) presentes en la red atacada. Esta herramienta detecta que está sucediendo algo diferente a lo habitual (basado en reglas anteriormente configuradas por el equipo de IT o directamente gestionado por una inteligencia artificial) y establece alertas en función de la criticidad del ataque detectado.
EMPRESA B:
Al no tener ninguna herramienta que sea capaz de vigilar los eventos registrados de los logs, nadie recibe ninguna alerta de que el ciberdelincuente ha comprometido la infraestructura y en esos momentos está dentro realizando todo tipo de actos que desee libremente.
En estos momentos ya empezamos a darnos cuenta de la importancia de tener sistemas de seguridad capacitados para hacer frente a posibles amenazas. En este ejemplo, la herramienta que se encarga de detectar anomalías en una red y avisar de ello, es el SIEM.
Una vez que el SIEM ha dado el servicio de alerta temprana, entra en juego el Centro de Operaciones de Seguridad o (Security Operation Center) o SOC, porque nunca hay que olvidar que una buena herramienta no vale nada si no hay una persona detrás.
EMPRESA A:
Tras la alarma (en tiempo real) del SIEM, el equipo del SOC comienza la respuesta ante un ciberataque. Por ejemplo:
- • Aislamiento de los sistemas implicados, pero no apagado.
- • Escaneo en profundidad del resto de sistemas en busca de vulnerabilidades existentes o anomalías.
- • Revisión de usuarios en los sistemas, creación de nuevos usuarios, reactivaciones de perfiles antiguos, etc..
- • Cualquier otra medida de seguridad especialmente adaptada a las necesidades de la empresa.
- • Reactivación de sistemas y continuidad de la actividad diaria de la empresa.
EMPRESA B:
NO toman medidas al no haber sido alertados, sus datos y los de sus clientes son robados, el malware queda instalado en la infraestructura. Además, todas las copias de seguridad se han mantenido en la red, al alcance del atacante (por no disponer de backups en frío). Por lo tanto, han podido ser destruidas, alteradas o encriptados llevando a la ruina a la empresa. E incluso se han podido dejar instaladas puertas traseras para futuros ataques si sigue en pie.
Como conclusión, hoy hemos aprendido como un equipo cualificado (SOC), junto a la tecnología necesaria (SIEM), pueden evitar grandes problemas de seguridad y quiebras económicas.
Tras los ataques recibidos y si los equipos se aislaron correctamente y no se apagaron, es posible que se pueda abrir una investigación forense para buscar a los autores de los delitos realizados, o al menos, entender como se produjo el incidente y poder parchear las brechas que permitieron los accesos a los ciberdelincuentes lo antes posible. Ya que el apagado de equipos produce alteraciones de información y la pérdida de datos de la memoria RAM.
Si quieres saber qué medidas básicas tomar para securizar tus redes correctamente. Lee nuestro próximo artículo.
0 responses on "SIEM y SOC"