Implementación en contenedores de la plataforma de código abierto Wazuh

Abstract

La mayor complejidad y sofisticación de los ciberataques hace necesario que las organizaciones dispongan de los medios organizativos, técnicos y de personal para hacerle frente. Sin embargo, las pequeñas y medianas empresas sin los recursos necesarios son un objetivo preferente de los ciberdelincuentes, con el riesgo que ello implica. En este trabajo se despliega la plataforma de seguridad Wazuh (SIEM con XDR) para evaluar el estado de seguridad y proteger proactivamente los dispositivos finales, dado que aparecen relacionados en una parte importante de los vectores de ataque. Primero, se realiza una investigación de soluciones SIEM de código abierto o comercial de uso gratuito, para concluir con una comparativa con un enfoque cuantitativo y cualitativo que permita contrastar la plataforma Wazuh con otras soluciones y verificar si cumple los requisitos necesarios para su implementación. A continuación, el análisis de documentación sirve de base para adaptar el despliegue de la plataforma en contenedores con los principios básicos de bastionado de los sistemas y con los mínimos componentes indispensables. Finalmente, se analizan y evalúan cualitativamente posibles casos de uso de la plataforma Wazuh que ayuden a proteger los dispositivos finales, teniendo en cuenta tácticas, técnicas y procedimientos utilizadas por los atacantes. Las conclusiones del trabajo pretenden determinar que la solución implementada proporciona medios de protección eficaces a distintos ciberataques que se observan en la actualidad.

La mayor complejidad y sofisticación de los ciberataques hace necesario que las organizaciones dispongan de los medios organizativos, técnicos y de personal para hacerle frente. Sin embargo, las pequeñas y medianas empresas sin los recursos necesarios son un objetivo preferente de los ciberdelincuentes, con el riesgo que ello implica. En este trabajo se despliega la plataforma de seguridad Wazuh (SIEM con XDR) para evaluar el estado de seguridad y proteger proactivamente los dispositivos finales, dado que aparecen relacionados en una parte importante de los vectores de ataque. Primero, se realiza una investigación de soluciones SIEM de código abierto o comercial de uso gratuito, para concluir con una comparativa con un enfoque cuantitativo y cualitativo que permita contrastar la plataforma Wazuh con otras soluciones y verificar si cumple los requisitos necesarios para su implementación. A continuación, el análisis de documentación sirve de base para adaptar el despliegue de la plataforma en contenedores con los principios básicos de bastionado de los sistemas y con los mínimos componentes indispensables. Finalmente, se analizan y evalúan cualitativamente posibles casos de uso de la plataforma Wazuh que ayuden a proteger los dispositivos finales, teniendo en cuenta tácticas, técnicas y procedimientos utilizadas por los atacantes. Las conclusiones del trabajo pretenden determinar que la solución implementada proporciona medios de protección eficaces a distintos ciberataques que se observan en la actualidad.

The greater complexity and sophistication of cyber-attacks makes it necessary for organisations to have the organisational, technical and staff resources to deal with them. However, small and medium-sized enterprises without the necessary resources are a prime target for cybercriminals, with the risk that this entails. In this work, the Wazuh security platform (SIEM with XDR) is deployed to assess the security status and proactively protect endpoints, due to the fact that they are related in an important part of the attack vectors. First, an investigation of open source or free-to-use commercial SIEM solutions is carried out, to conclude with a comparison with a quantitative and qualitative approach that allows contrasting the Wazuh platform with other solutions and verifying whether it meets the necessary requirements for its implementation. Next, the documentation analysis is used as a starting point for adapting the deployment of the containerised platform with the bastioning basic principles of the systems with the minimum necessary components. Finally, possible use cases of the Wazuh platform to help protect endpoints are analysed and qualitatively evaluated, taking into consideration tactics, techniques and procedures used by attackers. The conclusions of the work aim to determine that the implemented solution provides protection effective measures against different cyberattacks that are currently observed.