Logo Studenta

Analisis de software open source para la Ciber seguridad en PyMes y Organismos Publicos

Proyectos Interdisciplinarios en Ciencias Exactas y Naturales

SIN SIGLA

0
Dislike0
0
Dislike0
Comment0
User badge image

marta1985aresqueta

¡Este material tiene más páginas!

Entonces, ¿te gustó este material?

Ayude a animar a otros estudiantes a mejorar el contenido

¿Te gustó este material? ¡Compartir! 🧡

LikeFooter
DislikeFooter

Proyectos Interdisciplinarios en Ciencias Exactas y Naturales

721 Materiales compartidos

mobile

Descarga la aplicación para disfrutar aún más

Lea materiales sin conexión, sin usar Internet. Además de muchas otras características!

Vista previa del material en texto

Trabajo Final
Ingeniería de Sistemas
Facultad de Ciencias Exactas
Universidad Nacional del Centro de la Provincia de Buenos Aires
UNCPBA
2022
Título: Análisis de software open source para la Ciberseguridad en PyMes y
Organismos Públicos
Alumno: Lopez Muñoz, Brian Ezequiel
Director: Dr. Alejandro Zunino
Capítulo 1. Introducción 3
Plano Regional y Argentina 4
PyMes y Administración Pública 4
Trabajo Propuesto 5
Organización del Trabajo 6
Capítulo 2. Marco Teórico 7
Seguridad de la Información 7
Triada de la Información 7
La Ciberseguridad 9
Ciberespacio y Ciberataque 10
Ataques en la Actualidad 11
Modelos y Marcos de Ciberseguridad 12
Modelo de Defensa Perimetral 12
Modelo de Defensa en profundidad 13
Políticas, Procedimientos, Concientización 14
Seguridad Física 15
Seguridad Perimetral 15
Seguridad de Red 15
Seguridad de Host 16
Seguridad en Aplicaciones 16
Seguridad con respecto a Datos 16
Marco de Ciberseguridad 17
Marco de Ciberseguridad de NIST 17
Cyber Security Kill Chain 19
MITRE ATT&CK 20
Marcos para Cumplimiento Normativo 21
Security Operation Center 22
Tecnologías SOC 23
SIEM 23
EDR 24
XDR 26
Beneficios de tener un XDR 27
Tipos de XDR 27
La necesidad de un XDR en las organizaciones 28
Capítulo 3. Elección y análisis preliminar de la herramienta. 29
Elección de la herramienta 29
Criterios básicos para la elección 29
Descripción de la herramienta Wazuh 32
Capacidades 34
Análisis previo a la instalación 36
Opciones de Instalación 41
Tipos de instalación de los componentes centrales 41
Implementación Física 42
Implementación Virtual 42
1
Implementación con contenedores 42
Tipos de instalación de agentes 43
Entorno de Prueba 43
Análisis posterior a la instalación 44
Wazuh Manager 44
Configuración inicial del Manager 46
Logs 47
Almacenamiento 48
Reglas y decodificadores 50
Wazuh Indexer 57
Wazuh Dashboard 61
Agente Wazuh 64
Inscripción Agente-Manager 64
Registro con variables de entorno 65
Registro con Wazuh Agent Enrollment 66
Actualización de agentes 68
Configuración Inicial 70
Consumo de recursos 71
Conclusiones del capítulo 72
Capítulo 4. Casos de Prueba 74
Detección de Vulnerabilidades 75
Evaluación de Configuraciones de Seguridad 79
Detección de Malware 82
Respuesta Activa 86
Conclusiones del capítulo 90
Capítulo 5. Conclusiones y Trabajo Futuro. 92
Conclusiones 92
Trabajo Futuro 93
Glosario 95
Referencias 108
2
Capítulo 1. Introducción
En el último tiempo los datos se han convertido en el recurso más abundante del mundo. Se
calcula que la cantidad de datos que había a principios del 2020 era de aproximadamente 44
zettabytes [1]. Es decir, que el número de bytes en el universo digital era 40 veces mayor que
el número de estrellas en el universo observable. Sin embargo, la principal preocupación es
que la información contenida en ellos generalmente es un activo importante, por lo que los
datos pasan a ser el recurso más importante de la actualidad [2]. Como todo recurso valioso,
las amenazas a su seguridad también aumentan con su valor. Según el Cost of a Data Breach
Report 2021 [3], el costo promedio de una filtración de datos alcanzó los 4,24 millones de
dólares, siendo así el más alto registrado hasta la fecha.
En el último tiempo, las noticias de nuevas brechas de seguridad y filtraciones de
información confidencial han aumentado considerablemente, y las técnicas en ciberataques
son cada vez más sofisticadas [4]. A su vez, la pandemia de COVID-19 potenció este
problema ya que tanto las empresas, como organismos de administración pública, se vieron
en la necesidad de implementar esquemas de teletrabajo de forma rápida e improvisada,
ocasionando que de un día para el otro los dispositivos personales de muchos colaboradores
formen parte de la red corporativa, con la disparidad de condiciones de seguridad que eso
implica [5].
Por otro lado, la Cuarta Revolución Industrial es una realidad [6]. Las nuevas tecnologías
comenzarán a transformar la sociedad y, especialmente la economía, cuyo principal
componente es la digitalización. En otras palabras, esta nueva ola de tecnologías se basa en
datos, lo que las hace inherentemente vulnerables a los ataques cibernéticos.
En síntesis, siendo los datos el principal activo en la actualidad y en el futuro cercano con el
cual se transformará la realidad que hoy conocemos, el crecimiento del Cibercrimen como
servicio [7] (cybercrime-as-a-service), los cambios vertiginosos que han ocurrido en el último
tiempo debido a la pandemia, sumado a una creciente y profunda falta de confianza entre
individuos e instituciones (menos del 50% del conectados al día de hoy confían en que la
tecnología mejorará sus vidas [8]), hacen que sea necesario redoblar los esfuerzos para
fortalecer la protección de los datos.
3
Plano Regional y Argentina
Si bien la coyuntura actual hace pensar que los ciberataques se dan sólo entre las potencias
mundiales, Latinoamérica no escapa de este problema. El Panorama de Amenazas en
América Latina 2021 de Kaspersky revela un aumento del 24% en ciberataques en la región
los primeros ocho meses del año, en comparación con el mismo periodo en 2020. En este
contexto, Brasil lidera la región con más de 1,390 intentos de infección por minuto, seguido
de México (299 por minuto); Perú (96 por minuto), Ecuador (89 por minuto) y Colombia (87
por minuto).
En lo que refiere al panorama local, si bien Argentina se encuentra por detrás de los países
anteriormente mencionados en términos de cantidad de ataques por segundo, se registraron
10 millones de intentos de infecciones en ese lapso. Por su parte el ultimo informe del
CERT.ar [9], indica que los ataques registrados en 2021 no solo se duplicaron (226 en 2020 y
en el 2021, 591), sino que resultan de ser de acto impacto, no sólo por los pedidos de rescate
(por ejemplo, ante un ataque por ransomware), sino también por el costo que significa la
falta de disponibilidad de los recursos durante las etapas de análisis y resiliencia. Además,
esto se puede ver agravado por la posibilidad de un segundo ataque, que podría ocurrir
mediante la venta de datos en la Deep Web o mediante otros ataques que utilicen esa
información personal.
PyMes y Administración Pública
Si bien los principales objetivos de los ciberdelincuentes son las grandes empresas, las
pequeñas empresas también sufren filtraciones de datos. Según un informe de Verizon [4],
los incidentes reportados en PyMes se han incrementado, acortando así la brecha con
respecto a los ataques dirigidos a grandes empresas. Las intrusiones a los sistemas, los
errores de configuración y los ataques a aplicaciones web básicas representan el 80% de los
incidentes, donde el 44% es de origen interno y el 57% externo. Entre los datos
comprometidos se encuentran credenciales (44%), personales (39%), médicos (17%), con
motivos mayormente financieros (93%). Estos incidentes suelen ser aún más dañinos para
este tipo de empresas porque no disponen de recursos suficientes para recuperarse [10].
Los ataques no solo se dan a entidades privadas[11]. En lo que refiere a la Administración
Pública, el Informe de Verizon reporta que el 69% de los incidentes están dados bajo el
patrón de la Ingeniería Social, con la técnica de Phishing. Los datos comprometidos
involucran robo de credenciales en un 80% y el 96% de los ataques están dados por motivos
financieros. Si bien hay varias razones por las cuales la administración pública es un objetivo
4
para los ciberdelincuentes, el volumen y sensibilidad de los datos que suelen manejar estas
entidades son elementos de interés. Según cuáles sean los datos sustraídos, los
ciberdelincuentes pueden usarlos para fines como suplantación de identidad, creación de
perfiles falsos en sitios web y redes sociales, insumo para ataques de ingeniería social, y
sobre todo la venta de esos datos a terceros.
Teniendo en cuenta lo descrito hasta el momento, cualquier organismo y/o empresa esun
objetivo posible para recibir un ciberataque. Es por eso que no se puede prescindir de la
ciberseguridad en todo su espectro. Desde la concientización a usuarios hasta la herramienta
más completa del mercado.
Trabajo Propuesto
Como punto de partida, es importante dar por sentado que existirán problemas de
seguridad, de modo que la mejor defensa será un ataque proactivo y deliberado. Por lo tanto,
no es suficiente contar con una aplicación informática que nos defienda de posibles
amenazas sino, que se necesita comprender un paradigma de seguridad por capas que
involucre a todo el ciclo de vida de la gestión de un incidente, dando por hecho incluso, que
en algún momento ocurrirá. Además de un adecuado conjunto de controles que incluya
políticas, normas, procedimientos, estructuras organizacionales, procesos y protocolos, es
necesario contar con una o varias plataformas de software que nos ayuden en las etapas de
preparación; detección y análisis; contención, erradicación y recuperación; y actividades
post-incidentes [12].
Por otro lado, es imprescindible tener en cuenta que el costo de las licencias de las
plataformas de software reconocidas internacionalmente (siempre cotizado en dólares),
restringen el despliegue en organismos públicos y PyMes que las quieran utilizar. Además,
no poder acceder al código fuente y sin la posibilidad de una capacitación profunda en el uso,
diseño y mantenimiento de estas plataformas y sus algoritmos, impiden el desarrollo de las
