Implementación de Wazuh en una organización pública

Abstract

La información se ha convertido en el recurso más valioso en el mundo y debemos esforzarnos en protegerla mejorando nuestras capacidades de detección de ciberataques. Los SIEM pueden ayudarnos a ello y pueden ser piezas muy importantes para asegurar y proteger los activos de las organizaciones y de todo el tráfico de red. En este trabajo fin de Máster hemos implementado la arquitectura de Wazuh y ELK Stack en nuestra organización, permitiéndonos protegerla de una forma multidisciplinar: correctiva (mediante la detección de vulnerabilidades), preventiva (mediante el bastionado de servidores), proactiva (mediante la recolección de logs, integridad de ficheros o análisis de malware en tiempo real), informativa (mediante diferentes tipos de notificaciones), reactiva (mediante mecanismos de respuesta activa (active response) ante las diferentes alertas generadas) y personalizada (permitiéndonos monitorizar dispositivos sin agente y creando nuestras propias reglas y decodificadores). Hemos descubierto una solución de software libre muy completa. Además, al tratarse nuestra organización de una administración pública, nos ayudará a cumplir con el Esquema Nacional de Seguridad (ENS), de obligado cumplimiento desde el año 2010.

Data have turned into the most valuable resource in the world and we must make an effort to protect them, improving our cyber attack detection capabilities. SIEMs can help us to achieve it so they can become very important tools to secure and protect enterprise assets and network traffic. In this Master's thesis we have deployed the Wazuh and ELK Stack architecture in our organization, allowing us to protect it in a multidisciplinary way: corrective (through vulnerability detection), preventive (through server hardening), reactive (through active response mechanisms which are triggered when alerts are generated) and customized (being able of monitoring agentless devices and creating our own rules and decoders). We have discovered a very complete open source solution. Due to the fact that our organization is a public administration, it will help us to accomplish with the National Security Framework (ENS), which is mandatory since the year 2010.

La informació s'ha convertit en el recurs més valuós en el món i hem d'esforçar-nos a protegir-la millorant les nostres capacitats de detecció de ciberatacs. Els SIEM poden ajudar-nos a això i poden ser peces molt importants per a assegurar i protegir els actius de les organitzacions i de tot el trànsit de xarxa. En aquest treball fi de Màster hem implementat l'arquitectura de Wazuh i ELK Stack en la nostra organització, permetent-nos protegir-la d'una forma multidisciplinària: correctiva (mitjançant la detecció de vulnerabilitats), preventiva (mitjançant el bastionado de servidors), proactiva (mitjançant la recol·lecció de logs, integritat de fitxers o anàlisis de malware en temps real), informativa (mitjançant diferents tipus de notificacions), reactiva (mitjançant mecanismes de resposta activa (activi response) davant les diferents alertes generades) i personalitzada (permetent-nos monitorar dispositius sense agent i creant les nostres pròpies regles i descodificadors). Hem descobert una solució de programari lliure molt completa. A més, en tractar-se la nostra organització d'una administració pública, ens ajudarà a complir amb l'Esquema Nacional de Seguretat (ENS), d'obligat compliment des de l'any 2010.