La infraestructura crítica es importante para la existencia, el crecimiento y el desarrollo de la sociedad. Las sociedades dependen de los servicios proporcionados por sectores de infraestructura crítica como las telecomunicaciones, la energía, la atención médica, el transporte y la tecnología de la información. La seguridad y la protección son necesarias para el funcionamiento óptimo de estas infraestructuras críticas. La infraestructura crítica está compuesta por activos digitales y no digitales. Las organizaciones deben adelantarse a las amenazas de seguridad cibernética para evitar fallas causadas por ataques cibernéticos en la infraestructura crítica. Encontrar formas de proteger los activos digitales en un panorama en constante cambio lleno de amenazas es una actividad continua. Las organizaciones también deben emplear soluciones de seguridad eficientes y mejores prácticas para mantenerse protegidas y reducir las posibilidades de compromiso.
Las soluciones de seguridad ayudan a proteger y mejorar la visibilidad del panorama de amenazas de una organización. Diferentes soluciones utilizan diferentes conceptos y enfoques. Un concepto importante que ha surgido recientemente es la detección y respuesta extendidas (XDR).
Las soluciones XDR brindan capacidades de detección y respuesta en múltiples capas. Las herramientas XDR correlacionan los datos mediante la detección de amenazas y métodos de respuesta mediante la recopilación de registros y eventos de diversas fuentes, como dispositivos de red, servidores y aplicaciones. Estas capacidades hacen posible que los equipos de seguridad detecten, investiguen y respondan rápidamente a los incidentes.
Ataques a infraestructura crítica
En febrero de 2022, se produjo un ataque a la cadena de suministro en uno de los gigantes energéticos de Alemania. Este ataque provocó el cierre de más de 200 gasolineras en toda Alemania, afectando vidas y negocios. Este evento ocurrió casi un año después del ataque de Colonial Pipeline en los Estados Unidos de América, donde se produjo la filtración de datos y una infección de ransomware cerró los servicios digitales dentro de su infraestructura durante días. Un artículo del NYTimes informó que se pagaron aproximadamente 5 millones de dólares a los piratas informáticos involucrados en el ataque del ransomware Colonial Pipeline. Los piratas informáticos en el caso de Colonial Pipeline pudieron ingresar utilizando una contraseña de VPN comprometida y procedieron a realizar actividades de intrusión durante un día completo antes de ser detectados.
Hay varios puntos de entrada para los ataques a la infraestructura crítica y algunos vectores son más frecuentes que otros. Estos vectores incluyen credenciales comprometidas, sistemas operativos sin parches, aplicaciones vulnerables y malware entregado a través de diversas técnicas.
Se debe hacer hincapié en proteger la infraestructura crítica antes de que ocurra un ataque, independientemente de cómo se origine. Las soluciones de seguridad ayudan a las organizaciones a protegerse de diferentes vectores de ataque. Estas soluciones incluyen XDR, SIEM, escáneres de códigos, analizadores de infraestructura, escáneres de vulnerabilidades y soluciones de detección de malware. Además de estas soluciones, se encuentran los estándares de cumplimiento. Algunos estándares recomendados son NIST, PCI DSS, HIPAA y GDPR. La aplicación correcta de estas soluciones y estándares de cumplimiento puede ayudar a mejorar la postura de seguridad de una organización.
Cómo XDR puede mitigar los ataques
Un XDR juega un papel importante en situaciones en las que los actores de amenazas se dirigen a diferentes activos digitales de una organización. Con un XDR integrado en la infraestructura de una organización, los eventos de seguridad de varias fuentes y activos se analizan y correlacionan para determinar qué actividades están ocurriendo en la infraestructura. Un XDR tiene la capacidad de detectar y proporcionar respuestas automáticas a actividades maliciosas en un entorno. Tal respuesta puede matar un proceso malicioso, eliminar un archivo malicioso o aislar un punto final comprometido. Como las respuestas se ejecutan casi en tiempo real, la velocidad juega un papel fundamental en la ejecución de estas tareas.
Wazuh SIEM/XDR
Wazuh es una plataforma SIEM y XDR gratuita y de código abierto. Incluye varios componentes que protegen las cargas de trabajo locales y en la nube. La plataforma Wazuh opera con un modelo agente-servidor. Los componentes centrales de Wazuh (servidor, indexador y tablero) analizan los datos de seguridad de los puntos finales de su infraestructura. Al mismo tiempo, el agente de Wazuh se implementa en los puntos finales para recopilar datos de seguridad y proporcionar detección y respuesta a amenazas. El agente de Wazuh es liviano y admite múltiples plataformas. Wazuh también admite el monitoreo sin agente en enrutadores, firewalls y conmutadores.
