RFC2350

1. Información del Documento

1.1 Fecha de la última actualización: Esta es la última versión 1.0 del 8 de diciembre de 2023.

1.2 Listas de Distribución: Los cambios de este documentos son anunciados en   y a través del Portal SGIC de Cybolt.

1.3 Ubicación del Documento: La última versión del documento se encuentra publicada en: https://beaconlab.mx/RFC2350

2. Información de Contacto

2.1 Nombre del Equipo: “BeaconLab”, Centro de Respuestas ante Incidentes Cibernéticos de Cybolt

2.2 Dirección: Centro Tecnológico Metepec. Adolfo López Mateos 1956. Bellavista Metepec, 52148, Edo. Méx

2.3 Zona Horaria: CDMX, México (GMT-6)

2.4 Número de Teléfono: (+52) 8007374357 , (+52) 5550157483

2.6 Otras Comunicaciones: La forma de comunicación preferida es a través del correo electrónico, teléfono, videoconferencia y otras opciones de telecomunicaciones que pueden ser coordinadas a petición.

2.7 Direcciones de Correo Electrónico:

2.8 Claves Públicas y cifrado de información: Los correos de contacto y claves PGP asociadas se encuentran publicadas en https://beaconlab.mx/contacto/ y también estan almacenadas en https://keys.openpgp.org

  • abuse@beaconlab.mx
    Fingerprints: 86DFD0305467D291829ED929B5B1C7292F28D349
  • info@beaconlab.mx
    Fingerprints: 97825B7D624250966FD7CEE8D11B075E3B25E7B7

2.9 Miembros del Equipo:

Titular: Luis Alfredo Herrera Camacho, luis.herrera@cybolt.com

Los nombres e información de los miembros que componen BeaconLab no son difundidos públicamente. En el caso de que se realice algún reporte, el personal se identificará con su nombre completo a través de una comunicación formal.

2.10  Más Información: La información general sobre los servicios proporcionados por BeaconLab se encuentra publicada en el portal web https://beaconlab.mx y en https://www.cybolt.com

2.11 Horario de Atención: BeaconLab está disponible en los siguientes horarios:

  • Consultas sobre servicios: horario de oficina (Lunes a viernes 08:00 a 18:00 horas)
  • Incidentes catalogados con criticidad baja y media: horario de oficina
  • Incidentes catalogados con criticidad alta: 24×7 

Para consultas operativas (por ejemplo, el estado de un ticket existente), comuníquese con abuse@beaconlab.mx

Para consultas generales (por ejemplo, comentarios o cómo suscribirse a una lista de distribución – mailing list), comuníquese con info@beaconlab.mx

2.12 Puntos de contacto para la comunidad: La comunicación entre el equipo BeaconLab y la comunidad en general es a través de los siguientes medios:

3. Constitución

3.1 Misión:

3.2 Comunidad a la que brinda servicios – “Comunidad Objetivo”:

Comprende las organizaciones, tanto nacionales como internacionales, con las que Cybolt establece una relación contractual. El alcance y las acciones de coordinación de cada incidente gestionado depende del tipo de contrato suscripto.

3.3 Patrocinio, Afiliación y Autoridad: BeaconLab es una entidad dependiente de la Unidad de Negocio de Security Managed Services de Cybolt. La autoridad es dada por un mandato oficial del CEO de Cybolt.

4. Políticas

4.1 Tipo de Incidentes y nivel de soporte:

BeaconLab responde a todo tipo de incidentes cibernéticos de seguridad que le sean reportados por parte de cualquier organización cliente, conforme a los establecidos en el contrato de dicho cliente.

El alcance de la gestión de un incidente cibernético por parte de BeaconLab podría abarcar:

  • Análisis preliminar del incidente cibernético.
  • La notificación, coordinación y guía a los actores involucrados y responsables de los sistemas afectados para la toma de acciones pertinentes.
  • La propuesta de recomendaciones pertinentes para la corrección y prevención futura.
  • Dependiendo de los términos y condiciones del contrato, la naturaleza del incidente, de la solicitud y/o cooperación de los actores involucrados en el incidente y los procedimientos establecidos, BeaconLab podrá colaborar en la aplicación de acciones de contención inmediatas, así como también en la investigación y análisis del sistema comprometido.
    En aquellos casos donde la respuesta a un incidente ha derivado en recomendaciones de acciones sobre activos, recursos o procesos que no son administrados por Cybolt ni por BeaconLab, o que las mismas no estén incluidas en los términos y condiciones del contrato, las mismas quedarán fuera del alcance del servicio.
    En aquellos casos donde la respuesta a un incidente implique alguna acción correctiva o preventiva sobre un producto o servicio que es proveido y administrado por Cybolt, ésta estará incluida como parte del alcance de la gestión del incidente

4.2 Cooperación, interacción y divulgación de la Información:

La información manejada por el BeaconLab es tratada con absoluta confidencialidad de acuerdo a las políticas y procedimientos de seguridad de la información del BeaconLab y políticas, reglamentaciones y normas de Cybolt.