capacidades tecnológicas nacionales en esta materia tan estratégica para los tiempos
actuales.
Ante este contexto, este trabajo propone realizar un análisis de herramientas open source
disponibles que puedan ser de utilidad para la ciberseguridad, tanto en organismos públicos
como en Pequeñas y Medianas empresas con bajo presupuesto, y a partir de ello, obtener
conclusiones sobre la pertinencia de las mismas.
5
En principio, se realizará una investigación de las herramientas disponibles en el mercado y
se seleccionará una de ellas bajo criterios establecidos. Una vez elegida la plataforma, se hará
el despliegue en un ambiente de laboratorio donde se evaluarán las características
funcionales y no funcionales de la misma. En esta misma línea, para analizar las capacidades
de la herramienta, se implementarán una serie de escenarios que se asemejan al mundo real,
o lo que se conoce como Prueba de Concepto (Proof-of-Concept - PoC, en Inglés).
Organización del Trabajo
El trabajo está organizado en capítulos como se describe a continuación:
En el Capítulo 2 se describe el Marco Teórico, en el cual a partir de la investigación, se
presentan cada uno de los conceptos, modelos y marcos de ciberseguridad, como así también
herramientas que existen en la actualidad.
En el Capítulo 3, se detalla en primera instancia la elección de la herramienta a estudiar bajo
criterios establecidos; posteriormente se presenta en detalle el análisis, instalación y
despliegue de la plataforma elegida en un ambiente de laboratorio; y finalmente se describen
las principales características y funcionalidades del sistema propuesto.
En el Capítulo 4 se presentan distintos casos de prueba realizados, cuales son los objetivos de
dichas pruebas, y los resultados obtenidos.
En el Capítulo 5, finalmente se detallan las conclusiones a las que se arribó en este trabajo, y
a partir de éstas, se presentan algunos posibles trabajos futuros.
6
Capítulo 2. Marco Teórico
Seguridad de la Información
Como se mencionó anteriormente, la información es uno de los recursos más valorados por
cualquier empresa u organización, ya que sin ella es imposible realizar las actividades
necesarias. Sin importar su tamaño, absolutamente todas manejan información que se puede
encontrar en distintos formatos: digital, físico o de manera no representada (por ejemplo, las
ideas). A su vez estas pueden existir en diferentes estados, ya sea almacenada, procesada o
transmitida. Ante esto, nadie puede privarse de no proteger algo que considera tan valioso y
vital para su funcionamiento. De allí nace la necesidad de asegurar esa información en todas
sus formas y estados. Para ello, es necesario comprender qué se entiende por Seguridad de la
Información.
Si bien generalmente se refiere a la Seguridad como ausencia de riesgo, sabemos que en la
realidad está lejos de ese concepto ideal. El riesgo en ámbitos de aplicación siempre está, por
lo que el objetivo es reducirlo hasta un nivel que se considere aceptable para la empresa u
organización. Para reducir ese riesgo, es necesario establecer medidas, políticas y
herramientas para minimizar cualquier amenaza que ponga en peligro la información. De
esta manera se puede definir a la Seguridad de la Información como el conjunto de medidas,
políticas y herramientas que tiene como objetivo proteger los activos de información.
Una manera de asegurar la información es siguiendo normas como la ISO 27001 [13]. Esta
norma además de definir una serie de requisitos a implementar para una correcta gestión de
la seguridad de la información, tiene como principio básico lo que se conoce como tríada de
la información: Confidencialidad, Integridad y Disponibilidad. Estos tres aspectos son
fundamentales a la hora de elaborar y llevar a cabo las medidas y políticas necesarias para
prevenir, detectar y responder ante los riesgos a los que se puede estar expuesto.
Triada de la Información
Como fue descrito, cuando se habla de la Triada de la Información, se refiere a los tres
componentes (más precisamente, cualidades) que debe tener la información para
considerarse segura en cualquiera de sus formas y/o estados. De esta manera, es importante
saber en qué consisten estos tres elementos tomando como referencia las definiciones
otorgadas por ISACA Fundamentals [14].
7
La Confidencialidad es la protección de la información contra el acceso no autorizado o la
divulgación. Distintos tipos de información requieren distintos niveles de confidencialidad.
Por ejemplo, la información puede ser:
● Restringida: es la información más importante que posee una empresa u
organismos. Pueden incluir secretos comerciales que, si se divulgan, podrían tener un
impacto catastrófico.
● Confidencial: se trata de datos que las empresas deben mantener confidenciales (en
función de la necesidad de conocerlos). Muchas veces, este tipo de datos está
asociado con algunas regulaciones externas, y pueden aplicarse sanciones y multas si
se divulgan.
● Privada: es la información más confidencial. Sin embargo, no está destinada al
público y debe mantenerse dentro de la organización.
● Pública: ya la información tiene distribución pública (por ejemplo, se la puede
encontrar en la red).
De esta manera, de la pérdida de confidencialidad pueden resultar las siguientes
consecuencias: la divulgación de información protegida por leyes de privacidad; la pérdida
de confianza del público y de ventaja competitiva; derivar en acciones legales contra la
empresa; y en algunos casos, la interferencia con la seguridad nacional
La Integridad, por su parte, es la protección de la información contra la modificación no
autorizada. Se refiere a que la información no debe sufrir ningún tipo de manipulación sin
permisos, por ejemplo, al recibir un dato luego de ser transmitido, éste debe ser exactamente
igual al dato enviado. La pérdida de integridad puede resultar en: imprecisión, decisiones
erróneas, fraude.
Por otro lado, la Disponibilidad garantiza el acceso oportuno y confiable al uso de la
información y los sistemas. Esto incluye medidas para asegurarse que los datos no se
eliminen de forma accidental o malintencionada. Cualquier problema en la disponibilidad de
la información, puede resultar en una pérdida de productividad e ingresos. Del mismo modo,
la pérdida de datos puede afectar la capacidad de la dirección para tomar decisiones y
respuestas efectivas.
Es importante mencionar que estos tres conceptos, además de ser independientementefundamentales dentro de la seguridad de la información, se relacionan entre sí en un sistema
8
interconectado. Por ejemplo, cualquier violación de la integridad puede ser el primer paso de
un ataque exitoso contra la disponibilidad o confidencialidad de la información.
La Ciberseguridad
Para comenzar, es importante desarrollar qué entendemos por Ciberseguridad. Si bien se
tiene una percepción general sobre lo que representa, continúa siendo un término en
constante discusión. Por ejemplo, al día de hoy la palabra Ciberseguridad no está en el
Diccionario de la Lengua de la Real Academia Española. Esto llevó a que diferentes autores y
organizaciones necesiten desarrollar una definición que se ajuste a las ideas que pretenden
expresar. A continuación se citarán algunas definiciones seleccionadas:
1. “La ciberseguridad consiste en gran medida en métodos defensivos utilizados para
detectar y frustrar a los posibles intrusos”[15].
2. “La ciberseguridad implica la protección de las redes informáticas y la información
que contienen a partir de la penetración y del daño o interrupciones maliciosas.”[16]
3. “La ciberseguridad es el conjunto de herramientas, políticas, conceptos de seguridad,
garantías de seguridad, directrices, enfoques de gestión de riesgos, acciones,
capacitación, mejores prácticas, garantías y tecnologías que se pueden utilizar para
proteger el entorno cibernético y los activos de la organización y del usuario.”[17]
4. “La capacidad de proteger o defender el uso del ciberespacio de los ciberataques.”[18]
5. “La actividad o proceso, habilidad o capacidad, o estado mediante el cual los sistemas
de información y comunicaciones y la información contenida en ellos están
protegidos y/o defendidos contra daños, uso o modificación no autorizados, o
explotación.”[19]
6. “Protección de activos de información, a través del tratamiento de amenazas que
ponen en riesgo la información que es procesada, almacenada y transportada por los
sistemas de información que se encuentran interconectados.” [14]
7. “Preservación de la confidencialidad, la integridad y la disponibilidad de la
información y/o de los sistemas de información a través del medio cibernético.
Asimismo, pueden estar involucradas otras propiedades, tales como la autenticidad,
la trazabilidad, el no repudio y la confiabilidad.”[20]
Ante estas definiciones y teniendo en cuenta que, la seguridad como tal no existe en su
totalidad; que la información puede ser encontrada en diferentes estados (procesada,
almacenada, transportada); que la ciberseguridad es una rama de la seguridad de la
información que se enfoca solo en activos digitales; se puede definir la Ciberseguridad como
un conjunto de medidas, políticas y herramientas que protegen a los activos digitales en
9
todos sus estados de las amenazas del ciberespacio, garantizando su confidencialidad,
integridad y disponibilidad.
Ciberespacio y Ciberataque
Muchas de las definiciones encontradas sobre Ciberseguridad se mencionan palabras como
Ciberespacio y Ciberataque. Es por eso necesario describir qué se entiende por cada uno de
estos términos.
Por un lado, el prefijo ciber siempre está relacionado con el mundo de las computadoras y de
la realidad virtual. Esto nos puede llevar a definir al ciberespacio como el espacio virtual
creado con medios cibernéticos. Esta definición es algo apresurada, ya que hablar sólo de
espacio virtual nos da a entender que ese espacio sólo está compuesto por elementos no
físicos, lo cual a la hora de defendernos de las amenazas del ciberespacio, dejaríamos afuera
algo muy importante: los componentes físicos que crean ese espacio no físico. Por ejemplo, si