Capacidades de Wazuh XDR
Wazuh tiene varias capacidades que ayudan a una organización a adelantarse a las amenazas de seguridad. Algunas de estas capacidades son la detección de malware, la detección de vulnerabilidades, el monitoreo de la integridad de los archivos y la respuesta automática a las amenazas, entre otras. Las siguientes secciones contienen más detalles sobre las capacidades de Wazuh que ayudan a proteger la infraestructura crítica.
Análisis de datos de registro
El módulo de análisis de datos de registro de Wazuh recopila y analiza datos de seguridad de varias fuentes. Dichos datos incluyen registros de eventos del sistema, registros de aplicaciones y registros de comportamiento anormal del sistema. En consecuencia, los datos analizados se utilizan para la detección de amenazas y la respuesta automática. Esta capacidad le brinda visibilidad de los eventos que ocurren en diferentes puntos finales de su infraestructura.
Fig. 1: Eventos de seguridad de un punto final monitoreado en el tablero de Wazuh. |
Detección de malware
Wazuh tiene varias características que ayudan en la detección de malware. Además, Wazuh se puede integrar con otras herramientas de seguridad como YARA y VirusTotal para detectar malware. Configurando correctamente Wazuh Listas de bases de datos constantes (CDB), los valores de las alertas decodificadas, como usuarios, hash de archivos, direcciones IP o nombres de dominio, se pueden comparar con registros maliciosos. Aquí hay una publicación de blog que muestra cómo Wazuh se puede integrar con listas CDB para detectar y responder a archivos maliciosos. Esta capacidad de Wazuh lo ayuda a detectar malware en varios puntos finales monitoreados.
Monitoreo de integridad de archivos
El módulo Monitoreo de integridad de archivos (FIM) de Wazuh monitorea un sistema de archivos de punto final para detectar cambios en archivos y directorios predefinidos. Las alertas se activan cuando se crea, modifica o elimina un archivo en los directorios supervisados. Puede ver cómo se utiliza este módulo para detectar cambios en un archivo de clave SSH en la publicación del blog. Detección de criptomineros ilegítimos en puntos finales de Linux. Con el módulo FIM de Wazuh, puede detectar cambios en los archivos de configuración en sistemas críticos y determinar si la actividad está autorizada o es maliciosa.
Detección de vulnerabilidades
Wazuh usa el módulo detector de vulnerabilidades para encontrar vulnerabilidades en un punto final monitoreado. La detección de vulnerabilidades funciona mediante la realización de auditorías de software. Estas auditorías son posibles al aprovechar las fuentes de vulnerabilidades indexadas de fuentes como Canonical, Debian, Red Hat, Arch Linux, ALAS (Amazon Linux Advisories Security), Microsoft y la base de datos nacional de vulnerabilidades. Estos feeds están correlacionados por Wazuh con información del inventario de aplicaciones del endpoint. Los administradores deben comenzar la remediación inmediatamente después de que se detecten las vulnerabilidades antes de que los actores malintencionados puedan explotarlas.
Respuesta automatizada a las amenazas.
El módulo de respuesta activa de Wazuh se puede configurar para ejecutar automáticamente contramedidas cuando los eventos coinciden con criterios específicos. Puede ejecutar acciones definidas por el usuario, como bloquear o eliminar un cortafuegos, modelar o limitar el tráfico, bloquear cuentas, apagar el sistema, etc. El módulo de respuesta activa se configuró para denegar la conexión a la red desde una fuente maliciosa identificada en la publicación del blog. Respondiendo a ataques de red con Suricata y Wazuh XDR.
Conclusión
La implementación de seguridad en múltiples capas de infraestructura crítica reduce la superficie de ataque de una organización. Hemos enfatizado algunos factores a tener en cuenta para mantener una postura de seguridad adecuada. Al proteger sus activos digitales, sugerimos una solución que funcione bien con varios puntos finales, sistemas y tecnologías.
Wazuh es una solución XDR gratuita y de código abierto. Incluye las capacidades necesarias para descubrir vulnerabilidades, determinar el estado de configuración del sistema y responder a amenazas en sus activos digitales. Wazuh también brinda soporte para estándares de cumplimiento como PCI DSS, HIPAA, NIST y GDPR. Wazuh tiene un creciente comunidad donde se brinda soporte a los usuarios. Mira el Wazuh documentación para más información.