SOC: fundado en

INTELIGENCIA DE AMENAZAS
Nuestra Experiencia

de nuestros Archivos malintencionados investigadores de

1/3 empleados son

especialistas en I&D 360,000 nuevos son detectados por
Kaspersky todos los días 40+ seguridad son
líderes mundiales

Los equipos de Investigación de Amenazas (Threat Research) e Investigación & Análisis Global (Global Research & Analysis – GReAT)
están ubicados estratégicamente en todo el mundo, proporcionando una profundidad de análisis y comprensión sin precedentes para todo
tipo de amenazas.
Investigación de ataques dirigidos 3
Cycldek
Zebrocy
SixLittleMonkeys
Metel (También conocido
como Microcin)
ProjectSauron DarkTequila Topinambour
CactusPete
StoneDrill
Adwind

Saguaro Shamoon 2.0 MuddyWater ShadowHammer DeathStalker

Lazarus BlueNoroff
MATA
WannaCry
StrongPity Skygofree SneakyPastes
ExPetr/NotPetya TransparentTribe
Lurk

2016 2017 2018 Olympic 2019 2020

FinSpy WellMess
Destroyer

GCMan ATMitch
Moonlight TwoSail Junk
Ghoul Maze ZooPark DarkUniverse

ShadowPad MontysThree
Poseidon

Fruity Armor WhiteBear Hades COMpfun MosaicRegressor

BlackOasis
Danti

Silence VHD Ransomware

ScarCruft Octopus Titanium

Dropping
Elephant WildPressure

AppleJeus
PhantomLance
Retos
Reto #1: Amenazas Avanzadas

Ransomware APT Ataques nación-estado

File-less malware Malware-less attacks

Kaspersky | Kaspersky for Security Operations Center

Reto #1: Amenazas Avanzadas

~ 60% malware-less
• PowerShell
• Windows Management Interface (WMI)
• Netsh
• CertUtil
• Windows Task Manager
• …..

Kaspersky | Kaspersky for Security Operations Center

Reto #2: Volumen de Alertas de Seguridad

4k-10k 52-80%
alertas/día falsos
promedio positivos

Kaspersky | Kaspersky for Security Operations Center

Reto #3: Talento Escaso

2 million - global 3,5 million - global Combinación de

escasez para escasez para 2022 habilidades
2019 raras/diferentes

ISACA “2016 Cybersecurity Skills Gap”

Cybersecurity Ventures “Cybersecurity Jobs Report 2018-2021”

Kaspersky | Kaspersky for Security Operations Center

Security
Operations Center
¿Qué es un SOC?
Un SOC (Security Operation Center) es una unidad centralizada que se
encarga de los incidents de seguridad a nivel técnico y organizacional.

Procesos Personas Tecnología

SOC
Kaspersky | Kaspersky for Security Operations Center
La Evolución de un SOC
CACERIA DE
ALERTAMIENTO AMENAZAS

BASADO EN BASADA EN
INCIDENTES INTELIGENCIA

DETECCION DETECCION
BASADA EN BASADA EN
HERRAMIENTAS ANALISTAS

EQUIPO IN- EQUIPO

HOUSE HIBRIDO

RESPUESTA AUTOMATIZACION
MANUAL Y ORQUESTACIÓN

Kaspersky | Kaspersky for Security Operations Center

SOC:
PROCESOS
SOC: PROCESOS
Operaciones & Monitoreo &
mantenimiento, Detección
administración
IOCs
TTPs Lecciones
Aprendidas

Gestión de IOCs Respuesta a

Prioridad
Vulnerabilidades Inteligencia Contexto Incidentes
de
Amenazas

Estadísticas,
detecciones

Reportes de
Estadísticas de
Diagnóstico de Reporteo Incidentes y KPI
Vulnerabilidades
SOC:
TECNOLOGIAS
 SOC: Tecnologías
TI
Gestion de response
Vulnerabilidades Seguridad de
feeds, intel reports EDR
Endpoint
logs detects
assets info

