Security Art Work

En las últimas semanas (y meses) las aplicaciones móviles de apoyo a la lucha contra el virus se han erigido en uno de los múltiples prismas desde los que analizar la pandemia ocasionada por COVID-19; como otros tantos, en medio de este escenario repleto de riesgos e incertidumbre, esta perspectiva ha emergido acompañada de una importante dosis de polémica y controversia.

Por un lado, están las aplicaciones focalizadas en las funcionalidades de geolocalización de los ciudadanos; por otra parte, las aplicaciones de autodiagnóstico; y como punto en común a todas ellas, las potenciales limitaciones al derecho fundamental de protección de datos personales. En el ámbito europeo, diferentes interesados han saltado a la arena de una u otra forma: desde la propia Unión Europea, emitiendo sus recomendaciones; pasando por los proveedores de las propias aplicaciones, con Apple y Google como actores más renombrados; hasta las autoridades nacionales, las regionales u otros estamentos públicos reguladores, como es el caso de la Agencia Española de Protección de Datos.

• SigmaShooter (I): Preparando el SIEM Graylog.
• SigmaShooter (II): Generando nuestra primera firma Sigma.
• SigmaShooter (III): Desplegando SigmaShooter.
• SigmaShooter (IV): Ejecución automática de Sigma contra SIEM.
• SigmaShooter (V): DFIR con SigmaShooter.

En esta última entrega, y ya no os molesto más 😉, vamos a probar SigmaShooter en un caso de análisis forense informático.

Para ello, vamos a imaginar que un cliente nos pide realizar un análisis forense de 10 equipos de su red, por ejemplo, porque el antivirus ha detectado en los 10 equipos, en el mismo momento, un fichero sospechoso y no saben de dónde ha salido. Ante esta situación, el cliente nos envía las evidencias de los equipos afectados a analizar.

Antes de empezar con el forense de los 10 equipos, lo cual nos llevaría mucho tiempo, podemos subir los registros de eventos de Windows a SigmaShooter que serán subidos a nuestro SIEM configurado, Graylog en esta primera versión de la herramienta, y sobre los cuales se ejecutarán las firmas SIGMA cargadas.

Vivimos en una sociedad que gravita alrededor de la información, por lo que no cabe duda de la importancia que cobran hoy en día las capacidades y habilidades de comunicación. Con independencia del tipo de proyecto, servicio o actividades, saber transmitir la información de manera eficaz y eficiente a los responsables y agentes interesados es sin duda un aspecto crítico.

Indudablemente, la comunicación es un proceso esencial de cualquier organización, capaz de propulsar y revalorizar otros procesos estratégicos o primarios. En el ámbito profesional, una parte importante de esta comunicación se materializa en los informes, debido a su carácter más formal y elemento de transmisión de información tanto vertical como horizontal. Por ello, deben responder a los habituales principios de la comunicación: transparencia y accesibilidad según el modelo de clasificación de la información, de modo que estén disponibles a todas las partes interesadas; idoneidad, para que sus contenidos sean pertinentes a los destinatarios; credibilidad, proporcionando información veraz, exacta y apropiada; y claridad, resultando comprensibles y huyendo de toda ambigüedad. Más allá de estas variables, nunca se debe olvidar que los informes suelen utilizarse como herramientas de apoyo a la decisión.

• SigmaShooter (I): Preparando el SIEM Graylog.
• SigmaShooter (II): Generando nuestra primera firma Sigma.
• SigmaShooter (III): Desplegando SigmaShooter.
• SigmaShooter (IV): Ejecución automática de Sigma contra SIEM.
• SigmaShooter (V): DFIR con SigmaShooter.

Llegados a este punto de la serie, en el que ya disponemos de un entorno SIEM, Graylog, recibiendo eventos de Windows y tenemos desplegada la herramienta SigmaShooter, configuraremos la aplicación para ejecutar la inteligencia subida a la herramienta, en forma de firma Sigma, contra el SIEM Graylog de manera programada.

Pero antes de empezar, subiremos nuestras reglas Sigma a la aplicación desde el botón “Upload Sigma rules”:

Sin duda, todos ustedes conocerán al célebre estadístico norteamericano William Edwards Deming, firme defensor de la necesidad de transformación de la industria americana en el último tercio del pasado siglo XX y que, al mismo tiempo, desarrollaría una próspera y relevante carrera profesional durante la reconstrucción de Japón posterior a la Segunda Guerra Mundial.

Con toda probabilidad, la mayoría de ustedes estarán familiarizados con los “14 principios de la Calidad Total de Deming”, cuyo cuarto principio establece que:

Don’t award business based on price; minimize total cost by having single suppliers on long-term relationships of loyalty and trust

Es decir, algo así como: “acabe con la práctica de realizar negocios fundamentados en el precio; en lugar de ello, minimice el coste total por medio de unos pocos proveedores sobre la base de relaciones a largo plazo cimentadas en la lealtad y la confianza”.