se implementan diferentes tecnologías que previenen, detectan y responden a incidentes
cibernéticos, pero no existe seguridad física, existe un riesgo latente de que los activos de una
organización se vean comprometidos. Ante esto se toma la definición del Manual de Tallinn
[21] que describe al ciberespacio como: “El entorno formado por componentes físicos y no
físicos, caracterizados por el uso de computadoras y el espectro electromagnético para
almacenar, modificar e intercambiar datos a través de redes informáticas”.
Por otro lado, el término Ciberataque el cual NIST [22] lo define como: “Un ataque, a través
del ciberespacio, dirigido al uso del ciberespacio por parte de una empresa con el propósito
de interrumpir, deshabilitar, destruir o controlar maliciosamente un
entorno/infraestructura informática; o destruir la integridad de los datos o robar
información controlada”. Algo para aclarar, si bien NIST hace referencia a que los ataques se
dan sobre el ciberespacio de una empresa, también los ciberataques se dan sobre el
ciberespacio de otras entidades, por ejemplo de una Nación. Los tipos de ciberataques
conocidos son:
● Ataques a contraseñas: Fuerza Bruta, Ataque por Diccionario.
● Ataques por Ingeniería Social: Phising, Batiting, Spam.
● Ataques a Conexiones: Spoofing, redes trampa (Wifi falsas)
● Ataques por Malware: Virus, Ransomware, Adware, Spyware, Troyanos, Gusanos,
Rootkit, Botnets.
10
Ataques en la Actualidad
Si bien estos ataques siguen existiendo en la actualidad, provocando problemas en las
organizaciones y usuarios finales, éstos muchas veces se dan de forma no dirigida. Un
ejemplo práctico de un ataque no dirigido es cuando un atacante sube a Internet un Malware
enmascarado en una aplicación, y un usuario descarga este contenido sin saber que será
infectado. Es decir, el atacante si bien tiene el propósito de infectar y tomar control de los
sistemas, no lo dirige hacia una organización o usuario en particular. Desde hace unos años
esos ataques comenzaron a ser dirigidos, es decir, tienen como objetivo una empresa o redes
gubernamentales, debido a que la motivación (monetaria, política, etc) es mayor. Ante esto,
los ataques se han ido complejizando. Ya no se trata de que un antivirus detecte un archivo
malicioso y lo elimine o lo envíe a cuarentena. El atacante (en estos casos, son grupos u
organizaciones) desarrolla un conjunto de tácticas y técnicas de ataque con el objetivo de
obtener información valiosa sin ser detectado. Estos ataques se conocen comúnmente como
Amenaza Avanzada Persistente (APT por sus siglas en Inglés de, Advanced Persistent
Threat). Estas amenazas son Avanzadas porque se hacen mediante múltiples vectores de
ataque y son Persistentes, debido a que establecen su presencia ilícita durante un largo
periodo de tiempo.
Como indica Kaspersky [23], los hackers logran hacer este estilo de ataques en una serie de
etapas:
● Etapa 1: Obtener Acceso. Al igual que un ladrón fuerza una puerta con una
palanqueta, para insertar malware en una red objetivo, los cibercriminales suelen
obtener acceso a través de una red, un archivo infectado, el correo electrónico basura
o la vulnerabilidad de una aplicación.
● Etapa 2: Infiltrarse. Los cibercriminales implantan malware que permite crear
una red de puertas traseras y túneles utilizados para desplazarse por los sistemas de
manera desapercibida. A menudo, el malware emplea técnicas como reescribir el
código para ayudar a los hackers a ocultar sus rastros.
● Etapa 3: Intensificar el Acceso. Una vez dentro, los hackers utilizan técnicas
como el quebrantamiento de contraseñas para acceder a los derechos de
administrador, aumentar el control sobre el sistema y obtener mayores niveles de
acceso.
● Etapa 4: Desplazamiento horizontal (Movimiento Lateral). Con un mayor
nivel de incursión dentro del sistema gracias a los derechos de administrador, los
hackers pueden moverse por este a voluntad. También pueden intentar acceder a
otros servidores y a otras partes seguras de la red.
11
● Etapa 5: Mirar, Aprender y Permanecer. Desde el interior del sistema, los
hackers obtienen una completa comprensión de su funcionamiento y sus
vulnerabilidades, lo que les permite hacer uso de la información que desean.
Los hackers pueden intentar mantenereste proceso en funcionamiento, posiblemente de
manera indefinida, o retirarse después de cumplir un objetivo específico. A menudo, dejan
una puerta abierta para acceder al sistema de nuevo en el futuro.
En síntesis, en la actualidad nos podemos encontrar con diferentes ciberataques. Algunos
pueden ser detectados mediante escaneos periódicos y comparando con archivos contra
bases de datos en constante actualización, lo que se conoce como detección basada en firmas.
Y, por otra parte, existen ataques que pueden ser detectados en base a su comportamiento,
gracias al monitoreo y la correlación de eventos, que nos pueden dar un indicio de si un
atacante está aplicando alguna técnica y/o técnica conocida.
Modelos y Marcos de Ciberseguridad
Es sabido que distintos sectores de la industria y la administración pública están
presenciando la era de la Transformación Digital. La posibilidad de interoperabilidad de los
sistemas, la automatización de procesos y el crecimiento del trabajo remoto son algunos de
los ejemplos visibles de esta transformación, que nacen ante la necesidad de adaptarse y
aprovechar las facilidades que brinda el mundo digital. Esas capacidades tienen un núcleo en
común: acceso a la información, tanto a la que se genera como a la que se necesita. Ahora
bien, esa accesibilidad se da tanto para lo bueno como lo malo. Es decir, “salir a internet”
también puede ser un problema si no se toman los recaudos necesarios. O al menos, es
necesario tener presente que existen riesgos y amenazas. Para eso es necesario implementar
un modelo de ciberseguridad y/o seguir marcos establecidos por entidades importantes a
nivel mundial, con el objetivo que se mencionó con anterioridad: proteger los activos.
Modelo de Defensa Perimetral
Para comprender este modelo, es necesario conocer el contexto histórico en el que se dió. Si
nos remontamos a los años donde las organizaciones y empresas contaban con la totalidad
de sus activos informáticos dentro de su red (Intranet), para soportar posibles ataques
externos era suficiente establecer un perímetro de red que delimita el lado público del
privado. De esta manera, tanto la entrada como salida de esa red a Internet se realizaba sólo
por un único punto de acceso. Los principales dispositivos que incluyen la seguridad
perimetral son (Figura 1): firewall, routers fronterizos, sistema de detección de intrusos
12
(IDS), sistema de prevención de intrusiones (IPS), Zonas desmilitarizadas (conocida también
como DMZ, sigla en inglés de demilitarized zone). La seguridad perimetral consiste, por
tanto, en la protección de ese perímetro de red para evitar cualquier ataque o intrusión que
pueda afectar a la red de una empresa [24].
Figura 1: Ejemplo de un modelo de defensa perimetral
Sin embargo, dejar todo en manos de la seguridad perimetral puede ser un gran problema:
en caso de que se pase este perímetro ya no existirán defensas que frenen un ataque. Por
ejemplo, un usuario puede recibir un correo electrónico con contenido malicioso que puede
derivar en la instalación de un ransomware y cifrar los archivos de la organización.
Modelo de Defensa en profundidad
Dado que solo con la seguridad perimetral no alcanza para defenderse de un ataque, es
necesario pensar acciones complementarias. Aquí es donde aparece el concepto de Defensa
en profundidad (en Inglés, Defense-in-Depth). Según NIST [22], la Defensa en profundidad
es una estrategia de seguridad de la información que integra personas, tecnología y
capacidades operativas para establecer barreras en múltiples capas (como lo indica la
Figura 2) y dimensiones de la organización. Este enfoque tiene el propósito de reducir la
posibilidad de exista un ataque, ya que ante el compromiso de uno de los puntos de
seguridad del sistema, existen otras líneas defensivas que pueden contener el avance hacia el
13
objetivo del atacante. Es decir, en vez de contar solo con una línea fortificada como plantea el
enfoque de seguridad perimetral, esta estrategia propone varias capas de protección.
Figura 2: Modelo de Defensa en profundidad
Políticas, Procedimientos, Concientización
En esta primera capa, también conocida como Factor Humano, se definen las Políticas y
Procedimientos que debe seguir toda la organización de forma obligatoria; en la que se
establecen Roles y Responsabilidades; y donde se lleva a cabo la Concientización del personal
en todos sus niveles. En esta capa se tiene en cuenta normas internacionales, legislaciones,
pero también se definen los activos a proteger, y el valor de los mismos.
14
Seguridad Física
La seguridad física contempla todo aquello que pueda ser comprometido físicamente. Es
decir, se enfoca en la prevención, detección y respuesta ante el peligro de un activo físico de
una organización. Para ello se establecen diferentes mecanismos como:
● Protección de Ubicaciones físicas: perímetro de seguridad segmentado.
● Controles de acceso: lector biometrico, huella, controles físicos ID
● Monitorización de accesos: Sistemas de Videovigilancia, no impiden el acceso pero
registran accesos.
● Sistemas de limitación de accesos: vallas, muros, guardias
● Sistemas de seguimiento de personas o activos: Vehiculos, GPS, dispositivos moviles
● Sistemas de protección de Datacenter: ante un incendio, terremoto, redundancia
física un datacenter de contingencia.
● Sistemas de protección de cableado
En la actualidad, con el surgimiento de los servicios en la Nube (Cloud), la seguridad en esta
capa está contemplada por aquellos que prestan estos tipos de servicio. Esto puede ser una
ventaja o una desventaja, dependiendo del enfoque. Por ejemplo, tercerizar la seguridad de
esta capa para una pequeña o mediana empresa, puede significar disminuir costes en
tecnología y personal. Sin embargo, para cualquier organismo público prescindir del control
