Ciberseguridad

Red Team Blue Team y Purple Team (2)

24/02/2024 por

BLUE TEAM

El Equipo Azul, o Blue Team, es el pilar de la seguridad defensiva dentro de las organizaciones, a diferencia del Red Team, está dedicado a proteger, de manera proactiva, contra cualquier tipo de ataque cibernético. Este equipo se encarga de mantener una vigilancia constante sobre la infraestructura de TI, analizando patrones de comportamiento anormales tanto en sistemas y aplicaciones como en el comportamiento humano relacionado con la seguridad de la información. Su labor no se limita a la detección; también se enfocan en la mejora continua de las medidas de seguridad, a través del rastreo y análisis de incidentes de ciberseguridad, la identificación de fallos y/o vulnerabilidades y la verificación de la efectividad de los protocolos de seguridad implementados.

La misión fundamental del Blue Team es evaluar las diversas amenazas que pueden impactar a la organización, monitorear de cerca la red, los sistemas y recomendar planes de acción para mitigar los riesgos identificados. En el evento de un incidente de seguridad, este equipo despliega una respuesta integral que incluye el análisis forense de las máquinas afectadas, la trazabilidad de los vectores de ataque, la propuesta de soluciones para contrarrestar el incidente y el establecimiento de medidas de detección para prevenir futuros casos.

El trabajo del Blue Team es esencial para mantener la integridad, confidencialidad y disponibilidad de los datos y sistemas de la organización. A través de una estrategia de defensa en profundidad, buscan no solo reaccionar ante los ataques, sino anticiparse a estos, creando un entorno seguro que permita a la organización operar con confianza en el panorama digital. Su enfoque proactivo en la seguridad informática es clave para adaptarse y responder eficientemente a la naturaleza dinámica de las amenazas cibernéticas, garantizando así la resiliencia de la organización frente a los desafíos de seguridad actuales y futuros.

Herramientas comunes:

Honeypots

los Honeypots juegan un papel crucial al actuar como sistemas o aplicaciones señuelo que atraen a actores maliciosos intentando atacar las redes. Estos señuelos están diseñados para simular ser parte de la red, capturando la atención del atacante para luego permitir a los administradores recopilar datos valiosos sobre la naturaleza del ataque y, en algunos casos, identificar al atacante. La implementación de Honeypots facilita a los equipos azules la identificación de amenazas emergentes y la generación de inteligencia de amenazas, lo cual contribuye a tomar decisiones más informadas respecto a las técnicas preventivas que la organización debe adoptar contra las amenazas a la red.

Existen diversos tipos de Honeypots, cada uno con diferentes niveles de complejidad, como los Honeypots puros, de alta interacción, de media interacción y de baja interacción. Además, se reconocen varias tecnologías de Honeypots en uso, que incluyen SSH, HTTPS, base de datos, servidor, cliente, malware, correo electrónico spam, IoT, entre otros, adaptándose a diversas necesidades organizacionales.

Entre las herramientas Honeypots destacadas, encontramos:

  • Kippo: Un Honeypot SSH de media interacción, conocido por su capacidad para detectar y registrar ataques de fuerza bruta, así como el historial completo de comandos ejecutados por un atacante. Kippo simula un sistema de archivos falso, con la capacidad de añadir o eliminar archivos, ofreciendo contenido ficticio a los atacantes y empleando trucos como conexiones SSH falsas. También cuenta con «kippo_detect», para identificar la presencia de este Honeypot.
  • Glastopf: Un Honeypot basado en HTTP que emula diferentes tipos de vulnerabilidades y ataques, incluyendo inclusión de archivos locales y remotos, inyección SQL y HTML a través de solicitudes POST, entre otros.
  • ElasticHoney: Diseñado para bases de datos Elasticsearch, este Honeypot simple pero efectivo captura solicitudes maliciosas que intentan explotar vulnerabilidades RCE en Elasticsearch. Escrito en GO, es compatible con la mayoría de las plataformas y está disponible para Windows y Linux.
  • Artillery: Artillery va más allá de ser solo un Honeypot, funcionando también como herramienta de monitoreo y sistema de alerta. Configura los puertos más comunes y escaneados, y bloquea a cualquier intento de conexión no autorizado. Además, monitorea intentos de fuerza bruta en registros SSH, enviando alertas por correo electrónico sobre ataques. Disponible para Windows y Linux, aunque algunas características pueden no estar disponibles para usuarios de Windows.

