Guía metodológica para la gestión centralizada de registros de seguridad a través de un SIEM

Software inteligente y convergencia tecnológicaLa Seguridad de la información en las organizaciones, día tras día toma mayor relevancia por su importancia en la conservación de los datos y el daño que puede sufrir una organización cuando se vulnera su información. Las organizaciones deben implementar mecanismos para evitar que se materialice esta situación y es por ello que este proyecto busca guiar a las empresas en la implementación de una herramienta que los ayude a prevenir e identificar situaciones de riesgo con la información y sistemas de la organización.EspecializaciónEspecialista en Seguridad de Rede

Implementación de una arquitectura de correlación de eventos para la mitigación de riesgos informáticos de una infraestructura de servidores virtuales del laboratorio de redes convergentes del ITM

Debido al auge que ha tomado en la actualidad la ola de la información, grandes y pequeñas empresas se ven a diario expuestas a amenazas en sus redes de comunicación al exponer servicios virtuales que dan acceso a un sin número de personas diariamente, haciendo que la vulnerabilidad sea mucho mayor y obligando así a protegerse y buscar medidas de prevención, para evitar posibles ataques que atenten contra la integridad, confiabilidad y disponibilidad de sus sistemas. Por tal motivo este proyecto tiene como objetivo implementar un correlacionador de eventos de seguridad en el laboratorio de redes convergentes del bloque O del ITM sede fraternidad, específicamente en los servidores virtuales, los cuales se identificaron como los más vulnerables a ataques debido a su exposición en la red. Para la adecuada implementación del proyecto se selecciona la herramienta OSSIM, por ser un open source que proporciona todas las características de seguridad de un SIEM necesarias para gestionar eventos que suceden en la red, permitiendo recopilar logs, normalizar, correlacionar y alertar sobre posibles vulnerabilidades. Para garantizar el adecuado funcionamiento se realizan finalmente una serie de pruebas, evaluando las respuestas y comportamiento del SIEM implementado, se analiza los resultados arrojados por la herramienta y se demuestra su utilidad en la detección de posibles amenazas en una red, como accesos indebidos, ataques a la información, entre otros.Ingeniero de Sistemaspregrad

Propuesta de buenas prácticas de eventos a monitorear en un SIEM para cooperativas financieras en Colombia dando cumplimiento a la circular 007

Trabajo de investigaciónLa circular 007 de 2018 no menciona el cómo realizar la adecuada parametrización de un SIEM si no que por el contrario se deja a la interpretación de la entidad financiera, es necesario basarse en un análisis de otras circulares que las rigen donde mencionen que dispositivos monitorear, además de conocer las principales técnicas utilizadas por los ciberdelincuentes tomándolas de mitre att&ck.1. INTRODUCCIÓN 2. GENERALIDADES 3. OBJETIVOS 4. MARCOS DE REFERENCIA 5. METODOLOGÍA 6. PRODUCTOS A ENTREGAR 7. ENTREGA DE RESULTADOS E IMPACTOS 8. CONCLUSIONES 9. BIBLIOGRAFÍAEspecializaciónEspecialista en Seguridad de la Informació

Diseño de una metodología para la detección de ataques a infraestructuras informáticas basada en la correlación de eventos.

