Este documento presenta un webinar sobre sistemas de detección de ataques en tiempo real utilizando AlienVault USM. El webinar cubrirá IDS de red, IDS de host, IDS inalámbrico, configuración de IDS, recolección de eventos IDS, demostraciones y preguntas y respuestas. El objetivo es mostrar las capacidades del AlienVault USM para unir todas las piezas de seguridad, buscar actividad sospechosa e identificar amenazas para proteger los activos valiosos de una organización.
Es evidente que cada vez es más necesario colocar una central Elastix expuesta a Internet por diversas exigencias del mercado, Anexos remotos o extendidos, centrales virtuales, Cloud Computing, etc. Esto trae como consecuencias estar expuestos a varios riesgos en cuanto a la seguridad. La charla expondrá, cómo es posible extender la seguridad en una implementación en Elastix usando SNORT como sistema de detección y prevención de intrusos, para el control y bloqueo de ataques tanto a nivel SIP como de aplicaciones web, los cuales se enfocan en vulnerar la seguridad de la plataforma. La charla es completamente técnica y se desarrollaran ataques contra maquinas virtuales, con el objetivo de mostrar su bloqueo con snort.
Conferencista: Juan Oliva
Es evidente que cada vez es más necesario colocar una central Elastix expuesta a Internet por diversas exigencias del mercado, Anexos remotos o extendidos, centrales virtuales, Cloud Computing, etc. Esto trae como consecuencias estar expuestos a varios riesgos en cuanto a la seguridad. La charla expondrá, cómo es posible extender la seguridad en una implementación en Elastix usando SNORT como sistema de detección y prevención de intrusos, para el control y bloqueo de ataques tanto a nivel SIP como de aplicaciones web, los cuales se enfocan en vulnerar la seguridad de la plataforma. La charla es completamente técnica y se desarrollaran ataques contra maquinas virtuales, con el objetivo de mostrar su bloqueo con snort.
Conferencista: Juan Oliva
Utilizar herramientas de monitoreo que permitan aumentar observar vulnerabilidades en una red expuesta al mundo de internet, con el objetivo de que el alumno futuro administrador determine nuevas estrategias de seguridad en una red corporativa y así poder elevar el desempeño y performance de la red de datos.
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORTJose Gonzales
=> Agenda:
-> Introducción al Sistema de Detección de Intrusos SNORT.
-> Arquitectura de un IDS.
-> Escenarios de Monitoreo de Seguridad.
-> Pruebas de Conceptos.
-> Detección de Ataques por Backdoor > (Katana-Framework & Empire Bypass AV).
-> Detección de Ataques por SQLi > (Burp Suite & SQLiPy Scan & SQLMapper).
¿Cómo detectar ataques de red utilizando Snort? | CISObeatCISObeat
#Webinar #CISObeat 06/12/2018
Puedes ver el video en nuestro canal de YouTube:
https://www.youtube.com/watch?v=id-i-6FgJJc
Ponente: José Antonio Gonzáles Jurado
Security Analyst, BSidesPE 2018 Speaker
Únete a la comunidad: https://tiny.cc/RegistroCISObeat
Utilizar herramientas de monitoreo que permitan aumentar observar vulnerabilidades en una red expuesta al mundo de internet, con el objetivo de que el alumno futuro administrador determine nuevas estrategias de seguridad en una red corporativa y así poder elevar el desempeño y performance de la red de datos.
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORTJose Gonzales
=> Agenda:
-> Introducción al Sistema de Detección de Intrusos SNORT.
-> Arquitectura de un IDS.
-> Escenarios de Monitoreo de Seguridad.
-> Pruebas de Conceptos.
-> Detección de Ataques por Backdoor > (Katana-Framework & Empire Bypass AV).
-> Detección de Ataques por SQLi > (Burp Suite & SQLiPy Scan & SQLMapper).
