# SDLC (Ciclo de Vida del Desarrollo de Software)
proceso estructurado que guía la creación de software, desde la concepción hasta el despliegue y mantenimiento
1. PLanificacion
2. Analisis
3. Implementacion
4. Pruebas
5. Despliege
6. Mantenimiento
## SSDLC (Secure SDLC)
incorpora prácticas de seguridad en cada fase del ciclo de desarrollo
1. PLanificacion
2. Analisis - Threat modeling
3. Implementacion - Secure Coding
4. Pruebas - Unit Testing
5. Despliege - Pentest
6. Mantenimiento - bug bounty
# Seguridad desde el Diseño (Shift Left)
**Principio**: Identificar y mitigar riesgos en etapas tempranas
• OWASP Top 10: Guía para prevenir
vulnerabilidades comunes.
• NIST SP 800-64: Normativa para gestionar riesgos en el SDLC.
• ISO 27034: Seguridad en aplicaciones
## Automatización de Pruebas de Seguridad
• SAST (Statico)
• DAST (DINAMICO)
• SCA (LIBRERIA VULNERABLES-CODIGO)
---
# Control de Acceso
Mecanismo de seguridad que limita y regula el acceso a recursos
según políticas definidas,
garantizando que solo usuarios o procesos autorizados específicas.
## TIPOS DE CONTROL DE ACCESO
• Control de Acceso Obligatorio (MAC)
- De acuerdo clasificacion del dato
• Control de Acceso Discrecional (DAC)
- De acuerdo al propietario
• Control de Acceso Basado en Roles (RBAC)
- Roles
• Control de Acceso Basado en Atributos (ABAC)
- Atributos
- Flexible
## MODELO AAA
#### autenticacion
VALIDAMOS IDENTIDAD
#### autorizacion
DEFINIMOS PERMISOS
#### Auditoria
REGISTRAMOS ACCESOS, REVISAMOS Y ANALIZAMOS
# Ciclo de Vida de Identidades (ILM)
Proceso que gestiona **todas las etapas de una identidad digital**
Etapas Clave:
• Creación (Onboarding): Alta de usuario con permisos iniciales.
• Gestión: Actualización de roles/permisos (ej: cambios de departamento).
• Revisión: Auditorías periódicas (ej: acceso innecesario).
• Desactivación (Offboarding): Eliminación o suspensión al dejar la organización.
## Active Directory (AD)
Servicio de Microsoft que centraliza la gestión de identidades,
recursos y permisos en redes corporativas mediante:
• Autenticación (usuarios/grupos)
• Autorización (políticas de acceso)
• Jerarquía (dominios, árboles, bosques)
Funciones clave:
▪ LDAP para directorios.
▪ SSO (Single Sign-On).
▪ GPOs (Políticas de Grupo).
Active Directory (AD) utiliza grupos de seguridad y unidades
organizativas (OUs) para asignar roles y permisos en una red
corporativa.
