sobre seguridad y no...Hoy en día, es difícil encontrar una empresa que no haya realizado inversiones relacionadas con la ciberseguridad.Prácticamente todos vieron la necesidad de protección y compraron algunos productos que ofrecen protección, o al menos la ilusión de protección.Firewalls, UTMs Next, Firewalls de Generación, Antivirus, Antimalware, NAC, Antispam, DLP, IPS, WIPS, etc... Todos los proveedores de soluciones prometen que sus soluciones protegerán eficazmente la red y los recursos del usuario.Aquí llega el momento de la reflexión: ¿se cumplirán las promesas de los productores?Debe darse por sentado que cada herramienta requiere la arquitectura correcta, el uso correcto, por lo que la configuración es importante: la configuración correcta.En este punto, surge una pregunta importante:¿Estamos realmente seguros después de invertir en varios sistemas de seguridad?¿Mis sistemas están completos?Vamos a comprobarlo juntos.Por supuesto, puede validar el nivel de seguridad de cada uno de los componentes realizando periódicamente auditorías repetidas, tanto internas como externas.La auditoría de configuración, la auditoría de arquitectura, las pruebas de vulnerabilidad automáticas, las pruebas de penetración dirigidas a aplicaciones y sistemas específicos ayudarán a sellar la seguridad.Estas operaciones deben repetirse cíclicamente.¿Qué cuántos?Preferiblemente cada 3 meses o al menos una vez cada seis meses.Aquí, sin embargo, surge la pregunta: ¿sabemos (o cómo sabemos) que nuestros sistemas no están actualmente bajo ataque, o que no han sido ya parcialmente secuestrados?Y así es como llegamos al tema que queremos tratar en este artículo: el monitoreo constante de la seguridad y la organización de un equipo que se ocupe de tales problemas, es decir, el Centro de Operaciones de Seguridad, SOC por sus siglas en inglés.Security Operations Center es un equipo de monitorización y respuesta a las amenazas de seguridad, es decir, un grupo de personas que, mediante herramientas dedicadas, detectan amenazas y anomalías de forma continua y tratan de limitar su impacto en el entorno TI:Hay al menos varias razones.Depende de muchos factores.Puede construir un SOC en casa, es decir, contratar especialistas, construir soluciones técnicas apropiadas.Puede tratar dicha solución como un servicio proporcionado por socios externos.Puede abordarlo de forma híbrida, es decir, implementarlo parcialmente internamente, manejarlo parcialmente en forma de servicios externos.El costo de tales soluciones depende de la complejidad de nuestras soluciones de TI y su tamaño, el modo en el que queremos configurar un SOC para operar, si será 24/7 o solo en horas seleccionadas.El SOC debe adaptarse a las necesidades y posibilidades.Nuestra experiencia de mercado muestra que en la gran mayoría de las medianas empresas, la monitorización activa de la seguridad no existe como tal.En el caso de empresas que emplean a varios especialistas en TI, es difícil hablar de crear un equipo dedicado únicamente al propósito de monitorear y responder a incidentes de seguridad en la red.Por lo tanto, recomiendo nuestros servicios en el campo del soporte de monitoreo de seguridad y herramientas que minimizan la carga de trabajo en el monitoreo de seguridad.¿Qué componentes técnicos deberían (idealmente) consistir en un equipo de monitoreo de seguridad de la red?Las herramientas que deben usarse al construir un centro de seguridad de este tipo son:Intentemos seguir algunos ejemplos de soluciones junto con sus posibilidades.La gestión de eventos e información de seguridad es un sistema que, en pocas palabras, recopila datos de muchas fuentes en forma de registros de varios sistemas, analiza y normaliza estos datos para analizarlos y correlacionarlos en el siguiente paso, y en este base generar eventos de seguridad.Qué datos se introducen en SIEM:Por supuesto, parece que cuantos más datos, mejor, mayor es la posibilidad de descubrir eventos interesantes.Por un lado, sí, pero obtener datos de todas las fuentes puede conducir fácilmente a una sobrecarga de información, en tal situación será difícil analizar y procesar todos los eventos emergentes.A continuación, los datos se analizan, es decir, se ajustan a un formato uniforme.Los diferentes formatos de registro enviados por diferentes dispositivos requieren que la información se lea y procese