¿Cómo detectar ataques de red utilizando Snort? | CISObeatCISObeat
#Webinar #CISObeat 06/12/2018
Puedes ver el video en nuestro canal de YouTube:
https://www.youtube.com/watch?v=id-i-6FgJJc
Ponente: José Antonio Gonzáles Jurado
Security Analyst, BSidesPE 2018 Speaker
Únete a la comunidad: https://tiny.cc/RegistroCISObeat
Hoy en día, organizaciones con distintos fines operativos cuentan como mínimo con un sistema de redes interno, así sea solo una computadora con acceso a internet. Estos equipos pueden contar con información valiosa o con un servicio
valioso para la organización. Estos activos o equipos valiosos pueden ser víctimas de distintas amenazas y el impacto puede ser catastrófico de acuerdo al nivel de criticidad que representa el activo.
Para evitar que pase este tipo de eventos existen sistemas
correlacionador de eventos SIEM que busca notificar a los administradores de la red entre otros monitores, los distintos eventos que están ocurriendo en la red.
Los eventos que pueden ocurrir varían entre el tipo de acción que se deba aplicar al activo.
Por ejemplo un virus informático puede estar recorriendo la red,
esperando que un equipo con información valiosa se conecte a red y así pueda hacer diferentes cosas que tiene como objetivo tal virus. Otros ejemplos son las notificaciones por actualización, puertos abiertos, contraseñas débiles, etc.
En el siguiente proyecto queremos mostrar cómo podemos implementar una de estas herramientas de correlacionación con el fin de que sirva como buena práctica al momento de querer monitorear los eventos que ocurren en la red.
Inteligencia Artificial y Ciberseguridad.pdfEmilio Casbas
Recopilación de los puntos más interesantes de diversas presentaciones, desde los visionarios conceptos de Alan Turing, pasando por la paradoja de Hans Moravec y la descripcion de Singularidad de Max Tegmark, hasta los innovadores avances de ChatGPT, y de cómo la IA está transformando la seguridad digital y protegiendo nuestras vidas.
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informáticavazquezgarciajesusma
En este proyecto de investigación nos adentraremos en el fascinante mundo de la intersección entre el arte y los medios de comunicación en el campo de la informática.
La rápida evolución de la tecnología ha llevado a una fusión cada vez más estrecha entre el arte y los medios digitales, generando nuevas formas de expresión y comunicación.
Continuando con el desarrollo de nuestro proyecto haremos uso del método inductivo porque organizamos nuestra investigación a la particular a lo general. El diseño metodológico del trabajo es no experimental y transversal ya que no existe manipulación deliberada de las variables ni de la situación, si no que se observa los fundamental y como se dan en su contestó natural para después analizarlos.
El diseño es transversal porque los datos se recolectan en un solo momento y su propósito es describir variables y analizar su interrelación, solo se desea saber la incidencia y el valor de uno o más variables, el diseño será descriptivo porque se requiere establecer relación entre dos o más de estás.
Mediante una encuesta recopilamos la información de este proyecto los alumnos tengan conocimiento de la evolución del arte y los medios de comunicación en la información y su importancia para la institución.
Actualmente, y debido al desarrollo tecnológico de campos como la informática y la electrónica, la mayoría de las bases de datos están en formato digital, siendo este un componente electrónico, por tanto se ha desarrollado y se ofrece un amplio rango de soluciones al problema del almacenamiento de datos.
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informáticavazquezgarciajesusma
En este proyecto de investigación nos adentraremos en el fascinante mundo de la intersección entre el arte y los medios de comunicación en el campo de la informática.
La rápida evolución de la tecnología ha llevado a una fusión cada vez más estrecha entre el arte y los medios digitales, generando nuevas formas de expresión y comunicación.
Continuando con el desarrollo de nuestro proyecto haremos uso del método inductivo porque organizamos nuestra investigación a la particular a lo general. El diseño metodológico del trabajo es no experimental y transversal ya que no existe manipulación deliberada de las variables ni de la situación, si no que se observa los fundamental y como se dan en su contestó natural para después analizarlos.
El diseño es transversal porque los datos se recolectan en un solo momento y su propósito es describir variables y analizar su interrelación, solo se desea saber la incidencia y el valor de uno o más variables, el diseño será descriptivo porque se requiere establecer relación entre dos o más de estás.
Mediante una encuesta recopilamos la información de este proyecto los alumnos tengan conocimiento de la evolución del arte y los medios de comunicación en la información y su importancia para la institución.
