Ciberseguridad al alcance de su presupuesto – SIEM

Seguramente el título de este artículo te hizo clic, debido a que no es para nada nuevo saber que el departamento de ciberseguridad cuenta con menos presupuesto que cualquier otro «si existe», razón por la cual les traigo en esta ocasión una serie de soluciones OpenSource que le permitirá implementar o mejorar el estado actual de la ciberseguridad en su organización.

Soluciones SIEM

Security Information and Event Management es una herramienta que permite realizar la gestión de los eventos de seguridad generados a partir de la correlación de información proveniente de distintos orígenes y en diversos formatos. El resultado de la correlación es comparado contra una base de datos o sistemas inteligentes que permite identificar una posible amenaza, o la violación inminente de los controles de seguridad que atenten contra la integridad, disponibilidad y confidencialidad de la información.

Existen diversas herramientas pero me enfocaré en las 3 que para mi concepto son las más amigables.

OSSIM

OSSIM en un SIEM (Open Source Security Information Management), a mi parecer esta solución lo tiene casi todo en comparación con otras, dentro de sus características principales puedo mencionar:

• • • • Facilidad de Implementación.
      • Interfaz amigable.
      • Información centralizada.
      • Componentes centralizados en una única interfaz.
      • Evaluaciones y reconocimiento de activos automatizada.
      • Generación, asignación y gestión de tickets.
      • Generación de reportes.
      • Integración con sistemas de notificación.
      • Monitoreo continuo de seguridad y rendimiento de los activos.

OSSIM está integrado con una variedad de herramientas Open Source de las cuales obtiene la información para realizar el proceso de correlación y monitoreo de seguridad tales como:

• • • • Nagios: herramienta para el monitoreo de servicios y rendimiento.
      • OpenVAS: escáner de Vulnerabilidades.
      • OSSEC: detector de intrusos para Host.
      • PRADS: herramienta para descubrir servicios y dispositivos en la red en tiempo real.
      • Snort: detector de intrusos de red.
      • Suritcata: detector de intrusos de red.
      • TCPTrack: monitorea el estado de las conexiones TCP.

WAZUH

Una solución SIEM completa. Se utiliza para recopilar, agregar, indexar y analizar datos de seguridad, lo que ayuda a las organizaciones a detectar intrusiones, amenazas y anomalías de comportamiento.  Con respecto a sus características puedo destacar:

• • • • Facilidad de implementación.
      • Fácil integración con sistemas de notificación como Slack, Telegram, entre otros.
      • Integración con suricata y Bro IDS.
      • Agilidad en el proceso de despliegue mediante tecnología de contenedores.
      • Permite realizar instalación distribuida de cada componente para mejorar el rendimiento de cada uno.
      • Posee opción de soporte comercial.

La arquitectura de WAZUH se basa en un stack el cual está compuesto por:

• • • • Wazuh Manager: se encarga de analizar los datos recibidos de los agentes y de activar alertas cuando un evento coincide con una regla (por ejemplo, intrusión detectada, archivo modificado, configuración no conforme a política, posible rootkit, etc.).
      • Filebeat: un reenviador ligero que se utiliza para transmitir logs a través de una red, generalmente a Elasticsearch.
      • ElasticSearch: un motor de análisis y búsqueda de texto completo altamente escalable.
      • Kibana: Una interfaz web flexible e intuitiva para extraer, analizar y visualizar datos.
      • Wazuh Agent: se utiliza para recopilar diferentes tipos de datos de aplicaciones y sistemas que reenvía al servidor de Wazuh.

 

Security Onion

Aunque la solución más que un SIEM es considerado una distribución para Threat Hunting, monitoreo de seguridad y gestión de logs, quise incluirlo por su inmenso poder para la identificación y manejo de amenazas dentro de nuestro entorno empresarial y está compuesto por una gran cantidad de herramientas que al igual que los anteriores da gran poder a la solución.  Dentro de sus características principales tenemos:

• • • • Fácil integración con otras soluciones.
      • Permite instalación distribuida de algunos componentes (En su modo de instalación avanzada).
      • Amigable al usuario durante el proceso de investigación forense o Threat Hunting.
      •  Agilidad en el proceso de despliegue mediante tecnología de contenedores
      • Posee opción de soporte comercial.

Al igual que el SIEM de WAZUH hace uso del Stack Kibana + ElasticSearch + Filebeat o Logstash y además incluye WAZUH, adicional a estos incluye otros componentes como:

• • • • Snort o Suricata: detectores de intrusos en red.
      • Sguil: el componente principal de Sguil es una GUI intuitiva que proporciona acceso a eventos en tiempo real, datos de sesión y capturas de paquetes sin procesar.
      • Squert: es una aplicación web que se utiliza para consultar y ver datos de eventos almacenados en una base de datos Sguil (normalmente datos de alerta IDS).
      • Cyberchef: es una aplicación web sencilla e intuitiva para realizar todo tipo de operaciones «cibernéticas» dentro de un navegador web.
      • NetworkMiner: es una herramienta de análisis forense de redes  para Windows.
      • CapME: es una interfaz web que le permite ver una transcripción de pcap renderizada con tcpflow, ver una transcripción pcap renderizada con Zeek,.
      • Wireshark: es el analizador de protocolos de red más utilizado y más importante del mundo.

Resumen

En este pequeño artículo pudimos conocer una serie de herramientas OpenSource enfocadas principalmente en el monitoreo de seguridad, mismas que le permitirán proteger sus activos y la información de los ciberdelincuentes, a un costo razonablemente bajo. No hemos indicado ventajas y desventajas de cada una de las soluciones debido a que el objetivo no es compararlas si no brindarles el abanico de opciones que hay disponibles en el mercado para ayudarlos a alcanzar el nivel de madurez de ciberseguridad adecuado.

Decidir cuál es mejor que cuál dependerá de sus necesidades, recursos disponibles con respecto a conocimientos o incluso de hardware, requerimientos del negocio, etc. Por los cual los invito a probar cada uno de ellos y determinen cuál se adapta mejor a sus necesidades y en caso de no contar con el personal idóneo para hacerlo, en Gudix Security Consulting contamos con especialistas altamente capacitados en la implementación de Soluciones de Seguridad OpenSource y Comerciales dispuestos a apoyarlo en todo el proceso de implementación y soporte.

Si quieres saber más acerca de Wazuh puedes leer nuestro artículo. Wazuh

 

¿Tienes algún consejo importante que nos perdimos? Si es así, no dude en hacérnoslo saber a continuación en los comentarios.