Herramientas de código abierto para operaciones de seguridad

Como sabemos, hay muchas cosas incluidas para construir SOC. Desde el punto de vista tecnológico, es muy importante contar con código abierto para identificar las amenazas y reducir los costos. Desde el punto de vista DID (Defensa en profundidad), hay muchos dispositivos y tecnologías que se deben utilizar para construir el SOC. Según la experiencia de la industria a continuación, las tecnologías se pueden usar para construir un SOC adecuado para monitorear las amenazas y detectar la anomalía para salvaguardar a la empresa.

Principalmente, dado que la mayoría de los ataques provienen del exterior, es muy importante usar controles adecuados en el perímetro de la red. Al utilizar los productos de código abierto, podemos reducir el costo del producto y el soporte no es obligatorio.

IDS / IPS: El sistema de detección de intrusiones es muy importante y se requiere para monitorear el tráfico para identificar o detectar la anomalía y los ataques. Snort es uno de los sistemas de detección / prevención de intrusiones basados en red de código abierto que puede realizar análisis de tráfico en tiempo real con registro de paquetes en redes de protocolo de Internet. Snort tiene 5 componentes importantes que ayudan a detectar los ataques.

  • Decodificador de paquetes
  • Preprocesadores
  • Motor de detección
  • Sistema de registro y alerta
  • Módulos de salida

Mediante el uso de los componentes anteriores, Snort puede detectar los ataques o sondas basados en la red, incluidos los intentos de toma de huellas dactilares del sistema operativo, los ataques semánticos de URL, los desbordamientos del búfer, los SMB (Bloques de mensajes del servidor) y el escaneo de puertos furtivos. Y también puede detectar ataques a aplicaciones web como inyecciones SQL,

Dado que Snort es solo un motor, requiere GUI para facilitar su uso si no está muy familiarizado con la línea de comandos, por lo que es bueno configurar Snorby y también requiere una aplicación de servidor web normal como Apache.

Snorby será útil para analizar las alertas que se activan por snort. Ayuda a ver alertas, criterios de coincidencia de alertas.

Consejo: asegúrese de que todas las firmas estén actualizadas para detectar y prevenir amenazas emergentes. Estas pueden ser firmas de código abierto o pagas (depende del presupuesto).

Para más detalles, consulte https://www.snort.org/

Escáner de vulnerabilidades (OpenVAS): para ser un tipo de seguridad proactivo, es muy importante contar con un escáner de vulnerabilidades para analizar y confirmar si algún activo se está ejecutando con vulnerabilidades críticas que pueden conducir a una violación o ataque de seguridad. El escáner de vulnerabilidades es un producto que tiene varios scripts actualizados que son útiles para identificar las vulnerabilidades en el sistema o las aplicaciones. Realizar exploraciones periódicas en los sistemas, especialmente en los sistemas externos o sistemas conectados a Internet y parchearlos regularmente.

Consejo: Para cada actualización o implementación, es obligatorio asegurarse de que todos los sistemas o aplicaciones tengan parches para las vulnerabilidades existentes.

Existen varias herramientas de código abierto con licencias limitadas, como OpenVAS. Las actualizaciones periódicas de NVT son útiles para detectar las vulnerabilidades emergentes.

El motor OpenVAS se puede utilizar con la base de datos GUI Greenbone y Barnyard para completar resultados en la interfaz de usuario. Puede escanear todo el sistema en la red y es bueno tener un escaneo autenticado con credenciales de dominio. Greenbone ofrece opciones para crear credenciales, hosts, tareas y programaciones en la interfaz de usuario. Para más detalles, consulte http://openvas.org/

Maltego ( https://www.paterva.com/web7/buy/maltego-clients/maltego.php ): Maltego es un software propietario utilizado para la inteligencia y el análisis forense de código abierto, desarrollado por Paterva. Maltego se enfoca en proporcionar una biblioteca de transformaciones para el descubrimiento de datos de fuentes abiertas y visualizar esa información en un formato gráfico, adecuado para el análisis de enlaces y la minería de datos.

Vega ( https://subgraph.com/vega/ ): Vega es un escáner de seguridad web y una plataforma de prueba de seguridad web gratuita y de código abierto para probar la seguridad de las aplicaciones web. Vega puede ayudarlo a encontrar y validar la inyección SQL, la secuencia de comandos entre sitios (XSS), la información confidencial revelada inadvertidamente y otras vulnerabilidades. Está escrito en Java, basado en GUI, y se ejecuta en Linux, OS X y Windows.

Nessus ( https://www.tenable.com/products/nessus/nessus-professional ): Nessus utilizó un escáner de vulnerabilidades eficaz ampliamente utilizado con más funciones.

