Las cookies nos permiten ofrecer nuestros servicios. Al utilizar nuestros servicios, aceptas el uso que hacemos de las cookies. Más Información. Aceptar

Casos reales de incidentes de Ciberseguridad y elementos de la monitorización de seguridad

Marcos   López
  • Escrito por Marcos López el 29 de Agosto de 2020
  • 4 min de lectura Ethical hacking
Casos reales de incidentes de Ciberseguridad y elementos de la monitorización de seguridad

Casos reales de incidentes de ciberseguridad

Aunque no seamos conscientes de ellos, existen multitud de casos y brechas reales de incidentes de seguridad que han ocurrido en empresas que pensamos que son invulnerables. En esta imagen se muestran algunos de los casos más importantes ocurridos a empresas muy conocidas.

Imagen 0 en Casos reales de incidentes de Ciberseguridad y elementos de la monitorización de seguridad

Por ejemplo, podemos ver casos famosos como el de Sony con PlayStation, o el caso de eBay o el de Ashley Madison, aquella web de citas de la que se filtraron datos de más de 40 millones de usuarios, con todo el impacto que puede suponer eso, ya que había personas bastante famosas dadas de alta en la web con sus datos reales. También aparecen los distintos escándalos de Facebook con un montón de brechas de seguridad y una bastante reciente, o de British Airways con datos filtrados de cientos de miles de tarjetas.

En este enlace de Wikipedia podéis ver muchos más casos de incidentes de seguridad, donde podéis analizar y ver la gran cantidad de casos reales que ocurren. Todos los días hay nuevos casos y cada vez son más frecuentes, y es así porque es muy complicado monitorizar y detectar cualquier agujero de seguridad o cualquier brecha justo en el momento.

Elementos en monitorización de seguridad

Si queremos detectar lo antes posible pues esos ataques o incidentes de seguridad, que empiezan por aprovechar una vulnerabilidad o por algún usuario que ha tomado algún privilegio que no debía.

Imagen 1 en Casos reales de incidentes de Ciberseguridad y elementos de la monitorización de seguridad

El elemento base que nos va a permitir monitorizar todas esas cosas es un correlador o SIEM, que, aunque necesiten de más piezas, debe ser el núcleo. Este SIEM debe nutrirse de diferentes fuentes de datos mediante una o varias sondas, que se irán desplegando para recoger los logs de los distintos dispositivos. Estas sondas recolectarán estas fuentes de datos, los van a procesar en un proceso que se denomina normalización, y los envían al SIEM.

El SIEM tiene dos partes, una parte para tiempo real y otra para el cumplimiento, que en algunos sistemas esta parte para cumplimiento sería otro dispositivo adicional destinado a la retención a largo plazo. En la parte de tiempo real lo que va a hacer es aplicar una serie de casos de uso que van a detectar comportamientos anómalos, y cuando algún patrón coincida con ese caso de uso, saltará una alerta o ejecutará una determinada acción.

Respecto a las distintas fuentes de datos o distingos logs que puede ingestar un SIEM, podemos destacar algunos como:

  • Sistema operativo
  • Firewall
  • Proxy web
  • IDS/IPS
  • Antivirus
  • AntiSpam
  • VPN
  • O365

Estos elementos lo que nos permiten, cuantos más elementos tengamos, es construir esa traza que nos permita verificar cuál es el paciente cero desde dónde se ha generado esa brecha de seguridad o desde dónde se ha materializado esa amenaza.

No solo con un SIEM podemos hacer todo esto, sino que necesitamos otros elementos adicionales, porque el fin es detectar lo que se denomina el Cyber Kill Chain, que son las fases que sigue un atacante para entrar dentro de una casa o dentro de una organización y crear persistencia, conectarse con su centro de control y comando, conseguir permisos de administrador y, haciendo movimientos laterales, descifrar información, bloquear sistemas, cifrar el servidor de ficheros o lo que quiera, porque tiene permisos suficientes.

Esto ha dado pie a que una organización como Mitre, haya desarrollado un lenguaje común de casos de uso que va analizando estas tácticas, técnicas y procedimientos y las va mapeando en una tabla, donde están los casos de uso.

Imagen 2 en Casos reales de incidentes de Ciberseguridad y elementos de la monitorización de seguridad

Si vistáis la página web de Mitre podréis ver esa matriz de casos de uso, donde podéis ver cómo mapea las distintas fases, que podéis ver de forma resumida en la imagen anterior, con casos de uso que se pueden implementar en los distintos correladores.

Aparte de eso tenemos otros elementos no menos importantes que el SIEM, entre los que tenemos por un lado la parte de enriquecimiento y mejora el ratio de detección, cómo pueden ser las plataformas de inteligencia de amenaza, que lo que hacen es ingestar por un lado y suministrar por otro.

Ingestan esos indicadores de compromiso, que pueden ser URL maliciosas, hashes de ficheros, etcétera, que están verificadas que son maliciosas, y lo interesante de esos indicadores es que cuanto antes los tengamos, mucho mejor, porque además duran desde segundos a días o semanas, porque van cambiando o bien la IP del servidor remoto o cualquier otro dato, y entonces pierden su validez.

Por otro lado, tenemos la parte de orquestación y respuesta, que es muy importante para complementar el otro lado del SIEM, justo por encima. Cuando salta una alerta tendremos lo que se denomina un playbook, que son una serie de pasos que configuran unas acciones a realizar en función de la acción que se ha disparado.

Soluciones de monitorización de seguridad

Por último, vamos a resaltar algunos fabricantes que ofrecen sus soluciones en versiones gratis, pruebas de X días o versiones reducidas, como son:

  • Alien Vault
  • McAfee
  • IBM Security
  • Splunk
  • Elasticsearch en su parte de SIEM

Os animamos a montar un laboratorio para hacer pruebas, que es como mejor se aprende.

Relacionado

Te dejamos una selección de cursos, carreras y artículos

¿Qué es la ciberseguridad?

¿Qué es la ciberseguridad?

Ethical hacking

22 de Mayo de 2018

Te contamos todo acerca de la ciberseguridad, qué es, su futuro laboral, como estar protegido en todo momento y herramientas que utilizan las empresas para estar protegidos.

Tendencias en ciberseguridad para 2020

Tendencias en ciberseguridad para 2020

Ethical hacking

16 de Junio de 2020

En este artículo te contamos las tendencias en Ciberseguridad más importantes en 2020, además del estado actual y el futuro de esta disciplina.

Ciberseguridad

Ciberseguridad

carrera

Incluye 9 cursos:

  • Curso de Seguridad en Redes con Snort
  • Curso de introducción a Ethical Hacking
  • Curso de desarrollo seguro

y 6 cursos más!

Duración: 28 horas y 13 minutos

Más de 300 empresas confían en nosotros

Oesia
Vass
Everis
Ayesa
Altran
Ibermatica
Atmira
GFI
Accenture
GMV
Concatel
Telefonica
Caser
Banco de España
kpmg
Mapfre
Randstad