Se diseñó una metodología que permita detectar ataques informáticos a infraestructuras tecnológicas basada en la correlación de eventos. En la presente investigación se analizó la dificultad e incompatibilidad que presentan los logs generados por dispositivos activos de red en la realización de análisis de seguridad. Se analizaron diferentes marcas y modelos de dispositivos, así como técnicas de normalización de eventos con el fin de brindar una respuesta efectiva frente a los incidentes que se suscitan casi en tiempo real. Para la simulación de incidentes informáticos se analizaron las metodologías OSSTMM e ISAFF y su posterior adaptación a la metodología propuesta, teniendo como campo de acción el entorno nacional ecuatoriano y cumpliendo requerimientos teóricos del Acuerdo Ministerial número 166 publicado por la Secretaría Nacional de la Administración Pública en el Registro Oficial número 88 del mes de septiembre del año 2013. Para el diseño de la metodología se utilizó la tecnología de correlación de eventos Security Information and Event Management (SIEM), la cúal permite comparar, integrar y visualizar incidentes de seguridad en tempo real. Se simularon ataques informáticos a nivel de aplicación y de red, estos son: Escaneo de Puertos, SQL Injection, Denegación de Servicio, Command Injection, Buffer Overflow y Fuerza Bruta, mediante el análisis de los resultados a través de la técnica de estadística inferencial ANOVA con un nivel de significancia de 0.05, calculado al 95% fue posible determinar que la metodología para la detección de ataques informáticos a infraestructuras tecnológicas basada en la correlación de eventos permitió incrementar en un 47,8% la cantidad de detección de ataques a infraestructuras informáticas. Se recomienda la implementación de la metodología en infraestructuras críticas.A methodology which allows to detect cyber-attacks to technological infrastructures was designed based on the correlation of events. The current research work analyzes the difficulty and incompatibility that the logs generated by net active devices evidence in the development of the security analysis. Different device brands and models were analyzed, as well as techniques of events normalization aiming to give effective response to the events happening almost in realtime. For the simulation of cyber incidents, the OSSTMM and ISAFF methodologies were analyzed and its further adaptation to the proposed methodology, having as scope the Ecuadorian environment and fulfilling the theoretical requirements of the Ministerial Agreement number 166 published by the National Secretariat of Public Administration in the Official Registry number 88 from September 2013. For the design of the methodology, the technology of correlation of events Security Information and Event Management (SIEM) was used, this allows to compare, integrate and visualize security incidents in real-time. Cyber-attacks at application and net level were simulated, they are: Scanning of Ports, SQL injection, Denial of Service, Command Injection, Buffer Overflow and Brute Force, through the analysis of results by means of the inferential statistical technique ANOVA with a level of significance of 0,05, calculated at 95%, it was possible to determine that the methodology for the methodology to detect cyber-attacks to technological infrastructures based on the correlation of events allowed to increase the detection of attacks to cyber infrastructures in 47,8%. The implementation of the methodology in critical infrastructures is recommended

Implementación de un modelo de seguridad para mitigación de vulnerabilidades en ambientes de almacenamiento en la nube con base en las normas ISO 27017 y 27018.

La presente investigación se plantea la implementación de un modelo de seguridad para mitigación de vulnerabilidades en ambientes de almacenamiento en la nube con base en las normas ISO 27017 y 27018, en el cual se analizó instituciones internacionales enmarcadas en la seguridad de la información que realizaron aportes importantes en exponer las vulnerabilidades más conocidas en la actualidad. Se analizó los controles expuestos en las normas ISO 27017 (Controles de Seguridad para Servicios Cloud) y 27018 (Requisitos para la protección de la información de identificación personal (PII) en sistemas Cloud). Con lo antes señalado se elaboró un modelo de seguridad basado en tres objetivos generales como: Seguridad del Entorno, Conocer & Limite de Acceso, Detección y Respuesta. El modelo de seguridad contempla una estructura como: información general del control, definición del control, guía de implementación; el mismo que se lo implementó en un prototipo de almacenamiento en la nube previamente seleccionado entre otros de su tipo. Se evaluó en dos escenarios, el primero con el prototipo que tiene implementado el modelo de seguridad y el segundo prototipo que no lo considera donde se estableció y ponderó los riesgos a presentarse enfocados a la confidencialidad, integridad, y disponibilidad de la información, estableciéndose los riesgos más críticos. Del estudio realizado se estableció un modelo con estrategias de seguridad desde la perspectiva de la construcción, operación y respuesta a incidentes de seguridad para aliviar los problemas comunes de almacenamiento en la nube; adicionalmente se redujo sustancialmente el promedio de ponderación de la probabilidad que los riesgos ocurran en un 75% frente a la situación que no la considere.This research proposes the implementation of a security model to mitigate vulnerabilities in the cloud storage environments, based on the ISO 27017 and 27018 standards. International institutions framed in information security that made essential contributions in exposing the most known vulnerabilities today were analyzed. The controls presented in the ISO 27017 (Security Controls for Cloud Services) and 27018 (Requirements for the protection of personally identifiable information (PII) in Cloud systems) were analyzed. With those as mentioned above, a security model was developed based on three general objectives, such as Environment Security, Know & Access Limit, Detection, and Response. The security model includes a structure being general control information, control definition, implementation guide, the same that was implemented in a prototype of cloud storage previously selected among others of its kind. It was evaluated in two scenarios, the first one with the prototype having the security model implemented, and the second one not considering it where the risks to be presented were established and weighed focused on the confidentiality, integrity, and availability of the information, determining the most critical threats. From the study carried out, a model was established with security strategies from the perspective of construction, operation, and response to security incidents to alleviate common cloud storage problems. Also, the average weighting of the probability that the risks occur was substantially reduced by 75% compared to the situation that does not consider it

