Estimados amigos de Inseguros, hoy vamos a hablar sobre la importancia de la monitorización de ciberseguridad !!!
En el post de hoy voy a hablar de una realidad para mí, en el entorno de mis clientes, y el servicio que ofrece el SOC de estos que se centra mucho en la monitorización de ciberseguridad.
Mis clientes de auditorías, porque en SeguridadSI hacemos las mejores auditorías de ciberseguridad 🙂 algunos tienen un estado de madurez de tener esos SOC´s que todos conocemos. Los grandes, me refiero a que me he encontrado «delante» de mis pentest y auditorías. Podría poner los nombres, pero es que no he encontrado NINGUNO «bueno». Bueno para mí el cliente. Es decir, que haya parado la amenaza en tiempo y forma. Y vamos a explicarlo para buscar la solución a encontrar un buen servicios de monitorización y respuesta a incidentes, incluyendo la monitorización de ciberseguridad, SOC para tu empresa.
El problema, la gente
Si, así en titular. Hay algunos SOC que montan mal las sondas, los datasources, las reglas, he llegado a ver DESASTRES, pero esto SI que marca la diferencia entre unos y otros. En estas cosas SI hay mejores y peores. Estas conversaciones las hemos tenido ya en redes. Y te llega el Account comercial y te dice que es que el cliente no quería monitorizar la nube, con Azure (como aprendemos en el curso de Monitorización Azure, que es parte de la monitorización de ciberseguridad)
No me refiero a estos FALLOS. Me refiero por un lado, al trabajo de los operadores del SOC, y por otro lado al cliente. SI, parte de que el SOC no funcione es por nuestra culpa como clientes. Creías que te ibas a librar?
Hoy en día un buen EDR detecta el 80/90% de los TTP, Técnicas Tácticas Y Protocolos en Mitre, (Curso Mitre experto) Si te han metido un Zero Day… o le han pagado 100.000 euros el it manager, o han accedido por un Phishing, te lo podrá pillar el EDR o no, pero en cuanto el malo empieza a «moverse» y «actuar» el EDR lo va a pillar SI o SI. En mi última auditoría hicimos un CS01 al cliente porque tenía una plantilla de certificados mal configurada, y lo típico, permitía pedir un certificado por usuario A en nombre de usuario «admin». Esto lo pillo CrowdStrike al SEGUNDO, después hicimos la de cambiar el certificado por un TGT, y nos hicimos admin. Luego un DCSYNC, y todo esto dando vueltas por el dominio, con conexiones desde equipos linux, Windows. LO NORMAL PARA UN PERRO decimos en Murcia. Nos metimos al grupo administradores, imagina la fiesta. Y lo bueno, es que el EDR lo pillo todo, y el servicio gestionado (lo daba un tercero) avisó con pelos y señales al cliente. A las 4 horas. Y el cliente dice que estaban viendo cantar el EDR, y esperando la llamada durante 4 horas. Como ya les había pasado otras veces, pues ya no más. FUSILADOS xD.
En otras ocasiones, no tardan 4 horas, tardan 1 hora. Quizás el SOC está menos ocupado, menos clientes, o tienen procesos de escalado más ágiles… pero su respuesta es LLAMAR…
Cuando hablas con el Account, que él siempre tiene respuestas positivas para todo, te dice que la culpa es del cliente por no trabajar los playbooks de respuesta, SOAR, etc… y SI, pero el cliente nunca tiene la culpa. Me explico, el SOC debe PERSEGUIR al cliente 1 vez al mes con los TTP más habituales, con los casos de uso MÁS HABITUALES, y OBLIGAR al cliente a que automatice. Se me ocurren CIENTOS de falsos positivos en los que no puedes automatizar un «shutdown» o cualquiera de las medidas necesarias, pero ante ciertos TTP, NO SE ME OCURRE ninguna excusa por la que no se haya bloqueado al usuario de origen, aislado los equipos implicados, y notificado DE URGENCIA, por ejemplo de un pass the hash, agregar usuarios a grupos admin, logins en horas valle, etc etc etc. La monitorización de ciberseguridad es clave en estos aspectos.
La solución de monitorización en ciberseguridad
Y espero que entiendas mi tono, luego en la vida real no es tan radical xD y la solución no es cambiar de SOC, sino en cambiar lo que sabes que está mal. Diseñar estrategias conjuntas de escalado, notificación y respuesta automáticas es parte del progreso. Pero eso es lo menos rentable para el SOC. El SOC quiere instalarte un SIEM, unas sondas, y meterte en la churrera de tickets jira del operador… eso es lo más barato. Tener un EXPERTO nivel 3 o superior, trabajando codo con codo contigo, es caro.
Cómo te podemos ayudar en SeguridadSi
En SeguridadSI vemos esto a diario, FOR REAL, y ayudamos a los clientes de varias maneras. Pero puedes hacerlo tú, no sólo te estoy «vendiendo cosas», muchas veces son gratis xD
- Purple Team: Hacemos 10 ataques concretos, los cotejamos con la detección de tu SOC, y les ayudamos a identificar-responder-contener.
- DataWareHouse de logs: Te ayudamos montando tu «SOC» interno. Es decir, te montamos Azure Sentinel como servicio, o te enseñamos cómo hacerlo y operarlo. TÚ te encargas de tus logs. De Office, de On premise, de los EDR, de los linux, todos tus logs. Y una vez contento, SE LOS DAS a un servicio 24×7 que te los monitorice, o no, según tu tamaño, pero NO CONFÍO EL end to end al SOC. En plan toma mi dinero y a correr.
- Honeypots: El problema hemos dicho que es la respuesta automática, porque no puedes responder automáticamente si no es 100%. Pues vamos a poner CEBOS, y así sabemos que si «suena» es 100%.
Y claro, antes de que te enfades porque te estoy vendiendo. Estos servicios de ciberseguridad los podemos hacer desde SeguridadSi, o puedes hacerlo tú. Y puedes formarte por tu cuenta, o puedes comprar cursos que te solucionan el asunto, como el de la Monitorización y respuesta a incidentes en Azure, o los cursos expertos de Ciberseguridad Microsoft, o el de Honeypots… Además son gratis para empresas…
Otro día seguiremos hablando de estos SOC´s y la vital monitorización de ciberseguridad, pero te animo a que comentes qué opines, y que si necesitas ampliar información de nuestros servicios o cursos, contactes con nosotros, no te quedes con las ganas.
Gracias por leerme !!!
