En el mundo moderno todo está conectado, a raíz de ello la necesidad de un área de seguridad cibernética es una prioridad.
Los días cuando un antivirus protegía tu computadora personal son ahora recuerdos de un mundo fantasioso. Los ladrones cibernéticos han evolucionado hacia organizaciones donde los ataques son más complejos, organizados y efectivos, y lo que es peor: todos somos un blanco fácil.
La problemática
Cuando escuchamos hablar de “hacks” o ataques en internet, la mayoría de nosotros tenemos la imagen mental de un niño tipeando códigos en una habitación oscura.
Aunque esto sea una posibilidad, en realidad los ataques que se escuchan en las noticias son realizados por organizaciones que han tardado meses en planear la estrategia antes de hacer sus movimientos. Ellos cuentan con lugares de trabajo, equipos, calendarios, incluso salarios como cualquier otro empleo.
Hay un completo mercado para este negocio con consumidores de diferentes culturas e ideologías: Personas curiosas en busca de conocimiento, los auto denominados “hackers”, el chico de sistemas buscando poder, compañías tratando de obtener secretos de sus competidores, gobiernos o países en guerra, entre otros.
¿Qué podemos hacer?
Apagar por completo el internet claramente no es una opción, debemos dar un paso adelante y asumir el reto encontrando una manera de enfrentar los aspectos negativos del internet. El SOC (Centro de Operaciones de Seguridad) es el llamado a pelear y defender lo que hasta el momento parece indefendible.
¿Qué es SOC? ¿Por qué se necesitan?
SOC significa Centro de Operaciones de Cyberseguridad (Por sus siglas en inglés: Security Operations Center). La definición que Wikipedia dice: “SOC está relacionado con personas, procesos y tecnologías involucradas en la provisión de métodos para detección, contención y solución de amenazas”.
Lo que un SOC puede proveer a a la empresa es una continua prevención, protección y detección de posibles ataques dentro de su red. Sabiendo que un virus se puede esparcir a través de la red de manera muy rápida, cada segundo cuenta.
El hecho de poder detener un ataque mientras ocurre, contener un archivo infectado o impedir que tráfico malintencionado salga o entre a tu red es invaluable.
Un SOC desde Cero
Un SOC puede empezar con una sola persona con conocimientos de TI, acceso a las PCs y los dispositivos de red. Hay herramientas open source que pueden utilizarse para la implementacion: firewalls Pfsense, Shorewall, IPS como Snort, Suricata, IDS como Bro, OSSECC y un analizador de tráfico como Wireshark.
Para obtener todo en un solo lugar puedes buscar en Security Onion, un programa de Linux especializado en detección de intrusos, monitoreo de seguridad de red y manejo de documentación.
Existen tutoriales que pueden enseñar cómo empezar e incluso hay un libro dedicado al uso exclusivo del Security Onion, como trabaja y como puedes empezar tu propio SOC.