Plataforma
de logs
Inteligencia IOCs SIEM
detects
de logs

Amenazas

various TI automation VM
reports Anti APT
IOCs

Fuentes de
Gestión de Incidentes
automation

SOAR response
Información, Activos
Objetivo

response
Respuesta a response
Incidentes
aggregated info Reporteo y
Visualización

response
 Productos y Servicios revisado

Kaspersky Kaspersky productos

for Security Operations Centers & servicios

3rd party products

Gestión de
Vulnerabilidades

información
de activos

SIEM registros
Fuentes de datos,
(security information and
event management) detecta
activos objetivo

Informes
de GV

Gestión de casos

Informes &
visualización
SIEM: KUMA
Kaspersky Unified Monitoring
and Analysis Platform
KUMA architecture 19
Alerts and response Inventory Enrichment

Response DNS,
Interaction SMTP
actions LDAP

Correlated events

Open API & Integration with

IRP/SOAR

Normalized and
Normalized data
"raw" data

Control center

Correlator Collector Storage

Web interface

Data collection
(passive/active mode)

Network
Data sources Applications information Workstations
security tools
 Productos y Servicios revisado

Kaspersky Kaspersky productos

for Security Operations Centers & servicios

3rd party products

TI
Gestión de
Kaspersky Data feeds
Vulnerabilidades

información
de activos

Kaspersky SIEM Fuentes de datos,

IOCs (security information and
CyberTrace event management)
activos objetivo

varios TI automatización Informes

de GV

SOAR
automatización

(Security Gestión de casos

Orchestration,
Automation and
Response)

información Informes &

agregada
visualización
Cybertrace y Threat
Data Feeds
Kaspersky CyberTrace 22

El SIEM combina los registros de diferentes CyberTrace empareja rápidamente los

dispositivos de red y sistemas de TI y envía los eventos entrantes con las fuentes y envía
eventos con direcciones URL, hashes y direcciones IP los eventos de detección al SIEM y
al servicio de correlación para su análisis CyberTrace Web

Eventos
enviados

2
1
Orígenes de registros Registros sin
3 Fuentes de datos sobre amenazas de
Kaspersky (Kaspersky Threat Data
procesar Eventos de Feeds), fuentes comerciales, fuentes
SIEM detección CyberTrace
de OSINT, fuentes personalizadas

Orígenes de las
fuentes internas

Paneles CyberTrace Web

• Los eventos se ven con contexto
de seguridad y se reciben alertas
Experto en
RED eguridad
4 • Investiga los incidentes de
CORPORATIVA seguridad según el contexto
Funciones principales
Base de datos para almacenar/buscar
datos sobre amenazas (+ retroscan)

Adición, desduplicación,
normalización, intercambio de datos

Gráfico de investigación

Etiquetado de indicadores
de compromiso

Matriz de superposición de fuentes y

estadísticas de uso de datos de amenazas

API pública (para la integración en flujos de

trabajo automatizados)

Tenencia múltiple para MSSP y grandes

empresas
Integracion con RSA
24
Integración con QRADAR
25
Kaspersky Threat Data Feeds 26

FUENTE DE REPUTACIÓN DE
IP

FUENTE DE DATOS DE Firewall

HASHES
(WIN/*nix/Mac OS/AndroidOS/ Servidores Servidor
iOS) proxy en la nube

FUENTES DE DATOS DE
DIRECCIONES URL (maliciosas,
phishing y C&C)

FUENTES DE DIRECCIONES
URL DE RANSOMWARE
Endpoints
FUENTES DE IOC DE APT
SIEM/SOAR/PLATA
Kaspersky
FUENTE DE FORMA DE TI
VULNERABILIDADES Threat Data
FUENTE DE DATOS DE DNS Feeds
PASIVOS (pDNS)

Fuente de direcciones URL de IoT Centro de

DLP
datos
FUENTE DE DATOS DE
WHITELISTING Servidores
de correo
FUENTE DE HASHES DE ICS electrónico