1. Creación de Grupos de Seguridad (Roles)
2. Asignación de Usuarios a Roles
3. Definición de Permisos Basados en Roles
• MedianteGPOs(GroupPolicyObjects)
# Seguridad en Endpoints -
Defensa integral de dispositivos finales
## Estrategias de Protección
1. hardening
2. Parcheo automatico
3. Proteccion anti malware
- EDR
- NGAV
4. Control de acceso
5. Cifrado
#### DETECCION - ESTRATEGIAS
- MONITOREO CONTINUO
- uso de EDR/XDR
- analisis de comportamiento
- THREAT INTELLIGENCE
- SIEM
#### RESPUESTA - ESTRATEGIAS
- AISLAMIENTO DE ENDOPOINT
- ERRADICACION
- RECUPERACION
- FORENSE
- DESPUES DEL ATAQUE
---
# MONITOREO
PROCESO CONTINUO DE:
1. observar
2. registrar
3. analizar
## SOC (Security Operations Center)
centro especializado donde se realiza el proceso anteriormente mencionado
### importancia de la defensa
- complimineto normativo
- prevencion de perdidas economicas y **reputacionales**
## tipos de monitoreo
1. reactivo
- DESPUES DEL INCIDENTE
- RESPONDE A LO YA OCURRIDO
- ANALISIS DE LOGS TRAS UNA BRECHA DE SEGURIDAD
- UTIL PARA EL FORENSE
- DAÑO YA PUEDE HABERSE PRODUCIDO
2. proactivo
- ANTES O DURANTE
- PREVIENE AMENAZAS TEMPRANAMENTE
- USO DEL SIEM PARA PATRONES
- PERMITE ANTICIPARSE A AMENAZAS
- REQUIERE MAS RECURSOS
- SIEM, IDS/IPS, EDR
## EVENTOS VS INCIDENTES
### Evento
Cualquier actividad **observable** en un sistema o red
## INCIDENTE
EVENTO O CONJUTNO DE EVENTOS QUE **AFECTEN** LA TRIADA CIA
# HERRAMIENTAS DE MONITOREO Y DETECCION
- IDS/IPS (DETECCION/PREVENCION)
- EDR (ENDPOINT DETECTION AND RESPONSE)
- monitorea y responde a amenazas en dispositivos finales
- XDR (Extended Detection and Response)
- HERRAMIENTA QUE INTEGRA Y CORRELACIONA DATOS MULTIPLES FUENTES PARA:
- DETECTAR
- INVESTIGAR
- RESPONDER
A AMENAZAS DE FORMA MAS EFICAZ Y AUTOMATIZADA
- SIEM (Secutiy Information and Event Management)
- PLATAFORMA QUE:
- CENTRALIZA
- ANALIZA
- CORRELACIONA
## TIPOS DE MONITOREO
1. TIEMPO REAL
- SUPERVISA Y ANALIZA EVENTOS AL INSTANTE
- RESPUESTAS INMEDIATAS
- MUCHO USO DE RECURSOS
- GENERACION DE FALSOS POSITIVOS
- DETECTA INTRUSIONES
- SIEM, IDS
2. DIFERIDO
- EVENTOS DESPUES DE QUE HAN OCURRIDO
- IDEAL PARA EWL FORENSE
- USO MODERADO DE RECURSOS
- MAYOR PRECISION
- POST INCIDENTE
3. RED
- TRAFICO Y COMPORTAMIENTO DE RED
- CUBERTURA AMPLIA
- VISUALIZA TRAFICO ENTRE SISTEMAS
- DETECTA MOVIMIENTOS LATERALES
- LO QUE NO OCURRE EN EL HOSTS
- IDS/IPS
4. Endpoints
- dispositivos individuales
- especifica (cada dispositivo)
- procesos, archivos y apps locales
- detecta amenazas fuera de red
- requiere instlacion y mantenimiento de cada endpoint
- EDR, AV avanzado
5. FIRMAS
- AMENAZAS CONOCIDAD
- REQUIERE ACTUALIZACION CONSTANTE
- AV TRAD, IDS
6. cOMPORTAMIENTO
- actividades anomalas comparada con el comportamiento normal
- DETECTA AMENAZAS NUEVAS
- REQUIERE ENTRENAMIENTO Y AJUSTE DE MODELOS
- SIEM O EDR CON IA
## INDICADORES DE COMPROMISO (IoC)
**Evidencias tecnicas** que indican que un sistema ha sido compromedito
# BUENAS PRACTICAS y DESAFIOS
### automatizacion
uso de herramientas o scripts para ejecutar tareas
### ORQUESTACION
Coordinacion de multiples procesos automatizados para que trabajen de forma eficiente
# RESPUESTA A INDICENTES
Objetivos:
- Minimizar daños