Diseño de un Security Operations Center (SOC), mediante la implementación de roles definidos por el Instituto SANS proporcionando las funciones de recopilar y filtrar datos, detectar y clasificar amenazas, analizar e investigar amenazas y la implementación de medidas preventivas para la red de la Unidad Educativa Salesiana María Auxiliadora - UESMA, ciudad de Esmeraldas

La Unidad Educativa Salesiana María Auxiliadora - UESMA solicitó un diseño del Centro de Operaciones de Seguridad (SOC) porque quiere mejorar su nivel de seguridad y habilidades de detección de amenazas cibernéticas. Se propuso un diseño de un prototipo de SOC basado en los roles de SANS, para que la UESMA pueda recopilar y filtrar datos, para detectar, clasificar, analizar e investigar amenazas. Se utilizó la metodología "Hoja de ruta para la implementación de proyectos piloto". Para determinar el estado de la infraestructura, se recopilaron datos de red relacionados con sus operaciones de seguridad. El SOC diseñado ayudará a lograr los objetivos de las funciones sustantivas de la UESMA. El prototipo de SOC se construyó en un entorno de simulación utilizando software VMware y ELK, Cuckoo, Moloch, Zabbix, GLPI, Grafana, PfSense, Windows Server, McAfee. Las pruebas de funcionalidad mostraron que el rendimiento es estable y la prueba de penetración mostró que es robusto a los ataques externos. Los valores de la implementación y operación del SOC se estimaron que para el primer año son inferiores a $300,000 y por operación a partir del segundo año en adelante son inferiores a$ 200,000. Finalmente, en lo legal, se citó un grupo de leyes que, con la evidencia recopilada por el SOC, ayudaría a tomar acciones legales.The Unidad Educativa Salesiana María Auxiliadora - UESMA requested a design of Security Operations Center (SOC) because it wants to improve its security level and detection skills of cyber threats. It was proposed a design of a SOC prototype based in the SANS roles, that the UESMA will be able to collect and filter data, to detect, classify, analyze and investigate threats. The methodology “Roadmap for the implementation of pilot projects” was used. To determine the state of the infrastructure, were collected network data related with its security operations. The designed SOC will help to get the goals the UESMA's substantive functions. The prototype SOC was built in a simulation environment using VMware and ELK, Cuckoo, Moloch, Zabbix, GLPI, Grafana, PfSense, Windows Server, McAfee software. The functionality tests showed that the performance is stable and the penetration test showed that it is robust to external attacks. The values of the implementation and operation of the SOC was estimated that for the first year are below $300,000 and per operation from the second year onwards are under$ 200,000. Finally, in the legal, there were cited a group of laws that with the evidence collected by the SOC, would help to take legal actions