correctamente de tal manera que los datos almacenados se organicen de manera uniforme.Por supuesto, las soluciones SIEM pueden tener analizadores apropiados listos para usar, pero generalmente también existe la necesidad de crear analizadores dedicados para las necesidades específicas e individuales de la organización.La acción anterior permitirá el análisis de datos y sus correlaciones, es decir, combinar relaciones de causa y efecto que demuestren la ocurrencia de amenazas específicas.Las correlaciones también aparecen en variantes encuadradas, es decir, listas para usar, pero la capacidad de crear sus propias relaciones lógicas es importante.Las reglas de correlación conducen a la aparición de eventos, es decir, situaciones importantes desde la perspectiva de la seguridad.Hay muchos SIEM en el mercado, puede decir que se satisfarán todas las necesidades y estaremos encantados de ayudarle a elegir una herramienta adaptada a sus necesidades.A continuación se muestra una de las muchas comparaciones disponibles en Internet.El resumen de esta comparación está disponible en forma de tabla:Analicemos brevemente dos de las soluciones disponibles en el mercado:A continuación se presentan algunas de las características clave del sistema Alienvault OSSIM.OSSIM tiene la ventaja significativa de tener una cantidad relativamente grande de analizadores y su propia base de datos de amenazas disponible: Alienvault OTX.También es beneficioso que OSSIM tenga la opción integrada para usar el escáner de vulnerabilidades de Openvas.El resultado del escaneo de recursos monitoreados por OSSIM con openvas se muestra a continuación.Con la ayuda de OSSIM podemos detectar eventos de varios tipos, ya sean los que usan reglas integradas o los que configuramos nosotros mismos.El siguiente es un evento que fue desencadenado por un ataque de fuerza bruta en el servidor que entregaba registros a OSSIM.Como otro ejemplo mostramos el evento que genera OSSIM en caso de ataque al protocolo ARP: ARP spoofingFuera de la caja, el sistema detecta una serie de eventos, que incluyen:Por supuesto, también le permite crear sus propias reglas, pero debe tenerse en cuenta que esta no es una tarea claramente organizada.Alienvault le permite utilizar una extensa lista de los llamadosfuentes de datos, como las anomalías de red que se muestran en la siguiente captura de pantalla.Con base en estos eventos de los llamadosfuentes de datos, podemos crear políticas que definan cómo clasificamos un evento dado en condiciones específicas (por ejemplo, dirigido a un objetivo específico).En general, las cosas geniales de OSSIM son:Vale la pena mencionar que OSSIM le permite recopilar datos del protocolo NetFlow, pero los eventos que se pueden generar en función de las observaciones de NetFlow son bastante limitados.Una alternativa interesante a Alienvault es el sistema Splunk utilizado como SIEM.Splunk es una herramienta con más posibilidades que el sistema SIEM.De hecho, es una herramienta analítica que, mediante la recopilación de datos de muchas fuentes de máquinas, se utiliza para procesar estos datos con fines, por ejemplo, relacionados con análisis de negocios, mantenimiento de sistemas, DevOPS, operaciones de TI.La belleza de la capacidad de definir consultas a los datos descargados aparecerá cuando queramos definir nuestras propias correlaciones y nuestros propios eventos, que tratamos como problemas de ciberseguridad.Con la ayuda del lenguaje de consulta de Splunk, puede solicitar una respuesta a consultas complejas sobre los datos recopilados.La consulta estadística más simple a continuación:Y a continuación hay algo un poco más complejo, basado en la descarga de datos de NetFlow a Splunk, por ejemplo, análisis estadístico de la operación del protocolo ARP en la red:De hecho, Splunk sin ningún conocimiento integrado de los riesgos de seguridad después de alimentar los datos de NetFlow o los datos de registro, puede convertirse en un sistema SIEM mediante un esfuerzo de trabajo titánico.Afortunadamente, las aplicaciones adicionales de Splunk, como Security Essentials y Enterprise Security, vienen al rescate.El primero es gratuito y permite capturar eventos básicos de ciberseguridad.Una muestra de lo que podemos lograr en Splunk Security Essentials se puede ver en la siguiente captura de pantalla.Las amenazas detectadas también se pueden