Aunque la ciberseguridad es una rama que cada vez cuenta con más tecnologías en el mercado disponibles para las organizaciones, aún hay franjas dentro de este sector que no cuentan con la oportunidad de acceder al amplio abanico de posibilidades a nivel defensivo que les permitan bastionar de manera adecuada sus sistemas y/o arquitecturas frente a una cantidad de amenazas que va en aumento. Este riesgo supone fugas de información, pérdidas reputacionales y daños económicos considerables que ponen en peligro la continuidad de negocio de estas empresas. Esta falta de acceso a los medios viene dada principalmente por la carencia monetaria por parte de las corporaciones de obtener las herramientas que necesitan incorporar para cubrir sus necesidades. Así pues, en este trabajo se ha desarrollado una arquitectura que permite realizar la detección, monitorización, análisis y respuesta de los ciberataques dados en unas máquinas de las que el propio usuario dispone, en este caso, un conjunto de ordenadores que componen la red de una supuesta pequeña empresa. De estos datos, tomados en tiempo real, se recaban: alerta generada por el ciberataque, técnica utilizada, identificador referente en MITRE ATT&CK, táctica donde se encasilla, hash y nombre del fichero, línea de comandos del sistema relacionado, fecha y hora de cuando se ejecutó; entre otros. Para ello se han utilizado diversas tecnologías, entre las que se destacan la implementación de un script que coopera con la herramienta Sysmon del paquete de Sysinternals además de con un agente de recopilación de logs del sistema conocida como Winlogbeat, y de una plataforma de respuesta incidentes de seguridad escalable conocida como TheHive (Adouani, y otros, 2022). Específicamente, la cooperación de las tres primeras herramientas constituye las bases de un sistema de Endpoint Detection and Response, donde Sysmon proporciona la detección, Winlogbeat la monitorización y el script la respuesta necesaria, todo de manera continuada. Por otro lado, TheHive es una plataforma de tres en uno; donde tres tecnologías independientes colaboran entre sí con el objetivo de recabar y analizar la mayor información posible de un nuevo ciberataque, reportarlo y preparar una contra respuesta de la manera más efectiva y rápida, en el caso de que sea necesario. Los resultados obtenidos demuestran que se trata de un proyecto de ciberseguridad que supone una mejora notable frente al seguimiento, análisis y defensa continuada de amenazas que pongan en peligro a aquellas organizaciones que no pueden permitirse una tecnología tan costosa; ya que proporciona el establecimiento de una arquitectura potente, fiable, escalable, fácil de mantener y al alcance de cualquier persona con conocimientos en el campo.
Except where otherwise noted, this item's license is described as Attribution-NonCommercial-NoDerivatives 4.0 Internacional