Diferencias entre SOC, CERT y CSIRT
CERT Cyberseg, luego de 8 años de operación, actualmente es fácil dar definiciones sólidas sobre las diferencias entre los Security Operatio
n Center (SOC), Computer Emergency Response Team (CERT) y Computer Security Incident Response Team (CSIRT). Ya que son ampliamente utilizados en muchas organizaciones, pero es importante saber el alcance de cada uno de ellos.
Después de participar en la construcción de varios CERT, la organización de los CSIRT y la evaluación de los SOC comencé a escuchar varias empresas que utilizan dichos términos. Hoy me gustaría compartir con ustedes esas "diferencias", al momento de seleccionar o buscar un servicio de Cyber seguridad.
Las principales diferencias son:
SOC:
Servicio de Gestión de Productos
Firewall, IP's, Antivirus, etc.
Enfoque Técnico (personal)
Certificaciones de Personal
CERT:
Detección de Incidentes
Análisis de Logs y Análisis de Tráfico
Análisis Forense
Intercambio automatizado de Threat's
Respuesta a Incidentes
Coordinación Local e Internacional
Mitigación
Blacklist (Reputación y Herramientas)
Investigación Continua Global
Enfoque Analítico (personal)
Certificaciones de Empresa: First.org
Alianzas Internacionales
CSIRT:
Incidentes Gubernamentales
Estrategias de País
Políticas Gubernamentales
Certificaciones de Equipo como First.org
Redes de Alertas: www.csirtamericas.org