HoneyNet: Hoy en día, los atacantes se vuelven más inteligentes todos los días, por lo que es bueno tener Honeynet para ver y analizar los patrones de ataque que los atacantes intentan conocer y defender. Es una tecnología muy importante que es obligatoria para engañar al atacante y salvaguardar los activos. Puede usar Honeynet como honeynet interna o externa según el requisito. Simplemente imite los servicios utilizados para evitar los ataques reales. HoneyNet tiene principalmente 4 componentes, como se menciona a continuación.

  • Interfaz de usuario Nova.
  • Motor Honeyd.
  • Alpaca.
  • Quásar.

Para obtener más detalles sobre Honeynet, consulte https://www.honeynet.org/

HIDS (OSSEC): OSSEC: Open Source HIDS SECurity es un sistema de detección de intrusos (HIDS) de código abierto y gratuito. Realiza análisis de registros, verificación de integridad, monitoreo del registro de Windows, detección de rootkits, alertas basadas en el tiempo y respuesta activa. Proporciona detección de intrusos para la mayoría de los sistemas operativos, incluidos Linux, OpenBSD, FreeBSD, OS X, Solaris y Windows. OSSEC tiene una arquitectura centralizada y multiplataforma que permite que múltiples sistemas sean monitoreados y administrados fácilmente. OSSEC tiene un motor de análisis de registros que puede correlacionar y analizar registros de múltiples dispositivos y formatos.

Para obtener más detalles, consulte https://www.ossec.net/ y https://github.com/ossec/ossec-hids 

Herramienta de monitoreo de red: Nagios Core, es una aplicación de software libre y de código abierto que monitorea sistemas, redes e infraestructura. Nagios ofrece servicios de monitoreo y alerta para servidores, conmutadores, aplicaciones y servicios. Para obtener más detalles, consulte https://www.nagios.com/products/nagios-core/attachment/visibility-2/

Actividades del equipo rojo : es bueno usar los sistemas operativos Kali Linux o Backtrack que tienen todas las herramientas necesarias para las pruebas de vulnerabilidad y penetración.

Kali ( https://www.kali.org/downloads/ ): Kali Linux es una distribución avanzada de Linux de prueba de penetración utilizada para pruebas de penetración, piratería ética y evaluaciones de seguridad de red. Es la versión neta de Backtrack.

Commando VM ( https://www.fireeye.com/blog/threat-research/2019/03/commando-vm-windows-offensive-distribution.html ). Commando VM es la nueva prueba de penetración Opensource Virtual Machine construida en el sistema operativo Windows con herramientas de prueba de penetración incorporadas y fue desarrollada por Fireeye.

Forense: por ser más forense como el análisis de malware y la recuperación, hay varias herramientas de Microsoft y otros marcos de código abierto como se menciona a continuación:

Cuckoo sandbox framework ( https://cuckoosandbox.org ): Cuckoo es un marco de análisis dinámico de malware que proporciona análisis de extremo a extremo de malware con informe formateado y admite varios complementos como VirusTotal, IDS y Yara, etc.

Remnux ( https://h11dfs.com/the-best-open-source-digital-forensic-tools/ ): Remnux es una máquina virtual de ingeniería inversa de código abierto construida con varias herramientas de ingeniería inversa incorporadas.

Ghidra ( https://www.nsa.gov/resources/everyone/ghidra/ ): Ghidra es un marco de ingeniería inversa de software (SRE) desarrollado por la Dirección de Investigación de la NSA para la misión de ciberseguridad de la NSA. Ayuda a analizar códigos maliciosos y malware como los virus, y puede brindar a los profesionales de ciberseguridad una mejor comprensión de las vulnerabilidades potenciales en sus redes y sistemas.

Plataformas de intercambio de inteligencia sobre amenazas: la plataforma de intercambio de inteligencia sobre amenazas desempeña un papel importante en la detección de ataques e infecciones en función de los indicadores de compromisos. Se puede integrar en sus herramientas de administración de registros y monitoreo de red para tener una prevención y detección adecuadas.

MISP : plataforma de inteligencia de amenazas de código abierto y estándares abiertos para compartir información sobre amenazas y se abrevia como Malware Information Sharing Plaform, que se construyó utilizando diversas herramientas herramientas como MyuSQL, PostgreSQL, script de Shell y Python, etc.

Para obtener más detalles, consulte https://www.misp-project.org/ y https://github.com/MISP/MISP

Existen algunas de las herramientas de código abierto que se pueden usar según los requisitos y las capacidades de SOC. Estos son preseleccionados en función de la facilidad de uso y las experiencias de la industria. Para ejecutar el SOC sin problemas y rentable, estas herramientas desempeñan papeles importantes.

Fuente: prasannamundas

Comments are closed.