de esta capa es delicado, ya que se pone en juego activos que atañan a la ciberdefensa de una
nación.
Seguridad Perimetral
Como se desarrolló anteriormente, esta capa es la encargada de securizar el perímetro de la
red. Donde se define que tráfico puede ingresar desde internet y que puede salir desde la red
corporativa. Firewall, DMZ, HoneyPot, DLP, IDS,VPN,WAF.
Seguridad de Red
Una vez que se divide la parte perimetral, ya nos adentramos en la red interna. Aquí es
donde entra en juego la segmentación de la red, que consiste en dividir lógicamente la red
física con el objetivo de disminuir el riesgo ante un impacto. Por ejemplo, si una estación de
trabajo es impactada, y esa máquina sólo tiene acceso a la red donde se encuentra, no será
posible para el atacante acceder a la subred donde se encuentran los servidores.
Se implementan alguno de los siguientes controles:
● NAC (Network Access Protection )
● Seguridad con respecto a sistemas de mensajería o Mail Security Gateway.
15
● Seguridad en redes inalámbricas.
● Protección en sistemas de VOIP
● Firewall de Red Interna
● Monitoreo de Seguridad
● NIDS/NIPS
Seguridad de Host
Si bien la seguridad en la red interna disminuye la superficie de ataque, no se está exento de
que haya un impacto a una máquina o lo que es peor, a un servidor de la red corporativa.
Ante esto, esta capa se enfoca en la seguridad del Host. Un Host puede ser un servidor o una
máquina de un usuario (endpoint) que, para protegerlo, se le realiza un hardening al sistema
operativo y se implementan una serie de controles como:
● Desktop Firewall
● Soluciones de Seguridad de Endpoint
● Gestores de Actualizaciones
● HIDS/HIPS
Seguridad en Aplicaciones
Pasada la capa de seguridad del host, es el momento de proteger aquellas aplicaciones y/o
bases de datos que se encuentran en el host. Esta capa se enfoca en aquellas organizaciones
que desarrollan y/o tienen servicios propios, por lo cual es necesario que esas aplicaciones
estén securizadas. Para eso es necesario que existan:
● Política de contraseñas
● Controles de accesos
● Autenticación y Autorización
● 2FA● Web Application Firewalls
● Pruebas de Aplicaciones Dinámicas
● Monitoreo de Base de datos
● Firewall de Base de datos
Seguridad con respecto a Datos
Por último, llegamos al activo más importante de una organización, los datos. Como se
desarrolló anteriormente, los datos pueden encontrarse en diferentes estados: procesados,
almacenados o transportados. En cada uno de ellos, es necesario protección y control. En
esta capa intervienen:
16
● Borrado seguro.
● DLP: Data Log Prevention
● Cifrado (Bitlocker).
● Implementación de PKI
● Clasificación de la información.
● Respaldo
● Plan de Recuperación ante desastres
● Auditoría de accesos y eventos
● Implementación de sistemas de Identidad y gestión de acceso.
Como es de suponer, aplicar esta estrategia tiene un costo asociado. La defensa en
profundidad implica la contratación de personal técnico para las diferentes áreas, servicios
de terceros y tecnología. Por ello, es necesario que la organización realice una evaluación del
valor de sus activos, y a partir de allí, diseñar e implementar las capas de seguridad que se
consideren necesarias.
Marco de Ciberseguridad
Para enfrentar a los ataques complejos, se han establecido marcos de ciberseguridad, con el
objetivo de que una organización y/o empresa, sin importar su tamaño, pueda establecer una
estrategia de ciberseguridad; comprender las tacticas, tecnicas y procedimientos (TTP) de un
ataque; gestionar y reducir los riesgos; y cumplir normativas y/o leyes de datos. Estos
marcos están basados en el conocimiento generado a partir de años de investigación.
Marco de Ciberseguridad de NIST
El marco de seguridad cibernética (CSF) del NIST es una referencia para los estándares, las
pautas y las mejores prácticas para administrar el ciclo de vida de las amenazas. Según el
marco [25], para gestionar la seguridad de los activos son necesarias las siguientes
actividades:
● Identificar: Consiste en desarrollar una comprensión organizacional para
minimizar el riesgo de los sistemas, activos, datos y capacidades. Esto permite a una
organización enfocar y priorizar sus esfuerzos, de acuerdo con su estrategia de
gestión de riesgos y las necesidades comerciales. Los ejemplos de categorías de
resultados dentro de esta función incluyen: Gestión de Activos; Entorno de Mercado;
Gobernanza; Evaluación de riesgos; y Estrategia de Gestión de Riesgos.
● Proteger: Consiste en desarrollar e implementar medidas de seguridad adecuadas
para garantizar la prestación de servicios críticos. La función de protección admite la
17
capacidad de limitar o contener el impacto de un posible evento de ciberseguridad.
Los ejemplos de categorías de resultados dentro de esta función incluyen: Gestión de
Identidad y Control de Acceso; Sensibilización y Formación; Seguridad de datos;
Procesos y Procedimientos de Protección de la Información; Mantenimiento; y
Tecnología de Protección.
● Detectar: Consiste en desarrollar e implementar actividades apropiadas para
identificar la ocurrencia de un evento de ciberseguridad. La función de detección
permite el descubrimiento oportuno de eventos de ciberseguridad. Ejemplos de
Categorías de resultados dentro de esta función incluyen: Anomalías y Eventos;
Monitoreo Continuo de Seguridad; y Procesos de Detección.
● Responder: Consiste en desarrollar e implementar actividades apropiadas para
tomar medidas con respecto a un incidente de ciberseguridad detectado. La función
de respuesta admite la capacidad de contener el impacto de un potencial incidente de
ciberseguridad. Los ejemplos de categorías de resultados dentro de esta función
incluyen: Planificación de la Respuesta; Comunicaciones; Análisis; Mitigación; y
Mejoras.
● Recuperar: Consiste en desarrollar e implementar actividades apropiadas para
mantener los planes de resiliencia y restaurar cualquier capacidad o servicio que se
vio afectado debido a un incidente de ciberseguridad. La función de recuperación
admite la recuperación oportuna de las operaciones normales para reducir el impacto
de un incidente. Los ejemplos de categorías de resultados dentro de esta función
incluyen: planificación de la recuperación; mejoras; y Comunicaciones.
Es importante mencionar, que estas cinco funciones básicas que propone el marco no son
estáticas, ni mucho menos, para ser realizadas en ese orden. Por el contrario, estas
actividades deben ser desarrolladas de manera simultánea y continua (Figura 3), lo que se
conoce como Mejora Continua.
18
Figura 3: Fases del marco NIST
Cyber Security Kill Chain
Este es uno de los marcos o modelo creado por científicos informáticos de Lockheaed Martin
Corporation [25], que se enfoca en la esencia de una intrusión: el atacante debe desarrollar
técnicas para pasar a un entorno de confianza, permanecer en ese entorno y, a partir de ahí,
emprender acciones a sus objetivos, con diferentes tacticas, tecnicas y procedimientos. Es
decir, como los ataques ocurren en etapas, es necesario conocer cada una de ellas para
detenerlo, en cualquiera de sus fases. Las etapas de este modelo son:
1. Reconocimiento (Reconnaissance): Investigación, identificación y selección
de objetivos, muchas veces a través de técnicas como Web Crawling que rastrean lista
de mails, conferencias públicas, etc. Es decir, es el momento donde se recopila la
información del objetivo.
2. Preparación (Weaponization): En esta etapa se prepara el ataque de forma
específica sobre un objetivo. Por ejemplo, el desarrollo de un exploit (arma) para
atacar vulnerabilidades específicas de una organización.
3. Distribución (Delivery): Transmisión del “arma” al objetivo. Por ejemplo
mediante archivos adjuntos de correo electrónico, sitios web y medios extraíbles
como un USB.
4. Explotación (Exploitation): Después de que el arma es distribuida al Host de la
víctima, comienza la fase de explotación del ataque. En la mayoría de los casos, la
explotación tiene como objetivo una aplicación o una vulnerabilidad del sistema
operativo.
19
5. Instalación (Installation): Como lo indica su nombre, es la fase donde se
instala el Malware de la victima.La instalación de un troyano de acceso remoto o
puerta trasera en el sistema de la víctima permite que el adversario mantenga la
persistencia dentro del entorno.
6. Comando y Control (Command and Control -C2-): En este punto el
atacante ya cuenta con el control del sistema de la víctima. Por lo general, los hosts
comprometidos deben enviar una baliza de salida a un servidor de controlador de
Internet para establecer un canal C2. El malware requiere especialmente la
interacción manual en lugar de realizar la actividad automáticamente. Una vez que se
establece el canal C2, los intrusos tienen acceso dentro del entorno de la víctima. De
esta manera se pueden sustraer credenciales, tomar capturas de pantallas, tomar
documentación confidencial, instalar programas, etc.
7. Acciones sobre los Objetivos (Actions on Objectives): Esta fase final
implica realizar las acciones por las cuales se atacó el objetivo. Por lo general, se trata
de efectuar una exfiltración de datos, lo que implica recopilar, cifrar y extraer
información del entorno de la víctima; las violaciones de la integridad o
disponibilidad de los datos también son objetivos potenciales. Alternativamente, los
intrusos pueden desear solo acceder a la caja de la víctima inicial para usarla como un
punto de salto para comprometer sistemas adicionales y moverse lateralmente dentro
de la red.
MITRE ATT&CK
El marco MITRE ATT&CK [27] es una base de conocimiento accesible a nivel mundial de
tácticas y técnicas del adversario basadas en observaciones del mundo real. Los
conocimientos de ATT&CK se utilizan como base para el desarrollo de metodologías y
modelos de amenazas específicos en el sector privado, en el gobierno y en la comunidad de
productos y servicios de ciberseguridad. Es decir, este marco utiliza evidencia para
comprender como se manifiestan las tácticas, técnicas y procedimientosque utiliza un
atacante.