Capacidades técnicas, legales y de gestión para equipos blue team y red team

El presente documento contiene el informe técnico correspondiente a las actividades desarrolladas en el Seminario Especializado Equipos Estratégicos en Ciber seguridad Red Team y Blue Team estructurado en fases que representan el desarrollo de los objetivos propuestos y que permiten definir las funciones, responsabilidades y roles de los equipos Red Team y Blue Team. Las fases desarrollan lo siguiente: 1. Análisis Ético – Legal: se realiza un estudio repasando la legislaion vigente en el país relacionada con la seguridad informática que sirve de marco para las actuaciones de los equipos Red Team y Blue Team asi como lo relacionado con la actuación ética de los profesionales. 2. Ejecución de Pruebas de Pentesting: desde el punto de vista de un equipo Red Team se lleva a cabo un ejercicio de Pentesting de acuerdo con el caso de estudio propuesto identificando el alcance de la explotación de las vulnerabilidades identificadas. 3. Análisis de Vulnerabilidades: al identificar las vulnerabilidades presentes en el escenario del caso de estudio se realiza un análisis de las mismas con el fin de establecer su impacto en caso de explotación y las actividades que se deben llevar a cabo para mitigarlo. 4. Determinar medidas de Contención: se elaboran lineamientos para la contención del ataque ilustrado y se establecen medidas de hardenizacion de la infraestructura de TI desde un punto de vista de un equipo Blue team con el fin de prevenir ataques futuros. 5. Conclusiones y Recomendaciones: en este capítulo se generan las conclusiones del ejercicio realizado y las recomendaciones que puedan servir de mejora a la infraestructura de TI del caso de estudio propuesto. A través de estas actividades es posible identificar las actividades que se llevan a cabo para la implementación de equipos de Ciberseguridad Red Team y Blue Team y su importancia a la hora de poner a salvo los diferentes activos de información de una Infraestructura de TI.This document contains the technical report corresponding to the activities developed in the Specialized Seminar Strategic Teams in Cyber Security Red Team and Blue Team structured in phases that represent the development of the proposed objectives and that allow defining the functions, responsibilities and roles of the teams. RedTeam and BlueTeam. The phases develop the following: 1. Ethical - Legal Analysis: a study is carried out reviewing the current legislation in the country related to computer security that serves as a framework for the actions of the Red Team and Blue Team teams as well as that related to the ethical performance of professionals. 2. Execution of Pentesting Tests: from the point of view of a Red Team, a Pentesting exercise is carried out in accordance with the proposed case study, identifying the scope of the exploitation of the identified vulnerabilities. 3. Analysis of Vulnerabilities: when identifying the vulnerabilities present in the scenario of the case study, an analysis of them is carried out in order to establish their impact in case of exploitation and the activities that must be carried out to mitigate it. 4. Determine Containment measures: guidelines are drawn up for the containment of the illustrated attack and hardenization measures of the IT infrastructure are established from a Blue team point of view in order to prevent future attacks. 5. Conclusions and Recommendations: in this chapter the conclusions of the exercise carried out and the recommendations that can serve to improve the IT infrastructure of the proposed case study are generated. Through these activities it is possible to identify the activities that are carried out for the implementation of Red Team and Blue Team Cybersecurity teams and their importance when it comes to safeguarding the different information assets of an IT Infrastructure

“Análisis e implementación de un sistema integrado de gestión, para la red de datos de la Universidad Estatal de Bolívar matriz, en software libre.”

El presente trabajo de investigación presenta un estudio comparativo e implementación de un Sistema Integrado de Gestión para la red de datos de la Universidad Estatal de Bolívar matriz, en software libre, proyecto que en los diferentes capítulos desarrollados puntualiza las características y beneficios de varios sistemas de gestión. Para el desarrollo del presente proyecto se realizó un análisis criterioso de la arquitectura, funcionalidad y facilidad de configuración de los sistemas integrados de gestión OSSIM, OpenNMS y Hp Open View, los resultados de este estudio sirvieron para determinar la herramienta más adecuada para implementarlo en el Área de Redes del Departamento de Informática de la Universidad Estatal de Bolívar. La herramienta que se escogió para la fase de implementación por sus beneficios y costos fue OSSIM, misma que al ser instalada en un computador adaptado como servidor, empezó a recolectar la información de los activos conectados a la red de datos de la UEB, así también se configuro de manera manual los servidores que prestan servicios web, mail, plataforma virtual, evaluación y el sistema académico. En la fase de implementación, la herramienta a través de su consola de monitorización empezó a proporcionar valiosa información para la gestión de activos, también suministro una serie de eventos y alarmas a los que se encontraban expuestos los equipos y los servicios que en ellos se ejecutaban, facilitando la respuesta inmediata por parte del administrador a fin de corregir los fallos presentados. Finalmente, este sistema integrado cuenta con un sin número de reportes acerca de la información de los activos, eventos generados y soluciones aplicadas por parte del personal técnico, esto a fin de facilitar la toma de decisiones a nivel directivo e implementar políticas acordes a las situaciones adversas presentadas