FUENTE DE REGLAS DE
SURICATA
 Productos y Servicios revisado

Kaspersky Kaspersky productos

for Security Operations Centers & servicios

3rd party products

TI
Gestión de
Kaspersky Data feeds
Vulnerabilidades

información
de activos

Kaspersky SIEM Fuentes de datos,

IOCs (security information and
CyberTrace event management)
activos objetivo

varios TI automatización Informes

de GV
IOCs

SOAR
automatización

(Security Gestión de casos

Orchestration,
Automation and
Response)

respuesta
Incident
Response
información Informes &
agregada
visualización

respuesta
Servicios:
Respuesta a Incidentes
29
30
 Productos y Servicios revisado

Kaspersky Kaspersky productos

for Security Operations Centers & servicios

3rd party products

TI
Gestión de respuesta
Kaspersky EDR Kaspersky Endpoint
Kaspersky Data feeds
Vulnerabilidades (Endpoint Detection &
Response) Security
registros detección
información
de activos

Kaspersky SIEM
IOCs (security information and MDR
CyberTrace event management)

varios TI automatización Informes

de GV
IOCs

SOAR
automatización

(Security Gestión de casos

Orchestration, Respuesta
Automation and
Response)

respuesta
Incident
Response
información Informes &
agregada
visualización

respuesta
SEGURIDAD
ENDPOINT | MDR
 Kaspersky
Endpoint Security for Business The GARTNER PEER INSIGHTS CUSTOMERS’ CHOICE badge is a trademark and service mark
of Gartner, Inc., and/or its affiliates, and is used herein with permission. All rights reserved.
Gartner Peer Insights Customers’ Choice constitute the subjective opinions of individual end-
user reviews, ratings, and data applied against a documented methodology; they neither
represent the views of, nor constitute an endorsement by, Gartner or its affiliates. *All reviews
and ratings are current as of February 12, 2019.

Alerta a los administradores sobre Mitigar el riesgo de

posibles errores
Garantiza el cumplimiento de las
licencias de software
Previene el comportamiento riesgoso en
los puntos finales
EDR automatizado
vulnerabilidades y PC sin cifrar
Endurecimiento del servidor Nueva oferta de SaaS
Actualizaciones suaves entre
Asegurar usuarios móviles
versiones

Escalabilidad ilimitada Detener las TTPs conocidas Gestión del sistemas

AD instances
cloud/on-premises

Servidores locales
WAN/LAN
Dispositivos móviles Especialista

Equipos móviles y
locales
Kaspersky | Lorem ipsum dolor sit amet
Managed
Detection and
Response
(MDR)
 Cómo funciona 37

Actividad Recolecció Procesamie Almacena

maliciosa n de nto de miento de
telemetría
A través de telemetría telemetría
KES

Análisis Alertas Analista de Respuesta

Reglas de Creado SOC El incidente se
búsqueda de Alertas publica y se
amenazas analizadas entregan
aplicadas recomendaciones de
respuesta
 Reglas o “cacerías” de búsqueda de amenazas 38

• Más de 1000 reglas activas de búsqueda de

amenazas

• Cada regla creada por nuestros expertos en

SOC

• Las reglas se basan en nuestra inteligencia

de amenazas y el marco MITRE ATT&CK

• Las reglas se actualizan regularmente con

información de nuestros servicios de
inteligencia de amenazas
39
40
 Productos y Servicios revisado

Kaspersky Kaspersky productos

for Security Operations Centers & servicios

3rd party products

TI
Gestión de respuesta
Kaspersky EDR Kaspersky Endpoint
Kaspersky Data feeds
Vulnerabilidades (Endpoint Detection &
Response) Security
registros detección
información
de activos

Kaspersky SIEM registros

Fuentes de datos,
IOCs (security information and
CyberTrace event management) registros detecta
activos objetivo

Kaspersky
varios TI automatización Informes
de GV Anti Targeted
IOCs
Attack
SOAR
automatización

(Security Gestión de casos

Orchestration, Respuesta
Automation and
Response)

respuesta
Incident
Response
información Informes &
agregada
visualización

respuesta
XDR
Kaspersky XDR – today
43

Kaspersky
Protection at the
Endpoint protection
network level

Kaspersky
Symphony

Kaspersky
Unified Monitoring
and Analysis
Kaspersky
Symphony User training

Threat Intelligence
Integration with third-party
solutions
 Productos y Servicios revisado