ATT&CK dispone de tácticas donde, por cada una de ellas, se describen múltiples técnicas
que un atacante puede utilizar mediante diferentes procedimientos para hacerse con un
sistema.
20
Figura 4: Matriz de Mitre ATT&CK
1
Marcos para Cumplimiento Normativo
Cabe destacar que comúnmente los marcos de ciberseguridad son usados de manera
obligatoria por las empresas para cumplir con regulaciones estatales, globales e industriales.
Algunos ejemplos son:
PCI DSS [28]: Las Normas de seguridad de datos de la industria de tarjetas de pago (PCI
DSS) se desarrollaron para fomentar y mejorar la seguridad de los datos del titular de la
tarjeta y facilitar la adopción de medidas de seguridad uniformes a nivel mundial. Las PCI
DSS proporcionan una referencia de requisitos técnicos y operativos desarrollados para
proteger los datos de los titulares de tarjetas. Las PCI DSS se aplican a todas las entidades
que participan en el procesamiento de tarjetas de pago, entre las que se incluyen
comerciantes, procesadores, adquirentes, entidades emisoras y proveedores de servicios,
como también todas las demás entidades que almacenan, procesan o transmiten CHD (datos
del titular de la tarjeta) o SAD (datos de autenticación confidenciales).
1
Fuente de la Figura:
https://natasec.com/wp-content/uploads/2020/02/interfaz_MITRE_ATTCK_Navigator_natas
ec-980x631.jpg
21
https://natasec.com/wp-content/uploads/2020/02/interfaz_MITRE_ATTCK_Navigator_natasec-980x631.jpg
https://natasec.com/wp-content/uploads/2020/02/interfaz_MITRE_ATTCK_Navigator_natasec-980x631.jpg
HIPAA [29]: La norma de confidencialidad de la Ley de Portabilidad y Responsabilidad de
Seguros Médicos (Health Insurance Portability and Accountability Act, HIPAA) protege los
datos médicos personales y evita su uso indebido. Otorga a la persona el derecho a solicitar y
examinar su historia clínica e indicar a los proveedores de atención de la salud y las
compañías aseguradoras a quiénes pueden divulgar esta información. La ley también fija
normas de seguridad para establecer y mantener los registros electrónicos sobre la salud de
la persona.
ISO 27001 [13]: La Organización Internacional de Estandarización (ISO), a través de las
normas recogidas en ISO/IEC 27000, especifica los requisitos necesarios para establecer,
implantar, mantener y mejorar un sistema de gestión de la seguridad de la información
según el conocido “Ciclo de Deming”: denotado por las siglas PDCA - acrónimo de Plan, Do,
Check, Act (Planificar, Hacer, Verificar, Actuar).
GDPR [30]: El Reglamento General de Protección de Datos (GPDR, por sus siglás en inglés
de General Data Protection Regulation ) es el reglamento europeo relativo a la protección de
las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre
circulación de estos datos.
NIST 800-53 [22]: proporciona un catálogo de controles de seguridad y privacidad para los
sistemas federales y organizaciones de información, así como un proceso para seleccionar
controles para proteger las operaciones y activos organizacionales, individuos, otras
organizaciones y la Nación, de un conjunto diverso de amenazas.
Security Operation Center
Como se detalló, una organización debe definir una estrategia de seguridad, siguiendo
modelos y/o marcos de ciberseguridad; diseñar una arquitectura segura; realizar controles
administrativos, como políticas, normas, procedimientos y cumplimiento legal, etc. Pero
también es necesario saber de qué manera se supervisarán las actividades diarias. Es decir,
de qué manera se securizarán las operaciones de una organización. Es aquí donde entra el
juego el concepto de SOC. Un Centro de Operaciones de Seguridad (Security Operations
Center - SOC, en inglés), es una solución global para la seguridad de las operaciones. Si bien
hay varios enfoques de lo que significa un SOC, estos centros se podrían definir como una
combinación de personas, procesos, tecnologías, GRC (Governance, Risk & Compliance),
22
para identificar, detectar y mitigar amenazas de manera efectiva, idealmente antes de que
ocurra cualquier daño [31].
Según ISACA [32], los SOC son responsables de monitorear y proteger los activos de la
organización, incluida la propiedad intelectual, los datos personales/confidenciales, los
sistemas comerciales, la infraestructura crítica y la reputación de la marca frente a las
amenazas de ciberseguridad. Los SOC sirven como los ojos y los oídos de una organización,
activan la alarma cuando ocurren eventos de ciberseguridad sospechosos o anormales y
permiten una respuesta rápida para reducir el impacto en la organización.
Tecnologías SOC
Durante el desarrollo del modelo de seguridad en profundidad, se fueron nombrando
diferentes tecnologías que son aprovechadas para securizar cada capa. Sin embargo,
implementar un SOC nos lleva a tener que simplificar las formas que vemos las amenazas y
los controles de seguridad con una mirada más holística. Es decir, ya no alcanza con tener
soluciones individuales sino que se pretende que las tecnologías tengan la capacidad de
correlacionar eventos y responder ante una amenaza. Ante esto, y con el objetivo de proteger
las tres superficies de ataque (Nube, Red, Endpoint), es que surgen tecnologías como SIEM,
EDR y XDR.
SIEM
En lo que refiere a soluciones tecnológicas que proveen un SOC, es indispensable contar con
un SIEM (Security Information Event Management). Los profesionales y analistas de
seguridad utilizan el sistema SIEM para monitorear, identificar, documentar y, a veces,
responder a incidentes [33]. Esta tecnología aprovecha que los principales productos de
hardware y software, como firewalls, switches, IPS/IDS, servidores, etc, crean archivos de
registros (logs) que necesitan ser gestionados [34]. Además de la gestión de logs, los SIEM
están pensados para proporcionar [33]:
● IT Regulatory Compliance: a partir de los logs, se pueden generar reglas para
auditar y validar cumplimientos normativos.
● Correlación de Eventos: mediante varios eventos registrados, se puede verificar si
existe una relación entre ellos para poder elegir reaccionar o no. Es decir, dado un
conjunto de eventos, la herramienta analiza si corresponde disparar una alarma o no.
● Respuesta Activa: tomar acciones automáticas frente a incidentes.
● Endpoint Security: monitoreo de PCs, servidores, componentes de red.
23
CrowdStrike, una empresa conocida de ciberseguridad, proporciona explicaciones, ejemplos
y mejores prácticas sobre los principios fundamentales de una variedad de temas de
ciberseguridad. Entre ellos, características comunes que tiene una solución SIEM [35]:
● Dashboard: Un panel único proporciona una forma fácil de usar para que el
personal del SOC interactúe con los datos, administre alertas, realice un
seguimiento del estado y la actividad de los productos de protección de
vulnerabilidades e identifique los sistemas que ya no se analizan en busca de
vulnerabilidades.
● Capacidades analíticas: Obtiene información de grandes cantidades de datos y
aplica Machine Learning para identificar automáticamente las amenazas
ocultas. Los SIEM basados en análisis pueden combinar datos operativos de
TI e inteligencia de seguridad para permitir la identificación de una
vulnerabilidad específica.
● Detección avanzada de amenazas: utiliza el monitoreo de la seguridad de la
red, la detección de Endpoint y el análisis de comportamiento para identificar
y poner en cuarentena nuevas amenazas potenciales, y correlaciona las
defensas en diferentes estilos de amenazas persistentes avanzadas (APT).
● Inteligencia de amenazas (Threat Intelligence): correlaciona datos actuales
sobre indicadores de compromiso (IOCs) y tácticas, técnicas y procedimientos
(TTP) del adversario en contexto con otra información sobre incidentes y
actividades para facilitar la exposición de eventos anormales.
● Informes de Cumplimiento (Compliance): Los registros de cada host que debeincluirse en los informes se transfieren de forma regular y automática al
SIEM, donde se agregan en un solo informe que se puede personalizar para
generar informes de cumplimiento enriquecidos en uno o varios hosts. Las
capacidades de generación de informes cumplen con los requisitos
obligatorios de PCI DSS, HIPAA y GDPR, anteriormente detallados.
EDR
Siguiendo las evidencias que se explayaron anteriormente, donde se demuestran que en los
últimos años los ataques se han ido complejizando (APT), ya no es suficiente contar con
soluciones tradicionales de detección basada en firmas, como por ejemplo, los antivirus. Esto
es debido a que la naturaleza de estos ataques está en evitar los Antivirus, se necesitan de
metodologías y/o tecnología que en base a la investigación del comportamiento de estos
ataques, se pueda detectar y responder ante amenazas. Para brindar un enfoque más general
sobre la protección de los endpoint, existen los sistemas de detección y respuesta del
endpoint (EDR, de sus siglas en inglés de Endpoint Detection and Response). Los EDR
24
correlacionan información y eventos recopilados, y en caso de detectar una amenaza o
comportamiento anómalo, permite actuar de forma inmediata y casi automática para poder
eliminar la amenaza o mitigar sus efectos.
El Instituto Nacional de Ciberseguridad de España (INCIBE) [36], destaca que el EDR
además de las características propias de un Antivirus, incorpora aplicaciones y herramientas
como:
● Herramientas de análisis apoyadas en el uso del aprendizaje automático (machine
learning) para mejorar la detección de amenazas.
● Sandbox: el sistema virtual y aislado de pruebas para comprobar el comportamiento
de los archivos descargados, por ejemplo.
● Escaneo de IOCs y reglas YARA2, que permiten analizar y detectar las amenazas
provocadas por amenazas complejas en tiempo real.
● El uso de listas blancas y negras de correos electrónicos, páginas web e IP.
● Interoperabilidad e interacción con otras herramientas de seguridad, como SIEM,
IPS/IDS o herramientas antimalware.
Para agregar, Crowdstrike, destaca seis razones [37] por las cuales tenes una solución EDR
debe ser parte de la estrategia de seguridad de una organización:
● Razón 1: La prevención por sí sola no puede garantizar una protección del
100%. Cuando la prevención falla, si no se dispone de una solución de
detección y respuesta es posible que los atacantes aprovechan esta situación
para quedarse y navegar dentro de la red.
● Razón 2: Los adversarios pueden estar dentro de la red de una organización
por largos periodos de tiempo e irse y regresar cuando quieran. De no
detectarse, los atacantes pueden moverse “silenciosamente” en el entorno de
una organización y crear puertas traseras que permitan volver cuando
quieran.
● Razón 3: Las organizaciones carecen de la visibilidad necesaria para
monitorear de manera efectiva un Endpoint. Cuando se descubre una brecha,
una organización puede pasar mucho tiempo tratando de remediar el
incidente porque carece de una visibilidad suficiente para comprender qué y
como sucedió, y como solucionar esa brecha.
● Razón 4: La necesidad de acceso a inteligencia para responder a un incidente.
Es posible que las organizaciones no solo carezcan de la visibilidad necesaria
para comprender lo que sucede en sus Endpoint, sino que es posible que no
2 https://yara.readthedocs.io/en/stable/
25
https://yara.readthedocs.io/en/stable/
puedan registrar lo que es relevante para la seguridad, y mucho menos,
recuperar la información con la suficiente rapidez cuando sea necesario.
● Razón 5: Tener los datos es solo una parte de la solución. Incluso cuando los
datos están disponibles, los equipos de seguridad necesitan los recursos
necesarios para analizarlos y aprovecharlos al máximo. Esta es la razón por la
que muchos equipos de seguridad descubren que poco después de
implementar un producto de recopilación de eventos, como un SIEM, a
menudo se enfrentan a un problema de datos complejo. Comienzan a surgir
los desafíos relacionados con saber qué buscar, la velocidad y la escalabilidad.
● Razón 6: La remediación puede ser prolongada y costosa. Sin las capacidades
enumeradas anteriormente, las organizaciones pueden pasar semanas
tratando de discernir qué acciones tomar. Casi siempre, el único recurso es
volver a crear una imagen de las máquinas, lo que puede interrumpir los
procesos comerciales, degradar la productividad y, en última instancia, causar
pérdidas financieras graves.
XDR
Desde que Nir Zuk, CTO y cofundador de Palo Alto Networks, acuño el término XDR
(eXtended Detection and Response [38], como una propuesta de salto de calidad de las
herramientas de detección y respuesta existentes en el mercado, las definiciones sobre esta
solución han sido variadas.
Según Gartner [39], “XDR es una plataforma unificada de seguridad y respuesta a incidentes
que recopila y correlaciona datos de múltiples componentes patentados. La integración a
nivel de plataforma ocurre en el punto de implementación en lugar de agregarse más tarde.
Esto consolida varios productos de seguridad en uno y puede ayudar a proporcionar mejores
resultados generales de seguridad. Las organizaciones deben considerar el uso de esta
tecnología para simplificar y optimizar la seguridad”.
Para Forrester [40] esta solución es “la evolución de EDR, que optimiza la detección,
investigación, respuesta y búsqueda de amenazas en tiempo real. XDR unifica las
detecciones relevantes para la seguridad del endpoint con telemetría de herramientas
comerciales y de seguridad, como análisis y visibilidad de red (NAV), seguridad de correo
electrónico, administración de identidad y acceso, seguridad en la nube y más. Es una
plataforma nativa de la nube basada en una gran infraestructura de datos para brindar a los
equipos de seguridad flexibilidad, escalabilidad y oportunidades de automatización.”
26
Beneficios de tener un XDR
En este sentido, lo que viene a resolver esta solución es hacer un poco más fácil el trabajo a
los analistas del SOC, debido a que acelera los tiempos de detección y respuesta ante
amenazas críticas. Por ejemplo, si bien el SIEM es una herramienta de gran ayuda para un
equipo de seguridad, ya que agrega registros y alertas de manera efectiva, a veces no puede
reconocer que distintas alertas (o eventos que no considera alertas) pertenecen al mismo
incidente. Aunado a estas características, XDR provee más beneficios [38]:
● Bloqueo de ataques conocidos y desconocidos con la protección de endpoint: Bloquea
malware, exploits, ataques sin archivo (File Less attacks) con antivirus basados en IA
e inteligencia de amenazas.
● Visibilidad de todos los datos: recopilación y correlación de todos los datos de
cualquier fuente para detectar, clasificar, investigar y responder a las amenazas.
● Detección automática de ataques sofisticados 24/7: uso de análisis out-of-the-box y
reglas personalizadas para detectar APT y otros ataques encubiertos.
● Reducción de alertas: se simplifican las investigaciones analizando la causa raíz, lo
que reduce la cantidad de alertas que se deben revisar y clasificar.
● Eliminar los adversarios sin interrumpir usuarios: al detener los ataques y responder
rápidamente, se evita tiempo de inactividad del usuario o del sistema.
● Cerrar las amenazas avanzadas: protege la red contra ataques externos e internos, el
ransomware, ataques sin archivo, ataques memory-only, y malware zero-day.
● Multiplicar la fuerza del equipo de seguridad: Detener cada etapa de una ataque
detectando indicadores de compromiso (IOC) y comportamiento anómalo, como
también priorizar el análisis utilizando una puntuación de incidentes, hace de XDR
un multiplicador de fuerza (Force Multiplier) importante para cualquier SOC.
● Restaurar Host post-incidente: brinda la posibilidad de recuperarse rápidamente de
un ataque eliminando archivos maliciosos y claves de registro, así como también
restaurando archivos dañadosy claves de registro utilizando sugerencias para la
remediación.
● Extender la detección y la respuesta a fuentes de datos de terceros: La integración con
registros recopilados de otras tecnologías (por ejemplo, de un firewall), permite hacer
un análisis de comportamiento y tener una vista unificada de incidentes y realizar un
análisis con mayor rapidez.
Tipos de XDR
En la actualidad, a los XDR que existen en el mercado se los clasifica como Propietario (o
Nativo) e Híbrido (también se lo conoce a Abierto, lo que se cree confuso porque se confunde
con código abierto). Forrester define estas clasificaciones de la siguiente manera:
27
● XDR híbrido: Una plataforma XDR que se basa en integraciones con terceros para la
recopilación de otras formas de telemetría y la ejecución de acciones de respuesta
relacionadas con esa telemetría.
● XDR nativo: Una suite XDR que se integra con otras herramientas de seguridad de su
cartera para la recopilación de otras formas de telemetría y la ejecución de acciones
de respuesta relacionadas con esa telemetría.
La necesidad de un XDR en las organizaciones
Para la mayoría de las organizaciones encuestadas por Enterprise Strategy Group (ESG) en
su trabajo de investigación “The Impact of XDR in the Modern SOC” [41], creen que XDR
puede proporcionar una solución que simplifique la visualización de ataques complejos y
ayude a comprender como progresan en las distintas etapas de la Kill Chain; como también
ven como una gran característica de este tipo de herramienta, poder realizar análisis
avanzados capaces de correlacionar eventos desde múltiples fuentes. Pero por sobre todas las
cosas, perciben que puede ser de gran ayuda en la ingesta de datos, hoy uno de los mayores
inconvenientes que presentan los SOC.
Si bien es una tecnología nueva y todavía los profesionales de ciberseguridad no tienen en
claro el potencial, Gartner [42] espera que para fines de 2027, hasta el 40% de las
organizaciones de usuarios finales utilizaran XDR”. No obstante, afirma que para 2023 el
30% de los proveedores de EDR y SIEM afirmaron proporcionar una solución XDR, a pesar
de que carecen de la funcionalidad básica de XDR.
28
Capítulo 3. Elección y análisis preliminar de la
herramienta.
Elección de la herramienta
Asumiendo que en algún momento existirán problemas de seguridad, es imperioso contar
con herramientas de seguridad informática que ayuden a reducir la superficie de ataque a la
que un sistema está expuesto. Como se introdujo anteriormente, tecnologías como EDR o
XDR contribuyen a la prevención, detección y respuesta a intrusiones, como también lo
hacen los firewalls, IDS (basados en red y host), etc. Ahora bien, tener una una mirada
holística sobre la arquitectura de la organización y centralizar toda la información
recolectada es sumamente necesario para cualquier equipo de seguridad. No solo por el
monitoreo en tiempo real, sino también porque la recopilación de las actividades permite,
por ejemplo, realizar análisis forense en caso de que haya ocurrido una violación de
seguridad. Aquí es donde cobra importancia la implementación de un SIEM, que se encarga
de gestionar y correlacionar los eventos que proveen cada uno de los sistemas de seguridad
mencionados.
Si bien existe una diversidad de plataformas de seguridad, la mayoría se trata de software
privativo. Esto significa que acceder a licencias es una gran inversión, ya que siempre son
cotizadas en dólares. A esto se suma que debido a las características legales de los
licenciamientos de ese tipo de herramientas, éstas resultan no auditables en base al secreto
comercial.
Criterios básicos para la elección
En base a lo mencionado, se tomaron los siguientes criterios de elección para la herramienta
a evaluar que se desprenden de los objetivos del trabajo propuesto.
● La plataforma debe ser Software libre (open-source).
● La plataforma debe tener licencia de uso sin costo asociado.
● La plataforma debe contar con abundante documentación y una comunidad de
soporte.
Dado los criterios establecidos, se excluyen las plataformas comerciales tradicionales como
las que se observan en el cuadrante mágico de Gartner 2021 respecto de plataformas SIEM
(Figura 5) y de protección de endpoints (Figura 6).
29
Figura 5: Cuadrante mágico de Gartner para SIEM (junio 2021)
30
Figura 6: Cuadrante mágico de Gartner para protecciones en el Endpoint (mayo 2021)