3Redu: Responsabilidad, Resiliencia y Respetocdraco
¡Hola! Somos 3Redu, conformados por Juan Camilo y Cristian. Entendemos las dificultades que enfrentan muchos estudiantes al tratar de comprender conceptos matemáticos. Nuestro objetivo es brindar una solución inclusiva y accesible para todos.
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...Telefónica
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0xWord escrito por Ibón Reinoso ( https://mypublicinbox.com/IBhone ) con Prólogo de Chema Alonso ( https://mypublicinbox.com/ChemaAlonso ). Puedes comprarlo aquí: https://0xword.com/es/libros/233-big-data-tecnologias-para-arquitecturas-data-centric.html
4. AlienVault Unified Security Management
Unimos todas las
piezas
Buscamos actividad que
pueda ser sospechosa
¿Cómo protegemos
nuestras casas ?
Identificamos Amenazas
Determinamos que
tiene Valor
Identificamos como pueden
afectar lo que es valioso
4
5. AlienVault Unified Security Management
Unimos todas las
piezas
Buscamos actividad que
pueda ser sospechosa
¿Cómo aseguramos
nuestra empresa?
Identificamos Amenazas
Determinamos que
tiene Valor
Identificamos como pueden
afectar lo que es valioso
5
6. AlienVault Unified Security Management
Correlación de eventos
Respuesta a Incidentes
Recolección de Logs
Análisis de NetFlows
Monitorización Disponibilidad
IDS de Red
IDS de Host
IDS Wireless
Análisis de la Red
Inventario de Activos
¿Como aseguramos
nuestra empresa?
Escaneos
Vulnerabilidades
6
7. 5 Capacidades principales del USM
AlienVault’s Unified Security Management™ (USM™) proporciona una
forma rápida y rentable para las organizaciones de hacer frente a las
necesidades de gestión de amenazas y cumplimento.
Con todos los controles de seguridad esenciales incorporados,
AlienVault USM provee una visibilidad completa de la seguridad de la
información.
7
8. 5 Capacidades principales del USM
Automatización de Inventario para los activos críticos
El descubrimiento de activos nos permite crear un inventario de los
activos desplegados, logrando con ello dar un primer paso para la
evaluación de vulnerabilidades, detección de amenazas, apreciación del
comportamiento de la red y de los servicios para detectar violaciones en
las políticas corporativas.
8
9. 5 Capacidades principales del USM
Detecta que activos son vulnerables a los ataques
Mediante la combinación de la visibilidad completa y actualizada de los
sistemas a través de las herramientas de evaluación de vulnerabilidades,
AlienVault ha incorporado medidas preventivas de seguridad. La
evaluación de vulnerabilidades permite identificar posibles debilidades
en los sistemas y así priorizar las acciones para mejorar su nivel de
seguridad.
9
10. 5 Capacidades principales del USM
Identifica exploits específicos utilizados en los ataques
Con una amplia base de conocimiento, el Sistema de Detección de
Intrusiones en la red que AlienVault incorpora el análisis del tráfico de
red para detectar firmas de ataques conocidos, e identificar patrones de
los métodos de ataque conocidos. Esto proporciona una visibilidad
inmediata de los ataques que se utilizan en contra de su sistema.
10
11. 5 Capacidades principales del USM
Identifica los comportamientos anormales
Los cambios en el comportamiento de las redes, sistemas y servicios
pueden indicar una defensa débil o violación de seguridad. Para ello se
combina el análisis del flujo de red para identificar los cambios sufridos,
la captura de paquetes completos para el análisis forense y el
seguimiento de servicios activos para verificar proactivamente cambios
en los servicios.
11
12. 5 Capacidades principales del USM
Inteligencia en la Seguridad de la Información en acción
Dar un valor añadido a la gran cantidad de información recogida es unos
de los grandes objetivos de la Inteligencia de seguridad. Así, mediante la
automatización de la correlación de eventos en tiempo real podemos
hacer que un trozo de información que por sí solo no significa nada,
puede ser una pieza muy importante de un conjunto global.
12
14. IDS de Red - Snort
Snort es un sistema de detección de intrusos a nivel de red.
Dispone de un lenguaje de creación de reglas en el que se pueden definir
los patrones (reglas) que se utilizarán a la hora de monitorizar el sistema.
