Adrien C., consultor de ciberseguridad en Squad desde hace un año y medio, está trabajando para un cliente muy conocido de la región de Toulouse. Actualmente trabaja en el SOC de esta empresa y nos cuenta cuáles son sus buenas prácticas. Repaso a los conceptos básicos y análisis de su herramienta de trabajo diaria, Splunk.
El SOC, lo básico
El término SOC (Centro de Operaciones de Seguridad) hace referencia a un departamento de una empresa cuya función principal es garantizar la seguridad informática de la misma.
Entre los numerosos y diversos equipos que lo componen, destaca la figura del analista del SOC. Su objetivo es garantizar la vigilancia, la detección y el análisis de incidentes de seguridad, a menudo bajo la dirección de un responsable de seguridad.
Por lo tanto, se encarga de proteger los sistemas informáticos contra las distintas amenazas y posibles ciberataques en todos los niveles del sistema informático (es decir, la red, el software, los derechos de acceso, etc.). Un SOC garantiza la supervisión de las actividades en el parque informático (lo que se conoce como «monitorización») mediante la recopilación de diversa información (principalmente los registros de actividad de los distintos activos, más comúnmente denominados «logs» o «datos de máquina»).
El análisis de estos registros permite detectar fallos de seguridad. El SOC, centro neurálgico de la seguridad de un sistema informático, suele basarse en un SIEM (Security Information and Event Management), encargado de la gestión y la recopilación de los registros. Se ocupa de la correlación de estos, es decir, de relacionar varios eventos con una misma causa.
En términos generales, el funcionamiento de un SIEM se articula de la siguiente manera:
- En primer lugar, hablaremos de la recopilación: el SIEM recibe los eventos recopilados del sistema de información, ya sea de forma pasiva o activa. Los registros de eventos proceden de diversas fuentes: cortafuegos, routers, servidores y bases de datos.
Se admiten los distintos formatos de registro.
- Normalización: los eventos se guardan primero en formato sin procesar (raw) para conservar su valor jurídico, antes de normalizarse a un formato más legible.
El principio de normalización permite realizar búsquedas multicriterio.
- Agregación: a continuación, se aplican reglas de filtrado para conservar los criterios más relevantes antes de enviarlo todo al motor de correlación.
- Correlación: las reglas de correlación permiten identificar un evento que ha provocado la generación de otros muchos (por ejemplo, un atacante que ha logrado penetrar en la red y que posteriormente ha interactuado con tal equipo…).
Además, permiten notificar alertas de varias formas, como abrir un ticket si la solución SIEM está conectada a una herramienta de gestión de tickets.
- Informes: esta etapa permite crear y generar cuadros de mando e informes. De este modo, los distintos responsables del SOC (director de seguridad de la información, equipo de L1/L2, L3...) pueden tener una visión general del sistema de información (número de ataques, número de alertas diarias...).
- Archivo: el SIEM puede utilizarse en un contexto jurídico. Por lo tanto, es necesario archivar los eventos para garantizar la integridad de los registros.
- Reproducción: la reproducción permite recrear los acontecimientos posteriores al incidente con el fin de profundizar en los análisis y estudiar el comportamiento de los equipos de seguridad.
Las variedades SIEM
Hoy en día existe una gran variedad de sistemas SIEM: Intrinsec, LogPoint, QRadar, SolarWinds, etc.
Entre ellas se encuentra Splunk Enterprise Security, una solución desarrollada por la empresa del mismo nombre que integra numerosas funciones para ayudar a las empresas a hacer frente a las amenazas externas (y también a las internas, un peligro que a menudo se pasa por alto en detrimento del primero).
Ofrece una visión general de los datos generados a partir de tecnologías de seguridad, como redes, dispositivos periféricos, puntos de acceso, malware, vulnerabilidades del sistema e información de identidad, y puede implementarse de múltiples formas: como software, servicio en la nube o incluso como nube privada.
Además de la gestión de incidentes que ya he mencionado, Splunk también incorpora mecanismos de respuesta ante amenazas y permite poner en marcha acciones de respuesta automatizadas para agilizar las tareas manuales.
Además, facilita la gestión de las alertas al integrar elementos visuales intuitivosa través de un sistema de puntuación de riesgos y paneles de control, y permite personalizar fácilmente el tipo de vista que se desee.
Es posible interactuar con Splunk a través del Search Processing Language (SPL), un lenguaje propio que se asemeja al SQL en cuanto a sus posibilidades, pero con una sintaxis propia que permite aprovechar al máximo la potencia de su motor de indexación.
Esta última función permite extraer los eventos según las preferencias del usuario y filtrarlos en función de determinados campos o de un periodo de tiempo concreto.
También es posible crear informes para guardar las búsquedas y ver de forma dinámica la evolución de los datos. Cada informe contiene una y solo una búsqueda guardada.
¿Es Splunk una buena solución?
Splunk es, por tanto, una plataforma de software que permite buscar, analizar yvisualizar datos, especialmente en el contexto del big data. Una solución que ofrece numerosas ventajas, entre ellas la capacidad de visualizar la actividad en tiempo real, pero que también presenta algunos inconvenientes.
En cuanto a sus ventajas, cabe destacar su flexibilidad: Splunk ES puede ser adecuado tanto para una estructura pequeña con un volumen de datos reducido como para una estructura compleja con grandes volúmenes de datos que procesar.
Además, ofrece una gran capacidad de ampliación gracias a la comunidad de Splunk, que proporciona numerosos conectores y extensiones. Por último , otro punto a su favor: la potencia de su motor de indexación, que sigue siendo impresionante.
El principal inconveniente radica en el SPL, que, aunque es potente y ofrece grandes posibilidades en materia de investigación, sigue siendo relativamente complejo de dominar.
Leer también ⤵
