Saltar navegación

Defensa proyecto Carlos García - Contenido educativo

Ajuste de pantalla

El ajuste de pantalla se aprecia al ver el vídeo en pantalla completa. Elige la presentación que más te guste:

Subido el 15 de mayo de 2025 por Agustin N.

1 visualizaciones

Más información Transcripción

Descargar la transcripción

Buenas tardes, Carlos. Hoy día, 15 de mayo, a las 20 horas, estamos convocados a través de Jefatura del Departamento para la defensa del módulo profesional del proyecto del ciclo formativo de grado superior de Administración del Sistema Informático ENRE. 00:00:08
Le informo que esta grabación se usará en entornos cerrados de EducaMadrid, con fines educativos, y sólo estará a disposición de los profesores en el aula virtual para llevar a cabo la evaluación y calificación de la defensa del proyecto. 00:00:23
En el lado virtual del proyecto habéis sido informados de los criterios y rúbricas de calificación 00:00:37
El orden de la presentación del proyecto es el siguiente 00:00:42
15 minutos máximos para defender el proyecto y 5 minutos para preguntas por parte del tribunal 00:00:45
Dicho esto, tu tiempo de exposición comienza a partir de este momento 00:00:52
Adelante y mucha suerte 00:00:57
Perfecto, muchas gracias Agustín 00:00:59
Muy buenas tardes, mi nombre es Carlos 00:01:02
y vengo a presentarles una solución para la seguridad y monitorización de la red, 00:01:05
utilizando estas cuatro herramientas, Suricata, Loki, Promtail y Grafana. 00:01:10
Mientras hablamos, más de 4.000 ataques de ransomware ocurren diariamente. 00:01:18
Los atacantes permanecen un promedio de 277 días en los sistemas antes de ser detectados, 00:01:23
como ocurrió en el caso de SolarWinds. 00:01:28
SolarWinds, descubierto en diciembre de 2020, 00:01:31
es considerado uno de los ciberataques 00:01:33
más sofisticados de la historia. 00:01:35
Fue un ataque a la cadena de suministro 00:01:38
donde los hackers, posteriormente atribuido 00:01:40
al grupo CosyVR, APT29, 00:01:43
comprometieron el software Orion de SolarWinds, 00:01:46
una herramienta de monitorización de redes 00:01:48
utilizada por más de 33.000 clientes en todo el mundo. 00:01:50
¿Qué hicieron exactamente? 00:01:54
Los atacantes comprometieron el entorno de desarrollo 00:01:56
de SolarWinds. 00:01:58
Hicieron una inserción de malware, 00:02:00
modificaron el código fuente de Orion para incluir una puerta trasera. SolarWinds, desconociendo 00:02:01
todo lo que estaba sucediendo, obviamente distribuyó las actualizaciones firmadas digitalmente 00:02:08
a sus clientes. El malware permanecía dormido durante más de 14 días y solo se activaba 00:02:13
en objetivos muy específicos. Una vez activado, activaba comunicaciones contra servidores 00:02:19
C2 y permitía a los atacantes moverse dentro de redes comprometidas. Y aquí vamos al segundo 00:02:25
punto, el 43% de todos estos ataques se dirigen a pequeñas empresas y el reciente caso de la 00:02:31
cadena de suministro Mubit demuestra que al final, hoy en día, ser pequeño ya no significa ser 00:02:37
invisible para los ciberdelincuentes. ¿Qué ocurrió con Mubit? Descubierto en 2023, fue una brecha 00:02:42
masiva de seguridad que afectó a miles de organizaciones en todo el mundo. Los atacantes 00:02:48
atribuidos al grupo SIOP explotaron una vulnerabilidad de día cero en Mubit. 00:02:53
Un popular software de transferencia segura de archivos utilizado por empresas 00:02:59
para compartir al final datos sensibles con clientes y socios. 00:03:04
¿Qué hicieron exactamente los atacantes? 00:03:07
Los atacantes aprovecharon una vulnerabilidad de inyección de SQL en Mubit Transfer. 00:03:10
La vulnerabilidad permitió ejecutar código arbitrario y acceder a las bases de datos. 00:03:16
Extrajeron información sensible al final de miles de organizaciones 00:03:21
El grupo SEOP, obviamente, amenazó con publicar los datos robados 00:03:25
Si no se les ofrecía un rescate económico 00:03:30
Al final, muchas organizaciones desconocían que estaban afectados 00:03:33
Hasta que sus proveedores les notificaron del problema 00:03:38
Y llegamos al tercer punto 00:03:42
Cada 39 segundos se produce un nuevo ciberataque en algún lugar del mundo 00:03:45
sumado a más de 2.200 ataques diarios solamente en España. Es decir, la situación es bastante comprometida a día de hoy. 00:03:49
¿Qué proponemos? ¿Qué ofrecemos? Nos basamos en tres pilares con nuestra solución. 00:04:00
Una detección temprana y proactiva, reduciendo el tiempo de detección de semanas y días a minutos 00:04:07
mediante un análisis de tráfico en tiempo real con Suricata, 00:04:13