visualizar según la metodología Mitre ATT & CKAquí hay un ejemplo de un evento de registro de fuerza bruta detectado, consulte primeroy luego los datos obtenidos a través de la consulta:Terminando el tema superficial de SIEM, vale la pena señalar que cada SIEM requiere un ajuste profundo, determinando qué eventos queremos observar.Dicho conocimiento puede resultar de la determinación de recursos prioritarios para la organización, análisis de riesgos, análisis de amenazas.Podemos proporcionar la siguiente lista como ejemplos de eventos dignos de mención cuando se utiliza SIEM.Desafortunadamente, debido a la amplitud del problema, esta lista definitivamente está incompleta, pero para obtener un conocimiento completo, comuníquese con nosotros.Los datos que enviamos a través de la red, las direcciones de nuestra comunicación, el volumen promedio de comunicación y la característica estadística específica de comunicación para una máquina determinada nos permiten detectar amenazas.Qué se necesita para ello: NetFlow y un recopilador específico que interprete los datos obtenidos de una forma determinada.Intentaremos mostrar dicha herramienta en el ejemplo de la solución Cisco Stealthwatch en la variante de la nube.La solución consiste en una sonda colocada en la red monitoreada y un colector ubicado en la nube.Para aquellos que le temen a la nube, también existe, por supuesto, la versión On Premise, es decir, una en la que prácticamente toda la lógica está cerrada en la red monitoreada.La sonda recibe el llamadofluido de los dispositivos de red.Los flujos son una forma de describir el tráfico de red que envía un dispositivo sin transmitir datos.Entonces encontraremos en los flujos información sobre la fuente y el propósito de la comunicación, los puertos utilizados, la cantidad de datos, etc. Para fines de protección contra amenazas de seguridad, el proceso es un poco más complejo y permite detectar, por ejemplo:Las posibilidades del sistema son, por supuesto, mucho más amplias.La lista anterior muestra solo ejemplos que muestran cómo se pueden hacer observaciones interesantes al tratar la red como un sensor de seguridad.Por supuesto, puede intentar hacer clic en todas las reglas definidas dentro de este sistema, por ejemplo, en la solución Splunk, pero la acción manual requerirá mucha determinación.Splunk tiene una solución que le permite usar reglas predefinidas, y es Splunk UBA, pero esta solución también es una solución paga.Recomiendo el sistema Cisco Stealthwatch que, en principio, con un mínimo de configuración, estará listo para recopilar datos y realizar análisis de seguridad.No dude en contactarnos, estaremos encantados de hablar sobre las posibilidades de implementar la solución.Desde la perspectiva del monitoreo de la seguridad, el análisis continuo de las amenazas emergentes también es importante, evaluando si afectan los sistemas que monitoreamos.Elaboración de reglas apropiadas para el sistema SIEM para detectar nuevas amenazas y, finalmente, sugerencias para los departamentos de TI para sellar los sistemas para hacerlos resistentes a nuevas amenazas.Hay muchas bases de datos de amenazas, algunas de ellas son pagas y otras son completamente gratuitas.Las bases de datos definen varios aspectos de las amenazas, como malware o phishing.La inteligencia de amenazas como concepto debe interpretarse como una fuente de descripción de mecanismos, métodos, pruebas y métodos para combatir las amenazas a la ciberseguridad.Por supuesto, estamos buscando fuentes que sean lo más confiables posible y que también se actualicen con frecuencia.Listas de fuentes que publican información de la categoría Inteligencia de amenazas:https://safebrowsing.google.com/https://talosintelligence.com/vulnerability_reportshttps://www.virustotal.com/https://www.abuse.chhttps://otx.alienvault.com/dashboard/nuevohttps://www.phishtank.comA continuación se muestran algunas capturas de pantalla que muestran lo que podemos encontrar en las bases de datos de inteligencia de amenazas.Aquí está la apariencia de la base Alienvault OTXLas bases de datos de inteligencia de amenazas, como ya hemos dicho, se pueden utilizar para crear nuevas reglas SIEM o nuevas indicaciones para la configuración de dispositivos de seguridad.Sin embargo, también es una buena base para probar nuestra seguridad.Con poco esfuerzo, puede usar lenguajes de