Juan José Sánchez - Mar, 25/10/2022 - 11:41

Juan José Sánchez Egresado en Máster de Ciberseguridad
Mar, 25/10/2022 - 11:41

Piratas informáticos

Pirata informático. Malware.

Serie: 'Conectados' (XXXVII)

Si no sabes lo que es un SIEM (en inglés, Security Information and Event Management), en este artículo se va hablar sobre una de las herramientas más potentes de seguridad informática de los últimos años.

Los ataques informáticos que se producen en el mundo cada vez son mayores, creciendo de manera exponencial, siendo las amenazas cibernéticas cada vez más peligrosas y potentes.

Por ello, hoy en día no solo basta con protegernos y prepararnos de estos ataques, sino que debemos anticiparnos a los mismos. Para poder prevenir dichos ataques y blindar la seguridad informática de las empresas se han desarrollado los sistemas SIEM.

Los sistemas SIEM son un componente crucial de seguridad en la actualidad. Representan una solución unificada que permite el procesamiento de eventos y alertas de seguridad de todas las tecnologías que coexisten en una red, antes de que tengan la oportunidad de interrumpir las operaciones en la misma.

En el TFM titulado “Diseño e implementación de un sistema SIEM basado en open source, el objetivo que se pretendía conseguir era la evaluación de la funcionalidad y factibilidad del uso de un sistema SIEM open source para la monitorización y detección de ataques informáticos en un hipotético departamento de informática universitario. Para dar solución a este objetivo, primero se realizó un análisis comparativo entre diferentes plataformas, eligiéndose como plataforma más óptima Security Onion [1].

Para comprobar el correcto funcionamiento de dicho SIEM open source, se montó un laboratorio virtual donde se simularon diferentes ataques generados desde una máquina con una distribución Kali Linux [2] a otra máquina con la distribución Metasplotaible [3].

Tras la realización de dicho TFM, se llegó a la conclusión que hoy en día existe una solución open source como es Security Onion que posibilita la instalación de un sistema de detección de intrusiones para entornos domésticos o pequeñas empresas.

Análisis de prueba y error

Lo que más costó en la configuración de dicha solución fue la especificación de ciertas reglas que no venían por defecto en el módulo de Suricata [4] de Security Onion: dicho proceso fue largo y requiere de experiencia y muchísimas iteraciones de “prueba y error”. Por tanto, resulta crítico conseguir una configuración que se adecúe al caso de uso que se quiere analizar, para conseguir detectar las amenazas correctamente y conseguir minimizar los falsos positivos evitando que la persona que administre Security Onion ignore dichas alertas o pierda la confianza en dicha herramienta.

En base a las pruebas realizadas (tipos de ataque simulados) se pudo concluir que la configuración realizada en Suricata para la detección de estos eventos funcionaba correctamente, identificando dichos ataques y generando las respectivas alertas.

Futuras líneas de trabajo

Como no podía ser de otra forma, a lo largo del desarrollo de este trabajo fueron surgiendo otras ideas muy interesantes pero que por limitaciones del tiempo disponible no llegaron a implementarse. No obstante, a continuación se describen como futuras líneas de trabajo:

  1. Utilización de machine learning [5] para la detección de tráfico sospechoso basado en su comportamiento, utilizando algún módulo de Zeek [6] detectando conexiones repetitivas en el tiempo y con payloads muy poco variantes.
  2. Creación de reglas para detectar conexiones a puertos poco frecuentes, por ejemplo, si un dispositivo continuamente utiliza un puerto para funcionar, si se detecta el uso de un puerto diferente, informar de dicha ocurrencia.
  3. Probar la configuración obtenida con este trabajo en un entorno real, donde se esté monitorizando y alertando los posibles ataques que se produzcan, comprobando así la efectividad del sistema configurado.
  4. Analizar las reglas OSSEC [7], dichas reglas permiten informar de todos los eventos que ocurran relacionados, por ejemplo, con la instalación de un software sin licencia, etc.

Este ha sido mi TFM y si te pica más la curiosidad, te invito a que consultes el trabajo (TFM), donde podrás ampliar mucho más de lo comentado en este artículo. ¡Qué lo disfrutes!

Bibliografía

[1] Security Onion Solutions, «Try Security Onion for free!,» [En línea].  [Último acceso: 09 octubre 2022].

[2]    KALI, «The most advanced Penetration Testing Distribution,» [En línea]. [Último acceso: 09 octubre 2022].

[3]    SOURCEFORGE, «Metasploitable Files,» 19 agosto 2019. [En línea]. [Último acceso: 09 octubre 2002].

[4]    Suricata, «Suricata Rules,» [En línea]. [Último acceso: 09 octubre 2022].

[5]    DataScientest, «Machine Learning: definición, funcionamiento, usos», 13 de diciembre 2021. [En línea]. [Último acceso: 09 octubre 2022].

[6]    Zeek, «An Open Source Network Security Monitoring Tool,» 2020. [En línea]. [Último acceso: 09 octubre 2022].

[7]    OSSEC, «OSSEC+ Available for Free,» [En línea]. [Último acceso: 09 octubre 2022].

Editor: Universidad Isabel I

ISSN 2792-1794

Burgos, España

Añadir nuevo comentario

La Universidad Isabel I tratará la información que nos facilite con el fin de publicar su comentario como respuesta a esta entrada de su blog, así como para mantenerlo informado de nuestra actividad. Más información sobre este tratamiento y sus derechos en nuestra política de privacidad.