El documento resume las actividades del CESICAT, un organismo encargado de la ciberseguridad en Cataluña. Explica que CESICAT ha implementado una solución basada en Elastic Stack para gestionar logs de múltiples fuentes en tiempo real, lo que ha mejorado la detección de amenazas, gestión de incidentes y reducido costos. También describe cómo usan los datos para realizar actividades de "threat hunting" y desarrollo de inteligencia de amenazas, con el objetivo de seguir mejorando la seguridad cibernética.
CESICAT: Analītica de Seguridad con el Elastic Stack
1. 1
Pedro Lendínez, Juan González
03 Dic. 2019, CESICAT
Security Analytics con
Elastic Stack
2. 2
El CESICAT es el organismo encargado por el
Gobierno de la Generalitat para el
establecimiento y el seguimiento de los
programas de actuación pertinentes en materia
de ciberseguridad, bajo la dirección estratégica del
Gobierno de la Generalitat, colaborando con las
entidades del sector público de la Administración de la
Generalitat, los Gobiernos locales de Cataluña, del sector
privado y la sociedad civil.
La Fundación CESICAT, atendiendo las funciones que le
son propias, llega a ser la entidad idónea para asumir el
reto de la protección de la información y la infraestructura
TIC de las instituciones y ciudadanos de Cataluña y,
especialmente, de la del Gobierno de la Generalitat.
3. 3
Garantizar una sociedad de la información catalana
segura para todos, con un Centro de Seguridad de
la Información de Catalunya, como herramienta
para la generación de un tejido empresarial catalán
de aplicaciones y servicios de seguridad TIC
referentes a nivel internacional.
MISIÓN DEL CESICAT
CESICAT
Pla d’Impuls de la Seguretat TIC
10. 10
CESICAT
Gestión y tratamientos de logs: Problemática
• Entorno multiproveedor.
• Múltiples orígenes de datos.
• N e c e s i d a d d e t r a t a r
información en tiempo real.
• Mayores requerimientos de
información (no datos).
• Reducción de los tiempos
de gestión de incidentes.
11. 11
Disponer de un punto central de gestión de trazas
Poder gestionar eventos de seguridad en tiempo real
Mejorar la capacidad de detección de ataques
Mejorar la capacidad de gestión de incidentes
Reducir los costes asociados a los tratamientos de logs
1
2
3
4
5
CESICAT
Proyecto Data Lake: Objetivos
12. 12
CESICAT
Gestión y tratamientos de logs: Problemática
• Entorno multiproveedor.
• Múltiples orígenes de datos.
• N e c e s i d a d d e t r a t a r
información en tiempo real.
• Mayores requerimientos de
información (no datos).
• Reducción de los tiempos
de gestión de incidentes.
18. 18
Gestión de incidentes
Investigación del timeline
Análisis de logs
Búsqueda de evidencias dentro de los logs de
la infraestructura.
Disponibilidad de trazas
Para un incidente dentro del perímetro, los
logs ya están disponibles por defecto.
Ingesta de logs de cliente
Extracción e ingesta de logs generados fuera
del perímetro.
19. 19
“Threat Hunting
como Gestión
de Incidentes
desde un punto
de partida
diferente”
INFORM & ENRICH
Analytics
CREATE
Hypotheses
INVESTIGATE
Via Tools &
Techniques
UNCOVER
New Patterns &
TTps
20. 20
Fase de investigación
Validación de la hipótesis planteada
“Un atacante con
a c c e s o a l o s
ordenadores del
u s u a r i o f i n a l
u t i l i z a r á
herramientas para
e x t r a e r
c r e d e n c i a l e s
válidas”
1
De manera trivial, el
“hunter” puede
accede a los logs que
describen un
movimiento lateral.
2 4
Al acceder a los datos
d e s d e u n p u n t o
centralizado, resulta
trivial disponer de
información sobre el
envío de datos hacia el
exterior, por ejemplo
para detectar una
e x f i l t r a c i ó n d e
información.
3
Toda misión de
“Hunting” pretende
concluir aportando
medidas que mejoren
la detección futura de
casos similares:
visualizaciones, casos
de uso, nuevas reglas,
etc.
26. 26
Consolidar e incrementar la arquitectura del Elastic Stack
Evolucionar la madurez del programa de Threat Hunting
Realizar pruebas de concepto sobre IA.
Ampliar el número de fuentes internas / externas ingestadas
Reducir los costes asociados a los tratamientos de logs
1
2
3
4
5
CESICAT
Proyecto Data Lake: Próximos pasos