Sandboxing

El «sandboxing» es una tecnología de prevención y análisis que juega un papel fundamental en la estrategia de decepción de seguridad. Similar a los honeypots, pero con un enfoque más orientado a la ejecución segura, el sandboxing permite a los equipos de defensa (Blue Teams) y a los investigadores de seguridad ejecutar y probar aplicaciones, instalar malware o ejecutar código potencialmente malicioso en un entorno aislado, asegurando que lo que sucede en el sandbox, permanece en el sandbox.

Esta técnica se realiza comúnmente en una máquina virtual dedicada dentro de un anfitrión virtual, lo que permite a los equipos azules probar de manera segura el malware contra diferentes versiones de sistemas operativos, analizar el comportamiento del malware e incluso verificar si sus soluciones anti-malware han identificado correctamente un archivo malicioso, todo esto en máquinas que están separadas de la red real.

Existen numerosas herramientas de sandboxing, tanto de código abierto como comerciales, y aquí destacamos algunas favoritas para los equipos azules:

  • Cuckoo Sandbox: Reclamado como la principal herramienta de análisis de malware de automatización de código abierto. Cuckoo permite analizar archivos potencialmente maliciosos y obtener informes sobre su comportamiento en un entorno aislado y seguro. Con Cuckoo, se pueden analizar diferentes tipos de archivos, como PDFs, correos electrónicos e incluso sitios web; rastrear llamadas API y el comportamiento del archivo; y volcar y analizar todo el tráfico de red, incluido el tráfico cifrado con SSL/TLS.
  • Falcon Sandbox: Desarrollado por CrowdStrike, Falcon Sandbox facilita el análisis profundo de amenazas desconocidas y explotaciones de día cero, proporcionando inteligencia de amenazas e indicadores de compromiso para ofrecer resultados accionables. Esto permite a los equipos azules comprender mejor el malware y, a su vez, construir defensas más robustas.
  • Firejail: Un programa de sandboxing SUID para Linux escrito en C que ayuda a reducir el riesgo de violaciones de seguridad al encapsular el entorno de ejecución de aplicaciones no confiables. Permite que el proceso y todos sus descendientes tengan una vista privada de los recursos del kernel compartidos globalmente, pudiendo encapsular servidores, aplicaciones gráficas y sesiones de inicio.
  • Valkyrie Comodo: Un sistema de veredicto de archivos en línea que emplea numerosos métodos para probar archivos desconocidos y determinar si son maliciosos. Una de las mayores fortalezas de Valkyrie es la detección de amenazas de día cero que pasan desapercibidas por soluciones antivirus tradicionales. Para garantizar un análisis exhaustivo de cada archivo sometido, Valkyrie implementa tanto análisis automático como humano.

 

Incident response

La respuesta ante incidentes no se trata de considerar si un ataque cibernético ocurrirá, sino de estar preparados para cuándo suceda. Esta preparación es esencial no solo para los equipos de defensa (Blue Teams) sino también para organizaciones de cualquier tamaño, industria y tecnología. La respuesta a incidentes implica la identificación de los actores de amenazas, la contención del incidente de seguridad, su erradicación de la red y, posteriormente, la recuperación del sistema o red afectados. Este proceso también incluye el análisis y la acumulación de conocimientos que posteriormente fortalecerán las defensas de seguridad de la organización.