Kaspersky Kaspersky productos

for Security Operations Centers & servicios

3rd party products

TI
Gestión de respuesta
Kaspersky EDR Kaspersky Endpoint
Kaspersky Data feeds
Vulnerabilidades (Endpoint Detection &
Response) Security
registros detección
información
de activos

Kaspersky SIEM registros

Fuentes de datos,
IOCs (security information and
CyberTrace event management) registros detecta
activos objetivo

Kaspersky Búsqueda de Kaspersky Threat

varios TI automatización Informes
de GV Anti Targeted objetos
Intelligence Portal
IOCs
Attack
SOAR
automatización

(Security Gestión de casos

Orchestration, Respuesta
Automation and Tácticas de Kaspersky Threat
ataque & IOCs
Response) Intelligence Reports

respuesta
Incident
Response
información Informes & Objetos Kaspersky Research
agregada
visualización sospechosos
Sandbox

respuesta
 45

Kaspersky
APT Intelligence
Reporting
Kaspersky APT Intelligence Reporting 46

Perfiles de cibercriminales
Asignación a MITRE ATT&CK
Resumen ejecutivo
• Información orientada al nivel C

Análisis técnico exhaustivo

• Métodos de ataque
• Exploits utilizados
• Descripción del malware
• Descripción de los protocolos y la infraestructura de C&C
• Análisis de víctimas
• Análisis de exfiltración de datos
• Atributos

Y las recomendaciones

Indicadores de comprometimiento (IOC)

y reglas YARA
SOC: PERSONAS
 SOC: Equipo Monitoreo & Triage
• Monitoreo de Alertas para detectar incidentes
• Análisis inicial de incidents y escalación a Tier-2
• Ejecutar análisis de vulnerabilidades y revisar
reportes de los resultados
SOC ANALISTAS TIER 1
SOC • Gestión de herramientos de monitoreo de
CISO seguridad
GERENTE
Investigación & Respuesta
• Análisis de los tickets generados por Tier-1
• Gestión de Respuesta a Incidentes, Forensia
Digital y Análisis de Malware
• Contención de Incidentes y Remediación
SOC ANALISTAS TIER 2 • Lecciones aprendidas de los incidentes –
actualizacion de IOCs, reglas de SIEM, etc.

• SOC gestión del equipo, • Operación-mantenimiento de infraestructura

reclutamiento, entrenamiento, Administradores de del SOC
calificación del staff • Tuneo de Sensores
• SOC Desarrollo del plan de estragia
Sistemas & Ingeniería
• Ingeniería y Instalación de herramientas
y crisis • Creación de firmas personalizadas
• Comunicación con el CISO y con • Automatización & Scripting
otros directivos no técnicos • Recolección y almacenamiento de info de
• SOC métricas de rendimiento y SOC: ADMINISTRADOR/
auditorias
INGENIERO
Desarrollo de KPI´s
 SOC: Equipo Avanzado
SOC EXPERTOS TIER 3
Inteligencia y Cacería de Amenazas
• Investigación y Reconocimiento
en Dark Web (TI)
• Conducción de pruebas de
penetración
• Modelado de Amenazas basado
en el análisis de TI y reports de
pruebas de penetración
• Conducción de cacería de
amenazas – capacidad de
identificar amenazas nuevas y
avanzadas
• Desarrollo de casos de uso del
SIEM
ANALISTA DE INTELIGENCIA ING PRUEBAS DE
EXPERTO FORENSIA DIGITAL ANALISTA DE MALWARE
DE AMENAZAS PENETRACIÓN
Forensia Digital Análisis de Malware Inteligencia de Amenazas Diagnóstico de
Seguridad
• Análisis de Objetos Maliciosos • Diagnóstico de
• Investigación de incidents de Vulnerabilidades
computadoras y ataques dirigidos • Pentests
• Desarrollo de utilerías para • Red Teaming
automatización interna
• Inteligencia de amenazas Open Source
• Análisis y Parseo de reportes de TI de Fabricantes/Vendor TI
• Análisis de causa-raíz de • Adquisición de TTPs e IOCs de fuentes-TI
incidentes • Categorización, Priorización y Verificación de Data Feeds de
• Investigación de incidents de amenazas
computadoras y ataques • Reportes de Analítica de TI para directivos.
dirigidos • Producir analitica para el equipo del SOC y socios externos
 Entrenamientos de Cybersecuridad
Avanzados
Mejora el expertise del
SOC & uso eficiente de
herramientas y servicios Entrenamientos Dias