Además de los criterios básicos, se tuvieron en cuenta algunas especificaciones más para
acotar el espacio de posibles herramientas a evaluar:
● La plataforma debe ser escalable para lograr mínimamente una cobertura de
infraestructuras medianas (soporte para cientos de puestos de trabajo).
● La plataforma debe cumplir los criterios básicos en una versión completa (no en
una versión limitada).
● La plataforma debe ser fácilmente integrable con otras plataformas open-source.
● La plataforma debe poder ser desplegada en los sistemas operativos más utilizados
(mínimamente en las plataformas Windows, Linux, MacOS).
31
Los criterios adicionales ayudan a desestimar otras herramientas que cumplen con los
criterios básicos como SIEMonster
3
, OSSIM
4
, Mozdef
5
o Prelude OSS
6
. Finalmente,
siguiendo los requisitos de elección, se ha seleccionado Wazuh
7
, una suite que nació como
una bifurcación (comúnmente llamado fork) del proyecto OSSEC
8
(Open Source HIDS
SECurity), un reconocido HIDS multiplataforma de código abierto. La misma ha ido
creciendo con el tiempo, incorporando funcionalidades y nuevos componentes,
convirtiéndose así en una plataforma de seguridad que combina las características de un
SIEM y XDR. Si bien no era un criterio establecido, es importante agregar que la plataforma
cuenta con un equipo de soporte, capacitación y desarrollo en la República Argentina.
Descripción de la herramienta Wazuh
Una vez presentada la herramienta Wazuh, se describen sus componentes, arquitectura y
capacidades que brinda. Tener una primera impresión de la herramienta permitirá
establecer los pasos a seguir para realizar el análisis de la misma, que es el propósito de este
trabajo.
Según su documentación
9
, Wazuh está integrada fundamentalmente por cuatro
componentes: Agente, Manager, Indexador y Visualizador. El primero es un agente
multiplataforma y ligero que envía datos del sistema protegido (Endpoint) como logs, hashes
de archivos y anomalías detectadas a un gestor central (Manager) donde estos eventos
posteriormente se analizan y se correlacionan, para dar lugar a alertas de seguridad, en caso
de que así lo sean. Sin embargo, esta suite no solo se limita a recolectar y correlacionar
eventos, sino que a su vez tiene un indexador (Wazuh Indexer) el cual permite, valga la
redundancia, indexar los datos provenientes de los logs generados por el Manager. Esto
convierte a este componente en un motor de búsqueda muy potente capaz de manejar
grandes volúmenes de datos. Por último, la presentación de los datos es un componente muy
importante, ya que le brinda al equipo de seguridad una visibilidad del monitoreo de alto
nivel. Aquí es donde aparece Wazuh Dashboard, un entorno frontend que proporciona
paneles de control (dashboards), una visualización más amigable de los logs, y permite
realizar consultas al motor de búsqueda (Wazuh Indexer). Para comprender visualmente lo
descrito hasta ahora, la Figura 7 presenta los componentes y el flujo de datos que existe
entre ellos.
9 https://documentation.wazuh.com/current/index.html
8 https://www.ossec.net/
7 https://wazuh.com/
6 https://www.prelude-siem.org/
5 https://mozdef.readthedocs.io/en/latest/overview.html
4 https://cybersecurity.att.com/products/ossim
3 https://siemonster.com/
32
https://documentation.wazuh.com/current/index.html
https://www.ossec.net/
https://wazuh.com/
https://www.prelude-siem.org/
https://mozdef.readthedocs.io/en/latest/overview.html
https://cybersecurity.att.com/products/ossim
https://siemonster.com/
Figura 7: Componentesy flujo de datos de Wazuh.
Siguiendo el flujo de datos que refleja la Figura 7, se pueden visualizar las comunicaciones
entre los componentes. La primera es entre el Agente y el Manager, que dispone de dos
canales: uno para la autenticación y el otro donde ocurre el envío de datos. La segunda
comunicación es entre Manager e Indexer. Esta se da gracias a Filebeat
10
, un componente
liviano de Elastic
11
, que tiene la funcionalidad de enviar todos los eventos y alertas que
genere Wazuh Manager para ser indexados en Wazuh Indexer. Por último, Wazuh
Dashboard tiene un canal de comunicación con Indexer para poder realizar las consultas
necesarias; y, por otro lado, se comunica con el servicio de RESTful API del Manager para
proveerse de información relacionada con la configuración y estado, tanto del servidor de
Wazuh como de los agentes.
Como se introdujo, la información puede existir en diferentes estados, ya sea almacenada,
procesada o transmitida. Para las comunicaciones es importante enfocar la seguridad en la
transmisión de la información, ya que de ser comprometida podría causar, por ejemplo,
fugas de datos. Es decir que, por querer remediar los problemas de seguridad, se estarían
profundizando. Ante esto, Wazuh cifra estas comunicaciones. En el caso de la comunicación
Agente-Manager, los eventos generados en el endpoint se cifran antes de ser enviados
mediante AES, lo que permite comprobar si la información es auténtica y no ha sido alterada
durante la transmisión y que proviene desde el origen correcto. Por otro lado, para la
comunicación Manager-Indexer se utiliza el protocolo criptográfico TLS. Con el mismo
método, se encripta la comunicación entre Dashboard y el servicio REST API, a la que se
suma la autenticación mediante usuario y contraseña.
11 https://www.elastic.co/es/
10 https://www.elastic.co/es/beats/filebeat
33
https://www.elastic.co/es/
https://www.elastic.co/es/beats/filebeat
Capacidades
Retomando la Figura 7, se puede observar que tanto el agente como el manager disponen de
módulos. Éstos hacen a las capacidades que tiene esta herramienta. Es que Wazuh, en una
única arquitectura, unificó funcionalidades que históricamente estaban separadas. Su
documentación enumera varias de sus capacidades, entre las que se encuentran:
● Detección de Intrusiones en el Host: es la característica original de la
herramienta. Ya sea mediante el uso de firmas, índices de compromiso y/o
comportamiento anómalo, Wazuh tiene la capacidad de detectar malware y rootkits
conocidos. Además puede detectar procesos ocultos, puertos de red en escucha y
otras actividades no autorizadas o que son anómalas al comportamiento normal del
sistema.
● Análisis de Logs: como se mencionó recientemente, los agentes de Wazuh envían
los logs tanto del sistema operativo como de las aplicaciones. De igual manera, existe
la posibilidad que otros componentes o sistemas sin agente como routers, firewalls,
switches (gestionables) puedan enviar sus propios logs. Sin embargo, el solo hecho de
persistir esos logs, no aportaría nada a la visibilidad que cualquier equipo de
seguridad desea tener. Para ello, Wazuh dispone de un conjunto de decodificadores y
reglas (algunas propias y otras out-of-the-box) para que los datos que aportan esos
logs permitan identificar errores y/o anomalías de los sistemas monitoreados.
● Monitoreo de la Integridad de Archivos: el monitoreo de archivos de Wazuh
consiste en identificar cambios tanto en el contenido de los archivos, como en sus
permisos y otros atributos. Además, en conjunto con herramientas de auditoría de
Windows y Linux, brinda la posibilidad de supervisar que usuario hizo los cambios en
los archivos junto con el nombre del programa o proceso utilizado. El monitoreo de la
integridad de los archivos es una característica fundamental si se quiere prevenir y
detectar accesos no autorizados a información importante y/o confidencial de un
organismo y/o empresa.
● Detección de Vulnerabilidades: Wazuh es capaz de detectar vulnerabilidades en
aplicaciones instaladas en los endpoints utilizando el módulo de Detección de
Vulnerabilidades. Gracias a este módulo, los agentes recopilan información de sus
paquetes instalados en un inventario que se envía periódicamente al manager, quien
se encarga de contrastar contra fuentes de vulnerabilidad indexadas por Canonical,
Debian, Red Hat, Arch Linux, ALAS (Amazon Linux Advisories Security), Microsoft y
National Vulnerability Database. Esto permite conocer qué debilidades tiene un
sistema para poder robustecerlo y/o tomar acciones antes que las vulnerabilidades
sean explotadas.
34
● Evaluación de la Configuración: Wazuh cuenta con un módulo (Security
Configuration Assessment) que le da la capacidad realizar evaluaciones periódicas en
la configuración del sistema del endpoint monitoreado. Esto se realiza siguiendo
políticas de seguridad, estándares y guías de hardening recomendadas. Esta
funcionalidad es muy importante para reducir la superficie de ataque.
● Higiene TI: Wazuh cuenta con un módulo de inventario del sistema de cada uno de
los agentes, donde recopila información de hardware y software (interfaces de red,
puertos abiertos, configuraciones de red, procesos, paquetes, especificaciones de
CPU, memoria, sistema operativo, etc).
● Respuesta Activa: Wazuh provee acciones programadas como contramedida frente
a una amenaza. Estas medidas se realizan automáticamente cuando se cumplen
ciertos criterios establecidos.
● Cumplimiento Normativo: las capacidades desarrolladas, además de
proporcionar controles de seguridad, sirven para cumplir con estándares de
cumplimiento normativo. Esto se da gracias a que las reglas de Wazuh tienen
asociadas requisitos de cumplimiento de estándares como PCI-DSS, GDPR, HIPAA,
NIST 800-53, entre otros ( desarrollados en el capítulo 2).
● Threat Hunting: al igual que con cumplimiento normativo, las reglas de Wazuh se
mapean con el framework de MITRE ATT&CK. Esto no solo proporciona un mejor
contexto de seguridad, sino que permite hacer detección e investigación de tácticas,
técnicas y procedimientos (TTP) utilizados por los atacantes.
● Configuración Centralizada: la mayoría de las capacidades nombradas pueden
ser configuradas de forma remota. Wazuh dispone de una funcionalidad para agrupar
agentes y poder realizar cambios en su configuración de forma remota. Esta
característica es muy importante para despliegues con cientos o miles de agentes.
● Integración con Software de Terceros: Wazuh puede ser integrado con otros
servicios y/o herramientas como VirusTotal
