Simulación de brecha y ataque: Uniendo a rojos y azules
El 16 de abril de 2020 celebramos nuestro seminario web "Simulación de ataques y brechas", en el que nuestro director técnico, Ralph Moonen, y el director de desarrollo de productos, Robert Meppelink, hablaron sobre la simulación de ataques y brechas. Los asistentes formularon algunas buenas preguntas, que hemos resumido a continuación en un QandA. Si aún le queda alguna pregunta, póngase en contacto con cybersecurity@bureauveritas.com.
¿Tiene curiosidad por nuestros otros seminarios web? Visite: https: //cybersecurity.bureauveritas.com/webinars
QandA
Gracias por todas sus preguntas durante el seminario web, ¡hemos recibido bastantes! Nuestro director técnico Ralph Moonen respondió a todas ellas a continuación.
Si aún le queda alguna pregunta, póngase en contacto con cybersecurity@bureauveritas.com.
¿Cómo se definen los casos de uso en un SOC/SIEM? ¿Se puede utilizar el marco de MITRE para ello?
Normalmente se definen con reglas, pero depende del SIEM que utilice. Por ejemplo, podría definir un caso de uso como 'Quiero una alerta cuando alguien se conecte a nuestra VPN desde una dirección IP china'. Puede definir reglas para esto, y sí, puede relacionarlo con TTPs del marco Mitre ATTandCK. Algunos SIEM soportan esto más que otros, pero definitivamente es posible.
¿Cómo funcionan estas simulaciones en un entorno que no puede aislarse de la red ni detenerse?
Este enfoque está pensado para realizarse en un entorno de producción.
¿Puede decirme algo sobre la duración de las pruebas SOC/SIEM? ¿De qué tipo de inversión estamos hablando por término medio?
De 5 a 20 días-persona de esfuerzo en función del número de casos de uso.
¿Se prueban los casos de uso durante la implementación?
Sí, lo son.
¿La comprobación de un SIEM forma parte de la auditoría informática estándar?
No con este nivel de detalle.
¿Cómo evaluaría la "preparación para la respuesta" de un cliente? ¿Valida el diseño de su governance, procesos, técnicas, planes, recursos, etc. para reaccionar ante incidentes?
Se necesitaría más un enfoque de Red Teaming para evaluar esto, en lugar del enfoque descrito. Y para una "readiness assessment" se necesitarían también algunas técnicas de auditoría más clásicas para evaluar la governance,
Su mensaje principal parece ser: si no prueba bien su sistema SIEM, éste le proporciona una falsa sensación de seguridad. ¿No es cierto?
Esto es correcto. Por la misma razón realizamos simulacros de incendio.
Tenemos nuestra solución SOC/SIEM externalizada, ¿cómo sé que funciona correctamente como prometieron?
No lo sabe. Pero podría probarlo utilizando técnicas como las que describimos en este seminario web.
¿Varían los ataques en función del sistema o se limitaría a simular ataques iguales para todos los sistemas?
Los ataques varían según el sistema, al igual que los mensajes de registro y los eventos. Así que necesita disponer de información detallada sobre los sistemas exactos para poder emular los ataques con precisión.
¿Y si el jefe de seguridad quisiera probar la respuesta de su equipo azul, cómo lo gestionará ya que el equipo azul no puede ser alertado?
En ese caso, le propondría realizar un ejercicio de Red Teaming, ya que se centra más en la respuesta. El enfoque que se explica en este seminario web está dirigido a probar las capacidades de detección más que la respuesta.
Si tiene alguna pregunta más, Contáctenos en cybersecurity@bureauveritas.com.