- Restaurar operaciones
- Prevenir recurrencia
### MARCO TEORICO Y ESTANDARES
#### NIST SP 800-61
ESTANDAR DEL NIST PARA MEJORES PRACTICAS PARA LA RESPUESTA A INCIDENTES
- enfoque:
- Metodos estructurados
- Integracion con BCP/DRP
##### BCP (Business Continuity Plan)
Plan estrategico que garantiza que una organizacion pueda mantener o recuperar rapidamente sus operaciones criticas ante incidentes
Componentes clave:
- identificar procesos criticos
- Planes de comunicacion interna/externa
##### DRP (Disaster Recovery Plan)
Plan **tenico** que detalla para restauras sistemas, datos y operaciones despues de un desastre
Componentes clave:
- Backups validados
- Priorizacion de activos
- Procedimientos de restauracion
#### MITRE ATT&&CK
Mapea las:
- TACTICAS
- TECNICAS
- PROCEDIMIENTOS
utilizados por ciberatacantes en entornos reales
- Enfoque:
- Base de datos estructurada en comportamientos maliciosos
- Organiza los ataques en 14 tacticas
#### CSIRT (EQUIPOS DE RESPUESTA)
Computer Security Incident Response Team
Especializado en:
- detectar
- analizar
- responder
a incidentes de ciberseg de manera organizada
Tipos:
- nacionales
- corporativos
Roles clave:
- Coordinador:
Gestiona crisis y comunica con la alta gerencia
- Analistas:
investiga tecnicas de ataque
## FACES DE LA RESPUESTA A INCIDENTES
Proceso estructurado en base a estandares como el **NIST SP 800-61** para gestionar ciberataques de manera efectiva
1. preparacion
2. deteccion:
- Monoitoreo continuo
- Analisis de eventos (correlacion)
3. contencion
- aislamiento de red
- Bloqueo de IoC
4. erradicacion
- Eliminacion de malware
- Parcheo de vulnerabilidades
5. recuperacion
- restaurar backups
- Pruebas de funcionalidad
6. Lecciones aprendidas
#### AUTOMATIZACION Y ORQUESTACION:
tecnicas:
- Playbooks
- Integracion de herramientas (SIEM+EDR+FIREWALL)
# ASPECTOS LEGALES Y ETICOS
1. Ley de proteccion de datos personales (29733)
- Si un incidente **compromete datos personales** el CSIRT debe notificar a la autoridad nacional **ANPD** en un plazo de 72 horas
Sancion:
Multas hasta 50 UIT
2. Reporte al CERT-PE
- exige que organizaciones **criticas** reporten incidentes grabes
Decreto supremo 066-2018 REGLAMENTO DE CIBERSEG NACIONAL
3. Secreto bancario y confidencialidad (26702)
- El CSIRT en el sector financiero debe equilibrar la investigacion forense con el secreto bancario
4. evidencia digital (CPP ART 195-A)
- pruebas digitales validas en juicios el CSIRT debe:
- documentar todo el proceso
- garantizar la no alteracion
5. LEY DE DELITOS INFORMATICOS (30096)
- Norma peruana que tipifica y sancona crimines digitales
- art 5: Penas de 3-5 años por accceso ilegal a chistemas
- art 7: hasta 8 por daño a sistemas
- art 8: 3 a 6 años por espiar comunicaciones electronicas
- art 10: 5 a 7 años si se obtiene beneficio ecnonomico
6. ISO 27K1:2022
- Identificar riesgos y aplicar controles
- auditorias periodicas
7. NIST Cyber Framework CSF 2.0
- mejores parcicas del NIST
- Estructura 5 pilares: Identificar, proteger, detectar, responder, recuperar
---
# METODOLOGIAS DEL HACKING ETICO
## PTES (PenTest Execution Standar)
1. Pre-engagement
2. inteligencia (Information gattering)
3. Modelado de amenazas (riesgos)
4. Analisis de vulnerabilidades