Tener las herramientas adecuadas es clave para que este proceso sea más eficiente y fluido. A continuación, detallamos y expandimos la información sobre algunas de las principales herramientas de respuesta ante incidentes para equipos azules:

  • TheHive: Esta plataforma de respuesta a incidentes de seguridad 4-en-1 facilita la investigación colaborativa, permitiendo añadir cientos de miles de observables a cada investigación a través de su motor de plantillas personalizable. En conjunto con Cortex, TheHive potencia la capacidad de analizar numerosos observables simultáneamente con más de cien analizadores, y contiene y erradica malware o incidentes de seguridad. Esta herramienta se destaca por su enfoque colaborativo y su capacidad para manejar investigaciones complejas de manera eficiente.
  • GRR Rapid Response: Es un marco de respuesta a incidentes de código abierto centrado en forenses en vivo remotos. GRR está diseñado para escalar, permitiendo a los equipos azules recolectar datos de un gran número de máquinas simultáneamente. Soporta clientes Linux, OS X y Windows, y ofrece capacidades de búsqueda y descarga de archivos y del registro de Windows, entre muchas otras funciones. GRR es particularmente valioso para la recopilación de datos forenses en tiempo real y la gestión de incidentes en una amplia gama de sistemas.
  • MozDef: La Plataforma de Defensa Empresarial de Mozilla automatiza la respuesta a incidentes de seguridad, permitiendo a los equipos azules descubrir y responder rápidamente a incidentes. MozDef supera a las soluciones SIEM tradicionales al automatizar procesos de respuesta a incidentes y facilitar la colaboración en tiempo real dentro de los equipos azules, lo que mejora significativamente la eficiencia y la efectividad en la gestión de incidentes.
  • Cyphon: Esta herramienta de código abierto simplifica varias tareas de respuesta a incidentes a través de una plataforma unificada. Cyphon recibe, procesa y clasifica eventos e incidentes de seguridad para agregar datos, priorizar alertas y permitir una investigación y documentación eficiente de incidentes por parte de los equipos azules. Su capacidad para integrar y gestionar información de diversas fuentes la convierte en una solución integral para la gestión de incidentes de seguridad.

La implementación de estas herramientas en la estrategia de respuesta a incidentes de una organización no solo prepara a los equipos y la organización para escenarios de peor caso y diversos tipos de ciberamenazas, sino que también mejora la resiliencia general ante incidentes de seguridad, permitiendo una respuesta rápida y efectiva que minimiza el impacto de los ataques cibernéticos.

Log management and analysis

La gestión y análisis de logs es fundamental para los equipos de defensa cibernética (Blue Teams), ya que les permite recolectar, formatear, agregar y analizar datos de registro de diferentes aplicaciones, servicios y hosts, correlacionándolos con los requisitos empresariales o problemas estratégicos de una organización. Este proceso es crucial para descubrir problemas en el rendimiento de aplicaciones y programas, así como cuestiones de seguridad. Sin embargo, la gestión de logs puede ser complicada debido al gran volumen de registros recolectados, lo que a menudo resulta en un número elevado de falsos positivos, siendo estos un desafío no deseado para muchas organizaciones.

A continuación, se detallan y expanden las capacidades de algunas herramientas esenciales de gestión y análisis de logs que facilitan la tarea de los equipos azules:

  • Splunk: Reconocida como una de las mejores compañías en ciberseguridad, Splunk ofrece servicios de gestión de logs que permiten fusionar e indexar datos de logs y de máquinas de cualquier tipo. Splunk habilita la recolección, almacenamiento, indexación, búsqueda, correlación, análisis y reporte de datos generados por máquinas, para detectar y solucionar problemas de seguridad. La plataforma de Splunk se destaca por su capacidad para procesar grandes volúmenes de datos en tiempo real, proporcionando una visión integral y detallada de la seguridad de la información.
  • Loggly: Como un software de gestión y análisis de logs basado en la nube, Loggly facilita la recolección de registros desde la infraestructura de TI, permitiendo el seguimiento de su actividad y el análisis de tendencias. Loggly es reconocido por su facilidad de uso y por ser un servicio gestionado, lo que lo hace accesible no solo para equipos azules, sino también para departamentos de servicio al cliente y gestión de productos, ofreciendo herramientas proactivas para el monitoreo, diagnóstico y resolución de problemas.
  • Fluentd: Es un colector de datos de código abierto que proporciona una capa unificada de registro, permitiendo una recolección y uso de datos unificados para mejorar la comprensión de estos. Con más de 500 plugins que conectan Fluentd con numerosas fuentes y salidas, los usuarios se benefician de un uso más informado de sus logs, potenciando la eficiencia en el análisis y gestión de datos.
  • Sumo Logic: Conocido por su servicio de gestión de logs y análisis de seguridad, Sumo Logic, basado en la nube, ofrece insights en tiempo real aprovechando datos generados por máquinas, similar a Splunk. Los análisis en tiempo real de Sumo Logic son esenciales para identificar y resolver potenciales ciberataques, y sus algoritmos de aprendizaje automático alertan en caso de eventos de seguridad significativos.

Estas herramientas representan soluciones avanzadas para enfrentar los desafíos de la gestión de logs, permitiendo a los equipos azules identificar rápidamente problemas de seguridad y rendimiento, optimizando así la respuesta a incidentes y fortaleciendo la postura de seguridad cibernética de las organizaciones. La capacidad para analizar eficientemente grandes volúmenes de datos y extraer insights valiosos es esencial en el dinámico entorno de amenazas de hoy en día, donde la rapidez y precisión en la respuesta a incidentes puede marcar la diferencia entre una brecha de seguridad menor y una catastrófica

Emulación de Adversarios (Adversary emulation)

La emulación de adversarios es una técnica defensiva esencial que permite a los equipos azules simular ataques cibernéticos sofisticados de la manera más realista posible, con el objetivo de comprender la superficie de ataque de una organización y descubrir cualquier hueco de seguridad y vulnerabilidad en sus defensas. Esta práctica proporciona datos accionables para resolver vulnerabilidades y problemas de seguridad, y evaluar la efectividad de los controles y soluciones de seguridad actuales. Algunas herramientas destacadas incluyen:

  • APTSimulator: Una herramienta de emulación de adversarios diseñada para ser simple, que utiliza diferentes herramientas y archivos de salida para hacer que un sistema parezca comprometido, con una instalación y ejecución rápidas que facilitan su modificación y extensión.
  • DumpsterFire: Una herramienta multiplataforma que permite construir eventos de seguridad distribuidos y repetibles, donde los equipos azules pueden personalizar cadenas de eventos para simular escenarios de ciberseguridad realistas y fortalecer su mapeo de alertas.
  • Caldera: Basada en el marco MITRE ATT&CK™, Caldera es un marco de emulación de adversarios automatizado que facilita la ejecución de ejercicios de simulación y brecha, e incluso puede ayudar con la respuesta a incidentes automatizada, siendo útil tanto para equipos rojos como azules.
  • Blue Team Training Toolkit (BT3): Un software de entrenamiento de seguridad defensiva que permite crear escenarios de ataque realistas con IoCs específicos y técnicas de evasión, ideal para sesiones de entrenamiento que simulan patrones de comportamiento y tráfico asociados con malware sin ejecutar malware real y peligroso.

SIEM (Gestión de Información y Eventos de Seguridad (SIEM)

Las soluciones SIEM (Security Information and Event Management) son fundamentales en el ecosistema de seguridad cibernética, ya que proporcionan análisis en tiempo real de eventos de seguridad al recopilar datos de diferentes fuentes y realizar análisis basados en criterios específicos. Este proceso ayuda a detectar actividades sospechosas y ataques cibernéticos, ofreciendo a las organizaciones una visibilidad clara sobre incidentes de seguridad y brechas.