secuencias de comandos para construir un probador para verificar nuestro Firewall de próxima generación, nuestra protección antimalware, etc. Para obtener más detalles, comuníquese con nosotros:La base de datos de amenazas junto con su descripción y clasificación también se incluye en la herramienta Cisco Threat Grid, que en realidad es un sandbox, que presentaremos a continuación.Aquí, solo una captura de pantalla de todas las amenazas descritas y documentadas por Cisco.Desde la perspectiva de la monitorización de la seguridad, también es importante la herramienta de análisis de archivos con amenazas potenciales.Una herramienta que le permite analizar archivos sospechosos en el contexto de la ciberseguridad, dando una respuesta inequívoca si un archivo determinado está clasificado como una amenaza o no.Esta herramienta a menudo ya se inicia en la etapa de análisis del contenido transmitido, en la etapa de filtrado de tráfico o protección de la estación final, cuando la capa de protección no puede decidir de forma independiente sobre el estado de seguridad del archivo.El sandboxing es crucial para el departamento SOC.Permite el análisis de eventos de seguridad tras su detección, así como la creación de nuevas reglas para los sistemas SIEM.En estas reglas podemos incluir observaciones realizadas con la herramienta sandbox.Sandbox realiza análisis estáticos y especialmente dinámicos de archivos.El análisis dinámico es nada menos que ejecutar un archivo con una amenaza en un entorno aislado del entorno de producción.El sandbox recopila información sobre el comportamiento del archivo iniciado mediante el análisis de los archivos modificados, las modificaciones del registro, las operaciones del sistema y las conexiones de red.Según el comportamiento del archivo, se emite un veredicto sobre el archivo y se clasifica como amenazante o seguro.Sandbox obviamente ya coopera en la etapa de protección con dispositivos que protegen nuestros sistemas, como firewalls, protección de correo electrónico, protección antimalware.Todos estos sistemas utilizan el sandbox cuando no pueden evaluar de forma autónoma la seguridad de los archivos transferidos.Sin embargo, al mismo tiempo, el sandbox debe cooperar con los sistemas SIEM al ingresar información sobre indicaciones (por ejemplo, comunicación de red u operaciones de archivos) en el sistema, que deben considerarse amenazas de seguridad y deben informarse adecuadamente.A continuación, vemos el sistema Cisco Threat Grid en acción.Las capturas de pantalla presentan un análisis del funcionamiento de un archivo ejecutable y un resumen de si el archivo es malicioso o seguro, teniendo en cuenta las diversas categorías probadas.Además, puede obtener un informe completo que presenta las pruebas realizadas y sus resultados.El informe presenta exactamente:Además, puede ver un volcado de operaciones de red en formato pcap e incluso ver una película sobre la ejecución del archivo analizado en la máquina de prueba.Una de las tareas del equipo SOC es analizar y responder a los ataques de red detectados.Una herramienta que puede ser útil en esta tarea es un sistema que rastree la propagación de malware a través de la red.Tal observación permitirá el aislamiento efectivo de las máquinas infectadas y la eliminación de amenazas.Aquí deseamos invocar el Sistema de Respuesta a Amenazas de Cisto.Este sistema es gratuito al utilizar otras herramientas de seguridad de Cisco como Cisco Umbrella o Cisco AMP.Como parte de la herramienta Cisco Threat Response, podemos visualizar fácilmente la propagación de una amenaza en la red.Puede invocar la herramienta Cisco Threat Reponse directamente desde las herramientas de Cisco AMP Cisco Ubrell.Esto se muestra en la siguiente figura, donde encargamos el seguimiento de una amenaza observada en uno de los dispositivos.La herramienta Threat Reponse permite un análisis histórico del problema dentro de la infraestructura y el análisis en forma de gráfico de propagación de amenazas.La presentación visual de la información sobre las amenazas detectadas permite su eliminación precisa.Al mismo tiempo, vale la pena señalar que Threat Response le permite responder a la pregunta de si alguna vez se ha visto una amenaza determinada en la red.Threat Response, podemos consultar los nombres de los archivos con amenazas (obtenidos de las bases de datos de