Despliegue de Zeek IDS y su posterior explotación para el análisis de actividades sospechosas en la red

Abstract

Actualmente, la mayoría de las corporaciones ofrecen servicios que dependen de sitios web y aplicaciones basadas en internet. Esto provoca que los riegos para la privacidad y seguridad a los que están expuestos aumenten considerablemente. Los ciberataques han aumentado estando al alcance de personas con conocimientos escasos. Lo que anteriormente se hacía por diversión, reconocimiento o ganas de aprender, ahora se ha convertido en uno de los negocios que mueve más cantidad de dinero. Para solucionar estos riegos, las empresas utilizan sistemas de protección que generan un volumen de datos enorme, siendo muy difícil de analizar rápidamente y filtrado en alertas procesables. La finalidad de este proyecto reside en la implementación de un sistema, compuesto por un IDS integrado en un SIEM, que proporciona un análisis exhaustivo de la red de la organización, vigilando y monitorizando el tráfico y detectando posibles eventos maliciosos. Mediante este sistema, el equipo de seguridad contará con un método efectivo para automatizar procesos y centralizar la gestión de la seguridad. Además, se realizará una estandarización de datos, transformando los datos provenientes de diferentes fuentes a un formato común utilizado para ejecutar el análisis y correlación reduciendo la carga de trabajo del equipo. El proyecto aportará un grado de seguridad de tipo preventivo ante cualquier actividad sospechosa haciendo que el equipo de seguridad reciba alertas anticipadas y puedan actuar con antelación suficiente para mitigar el problema y minimizar la afectación.

Currently, most corporations offer services that rely on internet-based websites and applications. This situation causes that the privacity and security risks increase considerably. Cyber attacks have increased being available to people with limited knowledge. What was previously done for fun, recognition or desire to learn, has become in one of the businesses that move more money. To solve these risks, companies use protection systems that generate huge volumen of data, being very difficult to analyze it quickly and filter it in actionable alerts. The project aims to alleviate this situation by implementing a system consisting of an Instruction Detection System (IDS) integrated in a Security Information and Event Management (SIEM) that provides an exhaustive analysis of the organization¿s network, monitoring traffic and detecting posible malicious events. By using this system, security teams will have an effective method to automate processes and centralize security management. In addition, data standardization is perfomed, transforming the data from different sources into a common format used to run análisis and correlation, reducing the team's workload. This project will provide a degree of preventive security against any suspicious activity, making the security team receive early alerts and be able to act quickly enough to mitigate the problem and minimize the impact.

Actualment, la majoria de les corporacions ofereixen serveis que depenen de llocs web i aplicacions basades en internet. Això provoca que els regs per a la privacitat i seguretat als quals estan exposats augmentin considerablement. Els ciberatacs han augmentat estant a l'abast de persones amb coneixements escassos. El que anteriorment es feia per diversió, reconeixement o ganes d'aprendre, ara s'ha convertit en un dels negocis que mou més quantitat de diners. Per a solucionar aquests regs, les empreses utilitzen sistemes de protecció que generen un volum de dades enorme, sent molt difícil d'analitzar ràpidament i filtrat en alertes procesables. La finalitat d'aquest projecte resideix en la implementació d'un sistema, compost per un IDS integrat en un SIEM, que proporciona una anàlisi exhaustiva de la xarxa de l'organització, vigilant i monitorant el trànsit i detectant possibles esdeveniments maliciosos. Mitjançant aquest sistema, l'equip de seguretat comptarà amb un mètode efectiu per a automatitzar processos i centralitzar la gestió de la seguretat. A més, es realitzarà una estandardització de dades, transformant les dades provinents de diferents fonts a un format comú utilitzat per a executar l'anàlisi i correlació reduint la càrrega de treball de l'equip. El projecte aportarà un grau de seguretat de tipus preventiu davant qualsevol activitat sospitosa fent que l'equip de seguretat rebi alertes anticipades i puguin actuar amb antelació suficient per a mitigar el problema i minimitzar l'afectació.