Aunque esenciales, las herramientas SIEM a menudo presentan desafíos, como un uso incorrecto que dificulta la respuesta a incidentes o su alto costo. Por ello, se ha puesto un enfoque especial en soluciones SIEM de código abierto, que ofrecen una alternativa accesible y eficiente:

  • OSSIM: Desarrollado por AlienVault, OSSIM es uno de los SIEM de código abierto más utilizados, ofreciendo recolección y correlación de eventos. Sus capacidades incluyen descubrimiento de activos, evaluación de vulnerabilidades y detección de intrusiones, entre otros, brindando una herramienta integral para la gestión de eventos de seguridad.
  • Elastic Stack: Conocido anteriormente como ELK Stack, Elastic Stack combina Elasticsearch, Kibana, Beats y Logstash para recolectar, buscar, analizar y visualizar datos en tiempo real desde cualquier fuente. Elastic Stack es destacado por su flexibilidad en el procesamiento de datos, permitiendo a los equipos realizar desde el análisis básico hasta operaciones complejas como enriquecimiento y anonimización de datos.
  • SIEMonster: Esta solución de monitoreo de seguridad combina las mejores herramientas de seguridad de código abierto con desarrollos propios, ofreciendo una opción asequible y robusta para la monitorización de seguridad. SIEMonster es apreciado por su capacidad para integrar diversas herramientas y proporcionar una visión comprensiva del estado de seguridad.
  • OSSEC: Considerado el sistema de detección de intrusiones en hosts (HIDS) más utilizado según sus creadores, OSSEC es una herramienta de código abierto que realiza análisis de logs, detección de rootkits, monitoreo del registro de Windows y mucho más. Es especialmente valorado por su capacidad para detectar modificaciones no autorizadas en el sistema de archivos y comportamientos maliciosos, siendo una adición valiosa al arsenal de cualquier equipo azul.
  • Wazuh: Es una plataforma de seguridad de código abierto que proporciona detección de intrusiones, monitoreo de integridad, respuesta a incidentes y cumplimiento. Wazuh amplía las capacidades de OSSEC, ofreciendo una solución más completa y flexible para la gestión de la seguridad.

Estas herramientas SIEM no solo facilitan la detección y respuesta a incidentes de seguridad, sino que también permiten a los equipos de defensa mejorar continuamente sus prácticas de seguridad mediante el análisis y correlación de datos, asegurando una postura de seguridad robusta y adaptativa.

EDR Endpoint Detection and Response

Las herramientas de Detección y Respuesta en el Endpoint (EDR) representan una evolución crítica en los kits de herramientas de ciberseguridad, ofreciendo a los equipos de defensa y a los investigadores de seguridad la capacidad de recolectar, documentar y almacenar datos de las actividades en los endpoints para descubrir, analizar y mitigar amenazas.

A diferencia de las soluciones de protección avanzada contra amenazas, los EDR se especializan en la detección y protección contra ciberamenazas que buscan penetrar los endpoints y comprometer la seguridad organizacional. Utilizados frecuentemente por los equipos de operaciones de seguridad (SOC), los EDR son también valiosas adiciones a los arsenales de los equipos azules. Aquí destacamos algunas opciones sobresalientes:

  • Ettercap: Reconocido como una herramienta de seguridad de red de código abierto para ataques de intermediario (man-in-the-middle) en LAN, Ettercap permite el sniffing de conexiones activas, filtrado de contenido y desglose activo y pasivo de muchos protocolos. Escrito en C, ofrece amplias funciones para el análisis de red y host, como el filtrado de paquetes basado en IP, dirección MAC y envenenamiento ARP para sniffing en una LAN conmutada entre dos hosts, entre otras capacidades.
  • Wazuh: Una plataforma de código abierto para la detección de amenazas, monitoreo de integridad y respuesta ante incidentes. Wazuh facilita la recolección, agregación, indexación y análisis de datos, ofreciendo detección de intrusiones, detección de vulnerabilidades, y seguridad en la nube y contenedores en una única plataforma. Destaca por su versatilidad y capacidad para integrarse en diferentes ambientes de TI, haciéndola una solución integral para la seguridad de endpoints.
  • EventTracker: Combinando las funciones de un SIEM y un EDR, EventTracker presenta una arquitectura de seguridad adaptable que integra predicción, protección, detección y respuesta. Proporciona estas capacidades en una herramienta unificada, resultando en una solución coste-efectiva y conveniente para hacer de la respuesta a incidentes y la detección y respuesta en el endpoint un proceso continuo.