Threat Intelligence), los nombres de los dominios de los que podría haberse originado la amenaza, las firmas SHA de un archivo específico.La siguiente captura de pantalla muestra un ejemplo de una amenaza encontrada después de la firma SHA, que no se observó en la red monitoreada.En el monitoreo constante de la seguridad, también es necesario analizar con frecuencia las vulnerabilidades de nuestro entorno.Hay bastantes herramientas que ofrecen tales posibilidades.Hay herramientas de uso general disponibles, así como aquellas que se utilizan para detectar vulnerabilidades solo en sistemas específicos (por ejemplo, aplicaciones web, sistemas CMS).Entre las herramientas de propósito general, se pueden mencionar los siguientes sistemas:Ambas herramientas escanean activamente las clases de direcciones definidas en busca de puertos abiertos, para los puertos abiertos se intenta descubrir el nombre y el tipo de servicio que utiliza el puerto.Para los servicios y sus versiones, se examina la base de datos de amenazas de CVE, por ejemplo, la disponible aquí.Las vulnerabilidades de seguridad que pueden ocurrir se identifican y se notifican en un informe apropiado.Además, la herramienta de escaneo automático de vulnerabilidades puede ir aún más allá para realizar ataques simples automáticos en servicios en ejecución como: ataques de fuerza bruta, ataques de diccionario a contraseñas, ataques a aplicaciones web: XSS, inyección SQL, etc. Toda esta información se proporciona en forma de informe.A continuación se muestra un extracto del informe generado por OpenVAS:La información obtenida de los informes obviamente debe usarse para sellar el sistema.Como las pruebas se realizan de forma automática, se puede programar su ejecución cíclica.La frecuencia de este proceso debe depender de la variabilidad de la infraestructura.La ciberseguridad se puede monitorear, incluso a un costo relativamente bajo en términos de comprar el software apropiado.Puede usar herramientas gratuitas o de bajo costo para crear un sistema que verificará nuestra ciberseguridad de manera continua.Al mismo tiempo, sin embargo, se debe enfatizar que construir un sistema de monitoreo y protección requiere un conocimiento y análisis profundos de un entorno comercial y de TI específico, y soluciones a la medida de las necesidades específicas.Estamos felices de emprender tal tarea - por favor contáctenos 😊Además, para aquellos interesados ​​en profundizar los conocimientos que he presentado en este artículo, también recomiendo nuestra capacitación en la que describimos en detalle las soluciones presentadas en el artículo.Aprenda a mantener su dinero, datos e identidad a salvo de los ciberdelincuentes.Ven a nuestra icónica conferencia de 3,5 horas titulada"¿Cómo puedo permanecer hackeado?"y conozca docenas de consejos prácticos y fáciles de implementar que aumentarán su seguridad de manera efectiva.Esta conferencia debe ser atendida por todos los que usan Internet en un teléfono inteligente o computadora.Lo ejecutamos en un lenguaje accesible, intercalado con demostraciones en vivo de ataques, ¡así que lleve a sus padres con usted!En las próximas semanas estaremos en las siguientes ciudades:El acrónimo de Security Operations Center es SOC, no SoC.La última abreviatura significa System on a Chip.Y en aras de la aclaración, las letras minúsculas en las abreviaturas se reemplazan por preposiciones, pronombres, etc.También señalaría el escandaloso desprecio por la puntuación ... Esta es la Internet polaca: prácticamente no hay voces sustantivas, solo los comentarios en sí.Así es.El autor escribió bien, el crítico se equivocó, ese soy yo :)¡No te regañes, el artículo está bien!En cuanto al arte patrocinado, es incluso contenido genial.Al publicar un comentario, acepta los términos y condiciones para agregar comentarios.Lo siguiente no será moderado por: recorridos personales, comentarios fuera de tema, blasfemias.Escuche una de nuestras 8 conferencias cibernéticas.Brindamos nuestro conocimiento con humor y de una manera accesible para todos los empleados.A distancia o contigo en la empresa.¡Haga clic aquí y vea las descripciones de las conferencias!o síguenos con:¡Todos deberían ver estos seminarios web!Conocimiento práctico y lenguaje comprensible.Los 6 temas principales: haga clic aquí para ver descripciones detalladas y un seminario web gratuito.