Identificando patrones sospechosos antes de que se conviertan en brechas para nuestra organización 00:04:16
Tenemos un segundo pilar, la visibilidad centralizada y contextual 00:04:23
Al final transformamos miles de alertas generadas en un log en dashboards intuitivos gracias a Grafana 00:04:27
Permitiendo ver patrones de ataque, priorizar amenazas y responder a incidentes con información completa 00:04:35
Nuestro tercer pilar es la adaptabilidad y la escalabilidad 00:04:40
Ofrecemos una solución que evoluciona con las amenazas mediante reglas personalizables y una arquitectura modular que se adapta a cualquier entorno. Lo de las reglas personalizables, guardarlo para más adelante porque lo analizaremos. 00:04:45
protegemos al final infraestructuras desde pequeñas empresas hasta infraestructuras 00:05:01
críticas pymes empresas grandes infraestructuras críticas al final la solución puede abarcar a 00:05:08
todo tipo de entornos cuál es la arquitectura la arquitectura que ofrecemos es la siguiente 00:05:17
Suricata como motor IDS-IPS 00:05:28
que analizará el tráfico 00:05:31
de red y generará las alertas 00:05:32
¿Qué es 00:05:35
exactamente IDS-IPS? 00:05:37
IDS 00:05:40
es el modo 00:05:40
de Suricata para leer el 00:05:43
tráfico sin interferir con él 00:05:45
es decir, generará alertas en el 00:05:46
archivo if.json pero no 00:05:48
bloqueará el 00:05:51
contenido malicioso 00:05:52
simplemente estará escuchando 00:05:54
analizará el tráfico y nos lo volcará en los dashboards. 00:05:56
En modo IPS, Suricata se colocará inline en el flujo de tráfico. 00:06:01
¿Esto qué quiere decir? 00:06:07
Que analizará paquetes antes de que lleguen a su destino. 00:06:07
Puede descartar paquetes maliciosos según las reglas configuradas. 00:06:11
Lo único y el punto importante requiere una integración con Firewalls. 00:06:16
Ok, pasamos a Promptail, que será la gente que recoja los logs de Suricata y extraerá la información relevante. 00:06:22
¿Qué es exactamente lo que hace Promptail? 00:06:31
Lee continuamente el archivo .json de Suricata, extraerá la información clave, como por ejemplo el tipo de evento, 00:06:33
la firma de alerta, la severidad, IPs de origen, IPs de destino, puertos, y transformará toda esta información en etiquetas, en labels, y enviará los logs estructurados a Loki. 00:06:41
Y pasamos al punto 3, Loki. Loki al final almacena y permite consultar los logs de una manera eficiente. Recibe y almacena los logs enviados por Promtail, indexa por etiquetas, permite consultas complejas utilizando LogQL, facilita agregaciones como conteos, promedios y tendencias y nos retendrá un histórico según las políticas que configuremos. 00:06:57
Al final, escala horizontalmente para manejar grandes volúmenes de alertas. 00:07:25
Vale, y pasamos a la siguiente diapositiva. 00:07:31
Y aquí tenemos el verdadero poder de la conjunción de todas estas herramientas. 00:07:35
¿Qué tenemos aquí? 00:07:42
Tenemos, por ejemplo, el panel, el dashboard de Grafana, 00:07:43
con, por ejemplo, suricatas IPs, 00:07:49
IPs, que nos muestra el top de origen que generan más alertas, top IP de destino que reciben más ataques. 00:07:51
Luego también tenemos el Suricata Type Rules, que nos distribuye las alertas por categoría, 00:08:00
las tendencias de tipo de ataque a lo largo del tiempo, signatures más activadas y la severidad de alertas por tipo. 00:08:06
Luego tenemos Suricata Proto, que al final son los protocolos de red, distribución de alertas por protocolo, TCP, UDP, ISMP, HTTP, DNS, etc. 00:08:14
El volumen de tráfico por protocolo, las anomalías en el uso de protocolos, protocolos no estándar o encapsulados, etc. 00:08:29
Luego tenemos Suricata Destination Ports, como bien indica el nombre, top puertos de destino con más alertas, distribución de ataques temporales por puerto, puertos no estándar con actividad sospechosa, correlación entre puertos y tipos de ataque, etc. 00:08:37
Esto al final son los dashboards de Grafana. Toda la información que volcamos del if.json de Suricata lo vemos centralizado en todo esto. Todo esto al final es personalizable, es configurable, es decir, podemos editar las vistas que necesitemos. 00:08:57
Las reglas personalizadas. Las reglas personalizadas al final es uno de los puntos más importantes en todo esto. ¿Por qué? Porque nos permite detectar amenazas específicas para nuestro entorno que las reglas genéricas posiblemente no nos cubran. 00:09:18
Cuando se visualizan estas reglas, obtenemos una capa de defensa adaptada a nuestras necesidades. Es decir, podemos generar reglas personalizadas, pues por ejemplo, una detección de desfiltración de datos. 00:09:40