Además de estas herramientas, es importante considerar otras soluciones EDR que están transformando la manera en que los equipos de seguridad gestionan y responden a las amenazas en los endpoints. Estas soluciones incluyen capacidades avanzadas de análisis de comportamiento, mitigación de amenazas en tiempo real, y soporte para una amplia gama de sistemas operativos y entornos, asegurando que las organizaciones puedan defenderse efectivamente contra ataques sofisticados y evasivos. La implementación de herramientas EDR en la estrategia de seguridad de una organización no solo mejora la capacidad para detectar y responder a incidentes de seguridad, sino que también eleva la postura de seguridad general al proporcionar una visión más detallada y control sobre los end points  vulnerables.

Network Security Monitoring

Las herramientas de monitoreo de seguridad de red son esenciales para supervisar la actividad, el tráfico y los dispositivos de la red con el fin de detectar y descubrir ciberamenazas, vulnerabilidades de seguridad o cualquier actividad sospechosa. Estas herramientas recopilan y analizan indicadores de compromiso, proporcionando datos y alertas accionables a los analistas de seguridad y equipos azules para responder adecuadamente a los incidentes de seguridad.

Aquí presentamos una selección de plataformas y soluciones con diversas funcionalidades para el monitoreo de seguridad de red:

  • Zeek (anteriormente Bro): Una plataforma de monitoreo de seguridad de red de código abierto que observa el tráfico de red y lo interpreta, generando registros de transacciones, contenido de archivos y salidas totalmente personalizadas, aptas para análisis manual. Zeek es reconocido por su flexibilidad y capacidad para adaptarse a diversas plataformas, incluidas hardware, software, virtual y cloud.
  • Wireshark: Ampliamente utilizado para el análisis de seguridad de red, Wireshark es capaz de analizar profundamente cientos de protocolos, realizar capturas en vivo y análisis offline, análisis de VoIP, y leer datos en tiempo real de una amplia gama de medios. Wireshark es valorado por su capacidad para proporcionar una visión detallada y comprensiva del tráfico de red, lo que lo convierte en una herramienta indispensable para los equipos de seguridad.
  • RITA (Real Intelligence Threat Analysis): Un marco de análisis de tráfico de red de código abierto que se destaca por su detección de señales, detección de túneles DNS y verificación de listas negras, permitiendo a los equipos identificar patrones sospechosos y amenazas avanzadas en el tráfico de red.
  • Maltrail: Un sistema de detección de tráfico malicioso que utiliza listas negras públicamente disponibles y mecanismos heurísticos avanzados para identificar amenazas de red desconocidas. Maltrail es particularmente útil para detectar y alertar sobre tráfico malicioso basado en patrones conocidos y comportamientos sospechosos.

Además de estas herramientas, es importante considerar otras soluciones que amplían la capacidad de los equipos de seguridad para monitorear y proteger las redes:

  • Suricata: Un motor de detección de intrusiones de red (IDS), prevención de intrusiones (IPS) y monitoreo de seguridad de red (NSM) de código abierto y alta performance. Suricata es conocido por su capacidad para procesar grandes volúmenes de tráfico en tiempo real, identificando y bloqueando amenazas a medida que ocurren.
  • Snort: Otro motor de IDS/IPS de código abierto, Snort es capaz de realizar análisis en tiempo real del tráfico de Internet, detectando ataques y vulnerabilidades. Snort es ampliamente utilizado por su flexibilidad y capacidad para personalizar reglas de detección según las necesidades específicas de la organización.