Forensia Digital 5

Minimiza el Forensia Digital Avanzada 5

cansancio de
los
Análisis de Malware 5
profesionales
Análisis de Malware
5
Avanzado

Favorece el crecimiento del Deteccion Eficiente de

2
Amenazas con Yara
personal & los pasos para
moverse de una capa del
SOC a otra.
El aprendizaje se ha convertido en algo muy Obtenga información
útil para los equipos de TI: en línea o a través de los dispositivos móviles

Ciberseguridad para IT Online (CITO)

Potenciar la “primera
línea de defensa” en la
respuesta a los incidentes
de ciberseguridad
Disminuir el número
de incidentes causados por
los errores de configuración

Desarrollar el pensamiento
crítico de los equipos de TI en
materia de ciberseguridad
Capacitación en línea sobre la concienciación en seguridad
para los especialistas de TI (soporte de TI, servicio de atención
al cliente, etc.)
Ciberseguridad para TI en línea: cuatro módulos, aproximadamente 30 ejercicios prácticos; 52
en la nube o en las instalaciones

Programas potencialmente no deseados

Software malicioso Trabajar con monitores de eventos del sistema y
Verificación de la existencia o ausencia de un entornos de pruebas (sandboxes). Uso de motores
incidente relacionado con el malware. estadísticos (virustotal). Eliminación de programas
potencialmente no deseados (PUP).

#Processhacker, #Autoruns, #Fiddler, #GMER #ProcessMonitor, #Cuckoo, #Virustotal

Respuesta ante incidentes de phishing Conceptos básicos de investigación

Localización de incidentes, recopilación de datos,
Búsqueda de correos electrónicos de phishing.
recopilación de pruebas digitales, análisis de
Verificación de un incidente relacionado con el
registros y líneas de tiempo.
phishing. OSINT

#ExchangeComplianceSearch , #Robtex, #Whois, #EventLogExplorer, #Autopsy, #FTK-Imager

#GoogleDorks
Q
 Kaspersky Automated Security Awareness
Platform (ASAP)
300 lecciones estructuradas por 4 niveles de complejidad y 11
temas*:
• Contraseñas y cuentas • Datos Confidenciales
• Correo electrónico • Datos Personales
• Navegación en la web • GDPR
• Redes sociales y • Ciberseguridad Industrial
mensajeros • Seguridad de Tarjetas
• Seguridad de PC Bancarias y PCI DSS
• Dispositivos móviles

Varias plantillas de phishing

Disponible en 9 idiomas

Prueba gratis: k-asap.com

 Estrategia paso a paso de ciberseguridad 56

SOLUCIONES
ESPECIFICAS
NIVEL

3
ATAQUES
Kaspersky Kaspersky Kaspersky Kaspersky Kaspersky Kaspersky
DIRIGIDOS Threat Cybersecurity Endpoint Detection Anti Targeted Incident Security
Capacidad madura de seguridad Intelligence Training and Response Expert Attack Platform Response Assessment
Kaspersky de TI o equipo SOC
Fraud
Prevention

NIVEL

Kaspersky
Industrial
2 Kaspersky
AMENAZAS Managed
Cybersecurity EVASIVAS Kaspersky Kaspersky Kaspersky Kaspersky Detection and
Sandbox Endpoint Detection Threat Intelligence Security Awareness Response
Seguridad and Response Portal
informática Optimum

Kaspersky
NIVEL
for Security
Operations
Center 1
PANORAMA Kaspersky Kaspersky Kaspersky
Kaspersky Kaspersky Kaspersky Kaspersky
DE Endpoint Security Embedded Hybrid Cloud
Security for Security Security Premium Support
for Business Systems Security Security
AMENAZAS Información
Mail Server for Internet for Storage and Professional
Gateway Services
MÁS AMPLIO Tecnológica