4. Explotacion
6. POST EXPLOTACION
7. INFORME (calaverita)
## osstm (open source security testing methodology manual)
Pruebas:
- fisica
- logica
- humana
Areas clave:
- Canales de comuinicacion
- Seguridad fisica
- ing social
## nist 800-115
Estandar aliniado con regulaciones gubernamentales (EEUU)
Fases:
1. Planificaciones
2. Descubrimiento
3. Ataque
4. Informe
# ETAPAS DE UN CIBER ATAQUE
## CYBER KILL CHAIN (CKC)
1. Reconocimiento
2. Armado
3. delivery
4. explotacion
5. instalacion
6. command and control
7. Accion en los objetivos
## UNIFIED KILL CHAIN (UCK)
18 tacnicas en 3 fases combinando el CKC y el MITRE ATT&CK
- Fase 1: INITIAL FOOTHOOLD
- fase 2: network propagation
- fase 3: activon on objectives
---
# NUBE
ventajas:
- Escalabilidad
- costos reducidos (pay as you go)
- resilencia y alta disponibilidad
- automatizacion
- seguridad Avanzada
## SEGURIDAD EN LA NUBE
Conjunto de:
- politicas
- controles
- tecnologias
- procedimientos
diseñados para proteger datos, aplicaciones y infraestructuras, garantizando la CIA de los recursos
## MODELOS
- IaaS
Recursoos fundamentales. El cliente gestiona SO, apps y datos
- PaaS
Proporcina entorno para desarrollar, probar y desplegar
- SaaS
Software listo para usar accesible via naveggador, el proveedor maneja todo
## MODELOS DE SERVICIO
En los 3 modelos el cliente **SIEMPRE ES RESPONSABLE DE** :
1. Gestion de datos
- CLASIFICACION, INTEGRIDAD, BACKUPS Y CIFRADO
- CUMPLIMIENTO REGULACIONES
2. IDENTIAD Y ACCESOS (IAM)
3. Seguridad en aplicaciones (IaaS y PaaS)
4. Monitoreo y respuesta
5. Cumplimiento normativo
## CONTROLES DE SEGURIDAD
1. CSPM (CLOUD SECURITY POSTURE MANAGEMENT)
Diseñado para:
- detectar
- evaluar
- corregir
riesgos de seguridad en entorno cloud basandose en :
- configuraciones erroneas
- cumplimiento normativo
- gestion proactiva de vulnerabilidades
2. IAM(Identity and access management)
Controla quienn puede acceder a que recurso
Funciones clave:
- Autenticacione
- Autorizacion
- Gestion centralizada
3. Cifrado en la nube:
- Transito
- reposo
4. Segmentacionn de red
- vpc
- NSGS (Network security groups): reglas de firewall
## ESTANDARES DE SEGURIDAD
### iso
#### 27K17
Seguridad general en la nube
#### 27K18
Seguridad de datos personales en la nube
### NIST SP 800-114
Seguridad cloud y marco de seguridad
# ia :v
1. IA ESTRECHA (ANI): especifica
2. IA GENERAL (AGI): teorica multitarea
3. IA GENERATIVA: nuevo contenido de patrones aprendidos
## APLICADO EN CIBERSEG
Automatizacion de deteccion, prevencion y respuesta
Deteccion de anomalias: Identifica patrones inusuales o sospechosos
Respuesta: ejecuta acciones automatrizadas que contengan, mitiguen o eliminen la amenaca
- Orquestacion
- Playbooks automaizados
- Analiis contextual
## COMO AMENAZA
1. GANS (Generativo Adversial networks)
Dos redes neuronales un generador y un discriminador que compiten
Funciona: El generador crea y el disccriminador valida si es real o gnerado
1. dEEPFAKES
2. PERFILES FALSOS
3. MALWARE POLIMORFICO
2. LLMS
Genera contenido linguistico coherente
1. phishing
2. ing social
3. codigo malicioso
3. DIFUSION MODELS
Generan datos a partir de ruido aprendiendo a reconstruirlos paso a paso
1. deepfakes ultrarealistas
2. Falsificacion de documentos