Snort es uno de los NIDS más utilizados en todo el mundo, su proyecto
arranco en 1998 de la mano de Martin Roesch.
Es bastante útil para identificar: Malware, Escáneo de Puertos, Violación
de Políticas(P2P, IM, Porn, Games...).
14
16. IDS de Red - Suricata
Suricata es un sistema de detección de intrusos de red de la Open
Information Security Foundation (OISF).
Es multiproceso, lo que significa que puede ejecutar una instancia y va a
equilibrar la carga de procesamiento a través de cada procesador.
Reconocimiento de los protocolos más comunes automáticamente,
permitiendo escribir reglas basadas en protocolos.
Suricata es compatible con las reglas de Snort.
16
18. IDS de Host - OSSEC
OSSEC es un HIDS (Host-level Intrusion Detection System) que permite
análisis de logs, detección de rootkit, chequeos de integridad del sistema y
monitorización del registro de Windows.
OSSEC requiere la instalación de un agente para la monitorización
(Excepto sistemas con acceso SSH).
Attempt to login using a non-existent user
Attempt to use mail server as relay (client host rejected).
Logon failure: Account currently disabled
Sensor
18
19. IDS de Host - OSSEC
OSSEC se basa en una arquitectura cliente -> servidor.
AlienVault colecta los eventos del servidor OSSEC (Instalado en el Sensor
AlienVault).
OSSEC provee un sistema de plugins propios usados para el análisis de
plataformas Windows y UNIX.
Utilidad dentro de la plataforma AlienVault:
Colección de logs de Windows y Unix
Colección de logs de aplicaciones
Monitorización de registro, archivos y directorios (DLP)
19
21. IDS de Wireless- Kismet
Kismet es un sistema detector de red Wireless en capa 2 (802.11), con
funcionalidades de sniffer y detector de intrusos.
Kismet funciona con cualquier tarjeta inalámbrica con soporte para
monitorización en bruto (rfmon), y (con hardware apropiado) puede
monitorizar tráfico 802.11b, 802.11a, 802.11g y 802.11n.
Utilidad dentro de la plataforma AlienVault:
Aseguramiento de redes WIFI.
Detección de AP falsos.
Cumplimiento (Requerimientos PCI Wireless).
21
23. Pasivo Vs Activo
Pasivo
Activo
Las herramientas pasivas requieren un puerto mirroring / puerto span configurado
en el equipo de red para ser capaz de analizar el tráfico de la red monitorizada/ s.
23
24. IDS de Red - Snort & Suricata
Por defecto en una instalación de AlienVault USM viene activado el NIDS
Suricata.
Tener las interfaces recibiendo el trafico de los port mirroring.
Avanzado: Realizar ajuste fino diferente para cada interfaz (Red de oficina,
DMZ…) No utilizar aquellas reglas que no resultan interesantes para el
tráfico que se va a recibir por cada interfaz.
24
25. IDS de Host - OSSEC
Por defecto en una instalación de AlienVault AIO o Sensor viene activado
el HIDS OSSEC con un agente desplegado para el proprio AlienVault.
AlienVault ha integrado todas las funcionalidades de OSSEC en su consola
Web (todas las configuraciones necesarias se harán en el menú
Environment -> detection -> HIDS ).
25
26. IDS de Wireless- Kismet
Tener configurado el Sensor Kistmet (howto en AlienVault Bloomfire)
Por defecto en una instalación de AlienVault, Kismet no viene activado por
ello es necesario habilitar el plugin de Kismet (AlienVault Center).
26
30. Top 10 de Ataques de Seguridad
Desde Open Web Application Security Project (OWASP) han determinado:
A1 Inyección
A2 Pérdida de Autenticación y Gestión de Sesiones
A3 Cross-Site Scripting (XSS)
A4 Referencias directa inseguras a objetos
A5 Configuración de Seguridad incorrecta
A6 Exposición de datos sensibles
A7 – Ausencia de Control de Acceso a las Funciones
A8 Cross-Site Request Forgery (CSRF)
A9 Utilización de componentes con vulnerabilidades conocidas
A10 Redirects y Forwards no validados
30
31. Arquitectura de la Demo
Alienvault USM
192.168.0.1
Apache Vulnerable
192.168.0.123
31