Un SOC (Security Operation Center) es un centro de mando, vigilancia y control de operaciones de seguridad.
En otras palabras: es una plataforma que permite la supervisión y administración de los ordenadores y servidores de nuestros clientes a tiempo real.
Gracias al SOC detectamos virus, bloqueamos ataques de red, bloqueamos aplicaciones maliciosas o sospechosas, hacemos informes para el cliente, actualizamos sus equipos, etc.
El SOC se comunica con las bases de datos de ESET (uno de nuestros proveedores de seguridad) y nos alerta de situaciones que han sucedido en otros clientes del fabricante.
Casos reales de clientes reales
1. Principales amenazas en nuestros clientes en los últimos 7 días (SOC)
Aquí presentamos un pequeño ranking de virus entrantes por Email o ya existentes en discos duros de clientes:
1 – NSIS/Injector.ASH (Troyano por Email)
2 – RDP.Attack.Bruteforce (Intento de acceso al ordenador por RDP)
3 – Win32/Exploit.CVE-2017-11882.F (Aprovechamiendo de Exploit por Email)
4 – Win32/InstallMonetizer.AQ (Malware)
5 – ML/Augur (Amenaza con tecnicas avanzadas de Machine Learning)
6 – MSIL/Kryptik.AEXF (Virus que encripta ficheros y piden rescate posterior)
2. Eventos en cortafuegos calificados de amenaza en los últimos 7 días
En esta captura vemos eventos en cortafuegos, bloqueados por el sistema, bien por políticas definidas o por Threat Defense.
Como dato impactante (pero no fuera de lo común): uno de los usuarios ha tenido un pico de 1172 intentos de intrusión por minuto.
Estos ataques constantes y repetitivos contra un equipo son bloqueados de manera conjunta; parte bloqueados por las políticas definidas por nosotros en el cliente y otra parte bloqueada por los servidores globales de ESET al detectar la IP de origen como maliciosa.
La imagen de la izquierda muestra como cambian las IP´s de origen casi en cada intento de acceso, aunque sabemos que es un mismo ataque, se está haciendo de forma distribuida.
2. 1 Resumen de incidentes gestionados por Daemon4 en los últimos 7 días
En la siguiente imagen (obtenida de nuestro SOC) observamos un resumen de los incidentes que hemos gestionado en Daemon4 en solo 7 días de medición.
Para concluir, en base a nuestra propia experiencia, identificamos muchos factores que llevan a las empresas a estas situaciones. Algunos de ellos son:
● Independientemente de la tecnología empleada, observamos que en el caso de muchas empresas nadie controla ni observa qué sucede en las instalaciones.
● Vemos a empresas con supuestos “Servicios de Ciberseguridad” contratados, pero que no tienen información de nada. Ni saben cómo se les supervisa.
● El 60% de los ordenadores a los que nos conectamos carecen de antivirus, o
tienen antivirus con licencias caducadas, o antivirus gratuitos.
● Cuando hablamos con ellos nos transmiten el mensaje de que a Gerencia “no le preocupa mucho” este tema (por decirlo suavemente).
3. Conclusiones obtenidas al analizar nuestro SOC
En Daemon4, como desarrolladores de software, tratamos con muchas empresas. Algunas tienen contratados servicios de ciberseguridad con nosotros y otras no. En base a nuestra propia experiencia, sacamos algunas conclusiones generales:
● Falta de concienciación (y, por tanto, de formación) en materia de ciberseguridad por parte de los trabajadores y a veces de los propios gerentes.
● Lo preocupante es que sucede incluso en gente joven, que acaba de salir de la universidad o FP sin un mínimo de conocimientos en el medio informático.
● No es necesaria una gran inversión económica para proteger una empresa, con el sentido común podrían evitarse la mayoría de eventos de seguridad.
● Por tanto… formación, formación y formación
Para cualquier duda, siempre podéis poneros en contacto con nosotros. En Daemon4 contamos con protocolos especializados para proteger al máximo los datos de nuestros clientes.