Estas herramientas proporcionan a los equipos azules insights en tiempo real sobre las actividades en la red, permitiéndoles monitorear continuamente y alertar sobre posibles amenazas antes de que ocurran daños reales, asegurando una respuesta oportuna y efectiva a los problemas de seguridad.

Detección de Amenazas (Threat detection)

La detección de amenazas, también conocida como búsqueda de amenazas, es un proceso complejo que se apoya en la paciencia, el pensamiento crítico y la creatividad. Este proceso implica tanto técnicas manuales como automatizadas para descubrir amenazas en curso que ya han penetrado las defensas y sistemas de seguridad. Los cazadores de amenazas, que utilizan una variedad de metodologías y herramientas, son un complemento valioso para los equipos azules, permitiéndoles identificar amenazas potenciales. A continuación, presentamos algunas herramientas clave para la detección de amenazas que facilitan su identificación e integración:

  • ThreatHunting: Una aplicación de Splunk que ofrece numerosos paneles e informes para facilitar la identificación de indicadores de caza y su posterior investigación. Esta herramienta es especialmente útil para analizar grandes volúmenes de datos y encontrar patrones sospechosos o anomalías.
  • Yara: Conocido como la navaja suiza del patrón de coincidencia para investigadores de malware, Yara ayuda tanto a los investigadores como a los equipos azules a identificar y clasificar muestras de malware, y a crear descripciones de familias de malware basadas en conjuntos de cadenas y expresiones booleanas.
  • HELK (Hunting ELK): Una plataforma de búsqueda de amenazas de código abierto que proporciona capacidades analíticas avanzadas, como lenguaje SQL declarativo, streaming estructurado, y aprendizaje automático a través de Jupyter notebooks y Apache Spark sobre la pila ELK. HELK mejora la prueba y desarrollo de casos de uso para la búsqueda de amenazas, habilitando capacidades de ciencia de datos.

Además de estas herramientas, es importante destacar otras soluciones que amplían la capacidad de detección de amenazas y enriquecen el arsenal de los equipos de seguridad:

  • MISP (Malware Information Sharing Platform & Threat Sharing): Una plataforma de intercambio de información sobre malware y amenazas que facilita la recepción, compartición, y almacenamiento de indicadores de compromiso (IoCs). MISP es valioso para la colaboración y el intercambio de inteligencia sobre amenazas entre organizaciones.
  • Sigma: Un formato estándar para la descripción de reglas de detección de ciberamenazas, que permite una fácil conversión a formatos de consulta para diferentes plataformas de monitoreo de seguridad como Splunk, ElasticSearch, QRadar, LogPoint, entre otros. Sigma ayuda a estandarizar y agilizar la creación y compartición de reglas de detección.
  • Snort: Además de ser un sistema de detección de intrusiones, Snort puede ser utilizado para la detección de amenazas a través de su vasta base de datos de firmas de ataques y la capacidad de analizar tráfico en tiempo real.

Estas herramientas no solo permiten a los equipos detectar amenazas de manera más efectiva, sino que también promueven una comprensión más profunda de las tácticas, técnicas y procedimientos (TTP) utilizados por los adversarios, mejorando así la postura de seguridad general de las organizaciones.

Defensa de la Red (Network defense)

La red es a menudo el objetivo principal para los ataques cibernéticos, por lo que protegerla con soluciones avanzadas y gestionadas de defensa de red es uno de los primeros pasos para fortalecer las defensas y la postura de seguridad de una organización. Entre las herramientas y soluciones para la defensa de la red se incluyen firewalls, sistemas de detección de intrusiones (IDS), firewalls de aplicaciones web (WAF), herramientas de prevención de pérdida de datos (DLP), controles de aplicaciones, bloqueadores de spam, etc. Aquí nos enfocamos en firewalls, firewalls de sistemas, WAFs e IDSs:

  • ModSecurity (ModSec): Un firewall de aplicación web de código abierto que proporciona monitoreo de seguridad de aplicaciones en tiempo real y control de acceso, registro completo del tráfico HTTP, evaluación de seguridad pasiva continua, endurecimiento de aplicaciones web y más. ModSecurity es valorado por su flexibilidad y capacidad para integrarse con varios servidores web, actuando como una barrera crítica contra ataques web.
  • Wallarm: Más que un WAF, Wallarm ofrece escaneo de vulnerabilidades de aplicaciones, verificación de amenazas y pruebas de seguridad de aplicaciones. Esta plataforma protege contra los 10 principales riesgos de seguridad de aplicaciones web de OWASP, DDoS a aplicaciones, toma de control de cuentas y otras amenazas a la seguridad de las aplicaciones, destacándose por su enfoque en la inteligencia artificial para la detección y mitigación de amenazas.
  • SNORT: Sistema de detección y prevención de intrusiones de red que ofrece análisis de tráfico en tiempo real y registro de paquetes. SNORT es ampliamente utilizado por su capacidad de análisis de protocolos, búsqueda y coincidencia de contenido, sirviendo como una herramienta esencial en la identificación y prevención de intrusiones en la red.
  • Fortinet Security Fabric: Para enfrentar la creciente superficie de ataque y las amenazas en el panorama actual, Fortinet Security Fabric ofrece una red dirigida por seguridad, acceso a la red de confianza cero, seguridad dinámica en la nube y operaciones de seguridad impulsadas por IA. A menudo considerado como una de las mejores soluciones de firewall, Fabric es una plataforma líder en defensa de red automatizada.
  • pfSense: Un sistema de firewall de código abierto basado en el sistema operativo FreeBSD. Su edición gratuita no solo ofrece un firewall, sino también una tabla de estado, balanceo de carga de servidores, traductor de direcciones de red, una VPN y mucho más, siendo apreciado por su versatilidad y riqueza de características.
  • CSF (ConfigServer Security & Firewall): Más que un firewall de sistema, CSF es un script de configuración de firewall y una aplicación de detección de intrusiones y fallos de autenticación para servidores Linux que configura el firewall de un servidor para negar el acceso público a servicios, permitiendo solo ciertas conexiones. Esta suite de scripts proporciona un script de firewall iptables SPI y un proceso Daemon que verifica fallos de autenticación de inicio de sesión, complementando las capacidades de CSF.

Estas herramientas son cruciales para permitir a los equipos de seguridad monitorear, detectar y responder a amenazas en tiempo real, asegurando la integridad y la disponibilidad de los recursos de la red y protegiendo la infraestructura crítica de ataques avanzados y persistentes. La implementación efectiva de estas soluciones de defensa de red mejora significativamente la postura de seguridad general de las organizaciones, permitiéndoles anticipar y mitigar proactivamente las amenazas cibernéticas.

Capacidades

Es un equipo con enfoque defensivo, metodología sistemática para la gestión de la seguridad y capacidad de respuesta rápida a incidentes.

Este equipo debe poseer conocimientos en sistemas de detección de intrusos, firewalls y seguridad de la información, además de:

    • Fuerte entendimiento de la arquitectura de seguridad y principios de defensa en profundidad.
    • Capacidad para analizar y correlacionar logs y detectar indicadores de compromiso.
    • Conocimientos en análisis forense digital y respuesta a incidentes.
    • Experiencia en la configuración y mantenimiento de herramientas de seguridad.

Formación

    • Formal mínima Al menos programación o análisis de sistema.
    • Certificaciones como CISSP (Certified Information Systems Security Professional)
    • CISM (Certified Information Security Manager)
    • Cursos en gestión de incidentes y respuesta a amenazas

Un ejemplo de actividad

La implementación de reglas de correlación en una herramienta SIEM para detectar actividad maliciosa basada en patrones conocidos o analizar y responder a una alerta de seguridad generada por un intento de intrusión detectado en el perímetro de la red.

Dependencia

Generalmente es interno.

pknelo