12
, YARA, Slack
13
, TheHive Project
14
,
Suricata
15
, etc. Esto se logra integrando el sistema de alertas con las APIs de los
productos de software a través de scripts.
● Seguridad en la Nube: Wazuh brinda capacidad de detección de amenazas,
hardening y monitoreo para plataformas en la nube como AWS, Microsoft Azure,
Google Cloud, GitHub, Office 365.
● Seguridad en Contenedores: Wazuh puede utilizarse para monitorear anomalías
contenedores, alertando en tiempo real. Wazuh protege las cargas de trabajo de
15
https://suricata.io/
14
https://thehive-project.org/
13
https://slack.com/
12
https://www.virustotal.com/
35
https://suricata.io/
https://thehive-project.org/
https://slack.com/
https://www.virustotal.com/
contenedores a nivel infraestructura (por ejemplo, mediante monitoreo del host
donde se encuentra el contenedor Docker) y nivel contenedor (utilizando Kubernetes
DaemonSet
16
).
Análisis previo a la instalación
Luego de introducir con una breve descripción los componentes de la suite Wazuh, es
necesario realizar un análisis previo a la instalación a partir de su documentación [43]. Esto
permitirá conocer todo el abanico de implementaciones y, a partir de ello, tomar las
decisiones pertinentes para elaborar un entorno de prueba de la herramienta.
En lo que refiere a los agentes, Wazuh puede proteger equipos con sistema operativo Linux,
Windows,MacOS, Solaris, AIX y HP-UX. El agente puede ser desplegado en diferentes
endpoints: netbooks, pc de escritorio, servidores, instancias cloud, contenedores o máquinas
virtuales.
Por otra parte, los componentes centrales de Wazuh pueden ser implementados utilizando
dos tipos de arquitectura: Centralizada o Distribuida en clúster. La arquitectura
centralizada es la más sencilla de implementar, ya que se trata de la instalación de todos
los componentes centrales en un único servidor, como muestra la Figura 8.
Figura 8: Arquitectura Centralizada
Otra posible implementación (recomendada para ambientes de producción) es mediante una
arquitectura distribuida en clúster. Esto implica la utilización de más de un servidor
16
https://kubernetes.io/es/docs/concepts/workloads/controllers/daemonset/
36
https://kubernetes.io/es/docs/concepts/workloads/controllers/daemonset/
independiente, donde en al menos uno estará alojado Wazuh Manager, y en otro el servicio
de Wazuh Indexer y Dashboard, como se puede observar en la Figura 9.
Figura 9: Arquitectura Distribuida en clúster
Para comprender la composición y funcionamiento del clúster de Wazuh, es importante
separar al Manager del Indexer, ya que se trata de componentes diferentes.
La configuración en clúster de Wazuh Manager tiene dos tipos diferentes de nodos con tareas
definidas y que definen una jerarquía: Master y Worker. El nodo Master es quien centraliza
y coordina los Workers. Algunas tareas del Master son:
● Recibir y gestionar solicitudes de registro de agentes.
● Creación de grupos de configuración compartidos.
● Actualización de reglas personalizadas, decodificadores y listas CDB.
● Proveer el servicio de RESTful API de Wazuh.
● Puede recibir y procesar eventos de los agentes como los Workers.
Por otro lado, pueden existir uno o más nodos Workers que se encargan de:
● Redireccionar solicitudes de registro de agentes al Master.
● Recibir actualizaciones del Master.
● Recibir y procesar los eventos que llegan de los agentes.
● Enviar actualizaciones del estado de los agentes al Master.
37
Es claro que esto permite mejorar la disponibilidad y escalabilidad del servicio. De todos
modos, este tipo de configuración jerárquica tiene una desventaja ante un fallo del Master.
Esto se debe a que no hay ningún mecanismo que ante un fallo se asigne el rol de Master a
uno de los nodos Workers. Por lo tanto, si el Master deja de funcionar temporalmente, no se
podrá registrar nuevos agentes; realizar cambios en las reglas y configuración centralizada;
ni poder utilizar Wazuh Dashboard, ya que necesita del servicio de Wazuh API. Sin embargo,
no se perderá la funcionalidad de seguir registrando eventos de seguridad, algo fundamental
para un sistema de detección, prevención y respuesta. En este caso, solo se perderá la
visibilidad hasta que el Master pueda recuperarse. Esto que parece una desventaja, resulta
conveniente si lo comparamos con un servidor de Wazuh con un solo punto de falla como
puede ser una arquitectura centralizada o distribuida con un solo nodo.
Para esta configuración, es recomendable utilizar un balanceador de carga. Esto ayudará a
distribuir la carga de trabajo, optimizando así el uso de los recursos de cada nodo y evitando
su sobrecarga; y además, potencia la confiabilidad del servicio, ya que los agentes pueden
seguir comunicándose con el clúster ante el fallo de uno de los nodos. La Figura 10 muestra
una posible configuración clúster de Wazuh.
Figura 10: Arquitectura de cluster típica de Wazuh
38
Retomando la Figura 9, se puede observar que Wazuh Indexer tiene la posibilidad de tener
más de un nodo. Más allá de ser una característica ventajosa, ya que permite escalabilidad al
motor de búsqueda, no se puede escapar ante la pregunta de por qué esta configuración de
clúster es diferente a la del servidor de Wazuh. Y la respuesta está en el pasado. Es que,
Wazuh se integraba (hasta no hace mucho tiempo atrás) con la conocida pila de soluciones
de Elastic, Elasticstack (conocida también como ELK stack). Esta pila está compuesta por
Elasticsearch, Kibana, Beats y Logstash.
Las capacidades de Elasticstack generaron un gran ecosistema empresarial, como por
ejemplo, aplicaciones de seguridad IT como lo es Wazuh. De hecho, Beats (Filebeat) es
utilizado para enviar los eventos y alertas que genera el manager de Wazuh hacia el Indexer.
Sin embargo, esto era posible debido a que Elastic comenzó como una plataforma
open-source (estaba disponible bajo la licencia Apache 2.0
17
), pero desde 2021 cambió su
licencia a Elastic 2.0
18
, lo que provocó varias limitaciones en su uso. Como respuesta ante
esto, Amazon presentó el proyecto OpenSearch
19
, que es un fork de código abierto impulsado
por la comunidad para que puedan seguir contando con la potencialidad de esta plataforma.
OpenSearch está publicado bajo la licencia Apache versión 2.0 e incluye la distribución
anterior de Elasticsearch (Open Distro for Elasticsearch). Esto primeramente sirvió para que
Wazuh pueda seguir contando con las capacidades de búsqueda, analitica e indexación, y a
partir de la versión 4.3, agregar como componente de la suite a Wazuh Indexer, una
distribución de Opensearch con algunas herramientas adicionales. Esto mismo ocurre con
Wazuh Dashboard, una distribución personalizada de OpenSearch Dashboards, herramienta
de visualización predeterminada para datos en OpenSearch.
Profundizando en el diseño de OpenSearch, se observa que la clusterización es una
característica inherente de este motor de búsqueda. Es que, OpenSearch puede operar como
un cluster de un solo nodo o multi-nodo. En caso de agregar nodos para aumentar la
capacidad, automáticamente se distribuye de manera equilibrada la carga de datos y
consultas para proporcionar escalabilidad y alta disponibilidad. Además, cada nodo puede
tener una funcionalidad específica. De hecho, existen diferentes tipos de nodos, que brindan
la posibilidad de múltiple configuraciones de cluster [44]:
19
https://opensearch.org/
18
https://www.elastic.co/es/licensing/elastic-license
17
https://www.apache.org/licenses/LICENSE-2.0
39
https://opensearch.org/
https://www.elastic.co/es/licensing/elastic-license
https://www.apache.org/licenses/LICENSE-2.0
● Cluster Manager: es quién administra el funcionamiento general del clúster y
realiza un seguimiento del estado del mismo. Esto incluye la creación y eliminación
de índices, el seguimiento de los nodos que se unen y abandonan el clúster, la
verificación del estado de cada nodo en el clúster y la asignación de fragmentos a los
nodos.
● Cluster Manager Eligible: Es quien elige un nodo como Cluster Manager a través
de un proceso de votación.
● Data: Almacena y busca datos. Realiza todas las operaciones relacionadas con los
datos (indexación, búsqueda, agregación) en fragmentos locales. Comparándolo con
Wazuh Manager, son los nodos de tipo Workers.
● Ingest: Se encarga de preprocesar los datos antes de ser almacenados.
● Coordinating: Delega las solicitudes del cliente a los fragmentos de los nodos de
datos, recopila y agrega los resultados en un resultado final y envía este resultado al
cliente.
● Dynamic: Delega un nodo específico para el trabajo personalizado, como tareas de
aprendizaje automático, lo que evita el consumo de recursos de los nodos de datos y,
por lo tanto, no afecta ninguna funcionalidad de OpenSearch.
Reservar un nodo para realizar tareas específicas sin ser compartido con ninguna otra tarea,
depende exclusivamente de los recursos disponibles y factores de rendimiento que se
esperen. Además, la funcionalidad de cada nodo puede corresponder a destinar diferentes
recursos de hardware. Por ejemplo, para los nodos Data, donde predominan las operaciones
de búsqueda e indexación de datos, tener discos rápidos (por ejemplo, SSD) y gran capacidad
y velocidad en memoria RAM es indispensable para un buen rendimiento. Mientras que, por
otro lado, un nodo con potencia de CPU puede

Continuar navegando

Materiales relacionados

224 pag.
Metodologia-de-seguridad-en-redes-de-computadoras

User badge image

Contenido de Estudio

106 pag.
Pruebas-de-hacking-etico-en-un-laboratorio-de-la-Facultad-de-Ingeniera-de-la-UNAM--FI---UNAM

User badge image

Ingeniería Fácil

274 pag.
Propuesta-de-aplicacion-de-una-metodologa-para-la-seguridad-informatica-en-la-division-de-ciencias-basicas

User badge image

Ingeniería Fácil

46 pag.
Equipos Estratégicos en Seguridad Informática

User badge image

Apasionado por Estudiar

Preguntas relacionadas

Question Icon

¿Cuáles son algunos de los desafíos y consideraciones de la integración de la IA en la automatización industrial? a) Seguridad cibernética y capa...

User badge image

Preguntas Generales

Otros materiales