Implementación de un sistema de Seguridad (IDS/IPS) Open Source basado en Raspberry para Red del Ministerio Público Sede Puno

Hoy en día, uno de los principales problemas que encontramos en las redes internas LAN es la débil configuración y medidas de seguridad. Esto se convierte en un problema ya que se expone la integridad, disponibilidad y confidencialidad de la información valiosa para la institución. Está claro que ahora ya no podemos hablar de un perímetro de red, ya que los usuarios finales se pueden conectar a través de diferentes dispositivos hacia los recursos de una organización. Esto hace que la arquitectura cambie hacia un enfoque de redes sin fronteras, y el Ministerio Publico sede Puno no será ajeno a este cambio. En la actualidad el Ministerio Publico carece de un sistema de monitorización y control de eventos de Red, un sistema de detección de intrusos y equipos que están propensos a ser blancos de ataques informáticos. En el presente trabajo se muestra una propuesta a cerca de la implementación de un sistema de seguridad que nos permita reforzar y alertar ante posibles intrusiones no deseadas de nuestra red a través de un dispositivo de bajo costo como es la Raspberry

Propuesta de implementación de políticas de seguridad basado en CISCO ISE (identity services engine) en la red LAN de Caja Huancayo

Con el crecimiento tecnológico las entidades públicas y privadas de los diferentes rubros dependen mucho de cómo se encuentra implementada la infraestructura tecnológica, principalmente la informática, ya que dicha implementación es importante para tener un buen manejo y cuidado de la información relevante para la entidad; vale decir, para lograr la seguridad de la información de todas las áreas de la entidad. Este proyecto lleva por título Propuesta de implementación de políticas de seguridad basado en CISCO ISE (Identity Services Engine) en la red Lan de Caja Huancayo y tiene como objetivo elaborar una propuesta de Implementación de CISCO ISE en la infraestructura tecnológica de la CMAC HUANCAYO S.A, con la finalidad de optimizar la seguridad por intermedio de políticas de seguridad aplicadas a la red interna de la Caja Huancayo. La investigación es pre experimental, explicativa y cuantitativa. La población estuvo conformada por los 30 departamentos en que opera Caja Huancayo distribuidos a nivel nacional existentes al cierre del año 2021. La muestra fue seleccionada de forma no probabilística e intencionada, y estuvo conformada por los departamentos de Marketing e Infraestructura Tecnológica de la agencia principal de Caja Huancayo. Asimismo, la tecnología de seguridad a utilizar se decidirá mediante la encuesta a 10 expertos de seguridad informática que laboran en empresas establecidas en Lima. Como resultado se obtuvo que la tecnología de seguridad CISCO ISE consiguió la prioridad más alta en siete aspectos y prioridad media en dos aspectos. Debido a ello CISCO ISE debería utilizarse para la propuesta. Teniendo en cuenta que inicialmente Caja Huancayo no cuenta con una correcta configuración de los swiches y con una plataforma centralizada, este problema se solucionó mediante las pruebas piloto en los departamentos de Marketing e Infraestructura Tecnológica de la agencia principal de Caja Huancayo. Se llegó a la conclusión que la tecnología Cisco ISE optimizaría la seguridad interna en la agencia principal de Caja Huancayo, de esta manera se logró elaborar la propuesta de Implementación de políticas de seguridad para la Red LAN de Caja Huancayo basado en Cisco ISE (Identity Services Engine)