Naturalmente, un principio es una idea fundamental que debe regir un pensamiento o una conducta… ¡lo cual no significa que sea posible llevarlo a la práctica en todo momento y circunstancia!

• SigmaShooter (I): Preparando el SIEM Graylog.
• SigmaShooter (II): Generando nuestra primera firma Sigma.
• SigmaShooter (III): Desplegando SigmaShooter.
• SigmaShooter (IV): Ejecución automática de Sigma contra SIEM.
• SigmaShooter (V): DFIR con SigmaShooter.

En esta entrega se describen los primeros pasos con la herramienta SigmaShooter, desde que tenemos el código fuente hasta la ejecución de nuestra primera firma Sigma contra el SIEM Graylog. La aplicación se desplegará en un servidor Linux Debian 9.

A continuación, se enumeran lo pasos a seguir:

1. Clonamos el código de SigmaShooter desde su Github:

$ git clone https://github.com/ppll0p1s/SigmaShooter.git 
# Y nos colocamos en la carpeta del proyecto
$ cd SigmaShooter/

En mayor o menor medida, por todos son conocidos los requisitos de la norma ISO/IEC 27001 en relación a la información documentada. Atendiendo al mandato:

“el sistema de gestión de seguridad de la información de la organización debe incluir la información documentada requerida por esta norma internacional, así como aquella otra que la organización determine que es necesaria para la eficacia del sistema de gestión de seguridad de la información”

Cada entidad deberá crear, actualizar y controlar un conjunto nada desdeñable de documentos: políticas, Declaración de Aplicabilidad, alcance, revisiones por la dirección, procedimientos, normas reguladoras de la gestión de controles de seguridad, hojas de cálculo, formularios, listas de control, registros,…

• SigmaShooter (I): Preparando el SIEM Graylog.
• SigmaShooter (II): Generando nuestra primera firma Sigma.
• SigmaShooter (III): Desplegando SigmaShooter.
• SigmaShooter (IV): Ejecución automática de Sigma contra SIEM.
• SigmaShooter (V): DFIR con SigmaShooter.

SIGMA es un metalenguaje genérico y abierto, creado por Florian Roth, que permite describir en formato YAML reglas para detectar registros relevantes de una manera directa. El formato de la regla es muy flexible, fácil de escribir y aplicable a cualquier tipo de registro.

De esta manera, SIGMA proporciona una forma estructurada en la que los investigadores o analistas pueden describir sus métodos de detección y una vez desarrollados compartirlos con otros.

Una vez creada una firma SIGMA, esta puede ser convertida a consulta para la gran mayoría de sistemas SIEM, gracias al binario “sigmac”, SIGMA Converter.

1 Funcionamiento

El flujo de trabajo se define en el repositorio oficial de SIGMA con la siguiente imagen:

• SigmaShooter (I): Preparando el SIEM Graylog.
• SigmaShooter (II): Generando nuestra primera firma Sigma.
• SigmaShooter (III): Desplegando SigmaShooter.
• SigmaShooter (IV): Ejecución automática de Sigma contra SIEM.
• SigmaShooter (V): DFIR con SigmaShooter.

Esta semana se publicaba la herramienta SigmaShooter, una aplicación web para gestionar firmas Sigma y ejecutarlas contra el SIEM Graylog en su primera versión:

En esta serie de posts veremos la utilización de la herramienta, desde que instalamos el SIEM y enviamos datos al sistema, hasta la ejecución automática de firmas Sigma contra el mismo. Dividiremos la serie en las siguientes entregas:

• SigmaShooter (I): Preparando el SIEM Graylog.
• SigmaShooter (II): Generando nuestra primera firma Sigma.
• SigmaShooter (III): Desplegando SigmaShooter.
• SigmaShooter (IV): Ejecución automática de Sigma contra SIEM.
• SigmaShooter (V): DFIR con SigmaShooter.

Así que en este post, empezaremos por el principio, instalar y configurar el SIEM Graylog.

Afortunadamente, cada día son más las empresas que, convencidas de los beneficios de articular y normalizar sus actividades sobre la estructura de sistemas de gestión, van adoptando e implantando algunos de ellos: desde el primigenio Sistema de Gestión de la Calidad ISO 9001, pasando por el Sistema de Gestión Ambiental ISO 14001, el Sistema de Gestión de la Continuidad de Negocio ISO 22301 o los más afines con las Tecnologías de la Información, el Sistema de Gestión de Servicios ISO 20000-1 y el Sistema de Gestión de Seguridad de la Información ISO 27001.

Pero, en el marco de este esfuerzo continuado y creciente de implantación de un Sistema Integrado de Gestión que aglutine los diversos sistemas de gestión de la empresa, ¿qué ocurre cuando el alcance de los primeros sistemas de gestión resulta demasiado genérico para su transposición a los nuevos sistemas de gestión que se van incorporando a dicho sistema integrado?

[Read more…]