Web Conferencia

Curso: Fundamentos de Intrusión y Testing

Socialización
Fase 3 - Planificación de esquemas
de detección y gestión de ataques

Esp. Daniel Felipe Palomo Luna

Ibagué, 20 de Octubre de 2022
Agenda

01 02
Generalidades SIEM

03 04
Defensa en profundidad Dudas e Inquietudes
Generalidades - Infraestructura
Generalidades - Requerimientos

Fase 3 - Planificación de esquemas

de detección y gestión de ataques
Individual
• Plan de Mejora
• Herramientas SIEM

Grupal
• Defensa en profundidad
• Selección de Metodología de Intrusión
Generalidades - Individual

¿Qué harías para maximizar la

seguridad informática del caso de
estudio?

¿Qué cambios propondrías en su

infraestructura actual?
Generalidades - Grupal

¿Seguridad en capas?

Arquitectura de seguridad

A partir de la infraestructura
conocida, ¿cómo poner en
marcha la metodología de
intrusión seleccionada?
SIEM (Security Information and Event Management)

¿Qué son los SIEM?

¿Cómo se implementan?

¿Por qué se implementan?

SIEM (Security Information and Event Management)

Una solución SIEM es un software de seguridad que les da a las

organizaciones una vista general de la actividad en toda su red para
que puedan responder más rápido a las amenazas, antes de que el
negocio se vea afectado.

El software, las herramientas y los servicios SIEM detectan y

bloquean amenazas de seguridad con análisis en tiempo real.
Recopilan datos de varias fuentes, identifican la actividad que se
desvía de la norma y toman las medidas adecuadas.
Tomado de: https://www.microsoft.com/es-es/security/business/security-101/what-is-siem#:~:text=El%20sistema%20SIEM%20es%20una,flujos%20de%20trabajo%20de%20seguridad.
SIEM (Security Information and Event Management)

Una solución SIEM se implementa a partir de lo siguiente:

• Definición de activos críticos para la entidad

• Estimación del tamaño de logs a procesar (correlacionar)
• Despliegue de software cliente o agente de integración en los
activos priorizados
• Monitoreo y mejora continua.
SIEM (Security Information and Event Management)
Defensa en profundidad

En términos informáticos, este modelo propone la

creación de capas de defensa con el objetivo de
evitar un ataque directo a la información sensible
de un entorno. Además, con este modelo se
consigue un mayor tiempo para defenderse y
utilizar planes de actuación y mayor probabilidad
en la detección de un ataque.
Tomado de: Álvarez Martín, C., & González Pérez, P. (2020). Hardening de servidores
GNU/Linux. Madrid: 0xWord.

Mantener múltiples líneas de

defensa
Defensa en profundidad

Procedimientos,
concientización y
políticas
• Procedimientos para resolución de
problemas según el tipo de organización
• Mínimo privilegio posible
Seguridad a nivel • Capacitación Seguridad Física
de la información • Vigilancia
• DC con control de acceso
• Evitar que terceros con acceso físico puedan
• Cifrado de información y medios utilizar equipos informáticos

Seguridad en la Seguridad del

aplicación perímetro
• Firewall actualizados y debidamente
• Evitar configuraciones por defecto configurados
• Privilegios puntuales a usuarios • ACL L3
• CIS control • VPN
• DMZ

Seguridad a Seguridad en
nivel de la red interna
Servidor • VLAN
• IDS
• Actualizaciones S.O. •Host
• Logs centralizados •Red
Defensa en profundidad
¿Preguntas?
¡GRACIAS!