BeaconLab no publica ni comparte con terceros información detallada de incidentes cibernéticos que le hayan sido reportados, salvo que hubiera sido autorizado explícitamente por los afectados o cuando éstos sean solicitados por vía judicial.

La información sobre incidentes se compartirá solamente según legítima necesidad para la propia gestión de incidentes, tanto con la víctima, los administradores de sistemas afectados u otros CSIRTs siempre y cuando exista una legítima necesidad para controlar, remediar o prevenir incidentes. Siempre que sea posible se compartirá esta información de manera anonimizada y/o sin revelar datos que permitan identificar a víctimas.

BeaconLab podrá publicar o compartir información estadística, así como también información anonimizada sobre incidentes concretos con fines de concienciación y capacitación únicamente, sin revelar datos que permitan identificar a víctimas o divulgar detalles que pongan en riesgo a actores involucrados.

4.3 Comunicación y Autenticación: Los medios disponibles para la comunicación con el BeaconLab son:

5. Servicios

5.1 Gestión de Incidentes

5.1.1 Triaje de Incidentes

BeaconLab ofrece apoyo técnico y operativo en las distintas etapas del proceso de Gestión de Incidentes: detección, análisis, notificación, contención, erradicación y recuperación. En este proceso se incluyen la evaluación de la información disponible y su priorización (triaje), la validación y verificación de la misma, el alcance, la recopilación de las pruebas adicionales necesarias y la comunicación con las partes pertinentes.

5.1.2 Coordinación de Incidentes

BeaconLab realiza su mejor esfuerzo para determinar la naturaleza, el alcance, el impacto y los afectados de un incidente, facilitando el contacto con otras organizaciones que puedan estar involucradas y/o afectadas.

Proporciona información, guías y recomendaciones prácticas y accionables a las víctimas para que éstos puedan mitigar de la mejor manera los incidentes de ciberseguridad que los afectan y proveer políticas y guías para mejorar sus estrategias de detección y prevención de los mismos.

BeaconLab colabora con otros Centros de Respuesta a Incidentes (CERT/CSIRT) o Centros de Operaciones de Seguridad (SOC) de todos los sectores mediante el intercambio de información relevante para sus comunidades objetivo.

5.1.3 Recuperación y acciones Post Incidentes

BeaconLab guía a los involucrados con recomendaciones tendientes a contener, mitigar y remediar el incidente, así como también con recomendaciones para evitar incidentes similares en el futuro.

Asimismo, asesora al cliente sobre las acciones más adecuadas, realiza un seguimiento de la Gestión del Incidente y las medidas que la organización debe tomar para prevenir futuros incidentes cibernéticos.

De acuerdo a los términos contractuales, BeaconLab podría brindar una asesoría técnica y legal en cuanto a peritaje forense, resguardo de evidencia digital con cadena de custodia, laboratorio forense digital y capacitación en la investigación de ciberdelitos.

5.2 Prevención

BeaconLab brinda distintos servicios con el fin de sensibilizar y prevenir cualquier incidente. Entre ellas destacan:

  • Monitoreo de ciberseguridad (SOC)
  • Servicios administrados de ciberseguridad: Consiste en la administración, monitoreo y operación de las plataformas de seguridad del cliente, para una respuesta rápida y oportuna ante las alertas que éstas generan, y también para su correcta gestión y protección.
    • Managed SIEM
    • Managed Enpoint Protection
    • Managed Firewall
    • Managed Hardening
    • Managed Information Security
    • Identify Management
    • Vulnerability Management
  • Auditorías o análisis de vulnerabilidades de sistemas, redes y software (código)
  • Informes, alertas y avisos sobre nuevas amenazas y vulnerabilidades de los Sistemas de Información de amenazas, recopiladas de diversas fuentes de reconocido prestigio, incluidas las propias, así como también fuentes abiertas (OSINT).
  • Investigación y divulgación de las mejores prácticas sobre Seguridad de la Información.
  • Desarrollo de Guías de Seguridad con normativas, procedimientos y buenas prácticas.
  • Participación en Seminarios, Congresos, Jornadas y eventos de concienciación de Ciberseguridad.
 
6. Formas de notificación de incidentes

La notificación de incidentes puede realizarse mediante el buzón de correo específico: abuse@beaconlab.mx

7. Descargo de responsabilidad

El Equipo BeaconLab no se responsabiliza del mal uso que pueda darse de la información aquí contenida

The reason for this request is to align our CSIRT Beaconlab with the good practices and framework of the FIRST community, develop advanced research capabilities for new threats (new techniques, vulnerabilities, artifacts, IoCs, TTPs, etc.) with real value for the community and collaborate closely with other CSIRTs through information sharing, not only the results of those investigations but also sharing the knowledge generated in our CSIRT in terms of processes, tools and skills. In the future, we also seek to generate capabilities to participate in active and proactive operations (takedown, for example), tool development, tool testing, attendance in forums and training not only as participants but also as speakers, in the time than Beaconlab is able to build more advanced capabilities.

The information and knowledge that the FIRST community will share with Beacon Lab, will be very useful to enrich our investigations and incident handling.