Perdón 00:10:00
Esta regla la detecta cuando un equipo interno, por ejemplo 00:10:02
Un equipo cliente de cualquier usuario dentro de nuestra organización 00:10:06
Envía una cantidad inusualmente grande de datos 00:10:11
Por ejemplo, más de 500K, más de 1M, más de 2M, etc. 00:10:14
Hacia internet utilizando el protocolo HTTP 00:10:19
¿Por qué HTTP? 00:10:21
Porque al final los atacantes utilizan HTTP para filtrar datos robados ya que pasa fácilmente por los firewalls. 00:10:24
Esta regla detectaría cuando alguien podría estar enviando archivos grandes, por ejemplo, bases de datos, documentos confidenciales, etc. hacia el exterior. 00:10:36
¿Qué más tipos de alertas podemos generar personalizadas? 00:10:47
Por ejemplo, protección de activos críticos fuera de horario. Esta regla que nos permite, por ejemplo, generar una alerta cuando un dispositivo accede a servidores definidos como críticos fuera del horario laboral, por ejemplo, de 8 de la mañana a 8 de la tarde. 00:10:50
¿Por qué es importante al final este tipo de reglas? Porque muchos ataques al final ocurren fuera del horario laboral, pues evidentemente cuando hay menos supervisión. Esta regla implementa el principio de comportamiento anómalo temporal. Si nadie debería de acceder a estos servidores fuera del horario, cualquier acceso debería de ser sospechoso. 00:11:09
¿Vale? ¿Qué más reglas? Por ejemplo, podemos crear control de acceso a las bases de datos SQL 00:11:30
Esta regla detectaría intentos de inicios de conexión al puerto 1433 SQL Server 00:11:38
Desde cualquier origen que no esté en la lista de clientes autorizados 00:11:45
Esta regla es importantísima al final porque las bases de datos contienen al final información crítica y confidencial 00:11:49
Esta regla implementa el principio de whitelist, es decir, solamente los sistemas explícitamente autorizados deberían poder conectarse a la base de datos. 00:11:58
Ventajas al final de toda esta solución. La solución al final es modular, es escalable y basada en software libre, es decir, que al final el costo de licencias es cero. 00:12:11
No es un gran desembolso económico. Nos permite una visibilidad centralizada gracias a Grafana. 00:12:21
Tenemos un montón de dashboards personalizables, podemos volcar un montón de datos del tráfico de nuestra red, de lo que está sucediendo y en tiempo real, un dato muy importante al final, gracias a Suricata, está leyendo todo el rato el flujo de nuestro tráfico de la red. 00:12:29
Es decir, tenemos una visión en tiempo real de lo que está sucediendo en nuestro entorno. Todo esto nos facilita la investigación de incidentes y la generación de informes. Es decir, tenemos los datos en tiempo real. 00:12:54
Podemos ayudarnos de todo ello a la hora de generar informes, a la hora de investigar un incidente 00:13:11
Y llegamos finalmente a la conclusión 00:13:20
No es cuestión al final de si seremos atacados, sino de cuándo 00:13:26
En un mundo donde cada 39 segundos ocurre un ciberataque 00:13:30
La pregunta ya no es si nuestra organización será un objetivo, sino de cuándo 00:13:34
La diferencia al final entre una brecha catastrófica y un incidente contenido 00:13:39
está en nuestra capacidad de detección y de reacción. 00:13:43
El coste de la inacción es insostenible en estos momentos. 00:13:47
Mientras que implementar esta solución, evidentemente, tiene un coste inicial, 00:13:52
el coste de no hacerlo puede ascender a cientos de miles y millones de euros por brecha. 00:13:57
Más un dato muy importante que cada vez se tiene, obviamente, más en cuenta, 00:14:04
el daño reputacional. Al final, este tipo de brechas genera una catástrofe y la pérdida de confianza en clientes y socios 00:14:11
puede ser una ruina para una organización. Al final, esta solución nos ofrece ser reactivos, ser proactivos, 00:14:22
pasar de ser víctimas a ser defensores, la idea de la ciberseguridad. Esta solución no solamente transformará nuestra posición técnicamente, 00:14:30
Al final de esperar el inevitable ataque, un inevitable desenlace de todo esto, tenemos la capacidad de reaccionar a todo esto y a prevenir los ataques antes de que ocurran. 00:14:39
Y nada, espero... No me quiero pasar de pantalla. Bueno, listo. Gracias y espero que les haya gustado la presentación y bueno, eso es todo. 00:14:57
Muchas gracias, Carlos. 00:15:18
Sí. 00:15:23
Sí, una pregunta que te haría es, ¿qué es la parte del proyecto que más te ha costado o cuál crees tú que puede suponer lo más difícil de implementar este proyecto? 00:15:23
Sí, la parte al final más costosa de implementar son las reglas personalizadas, es decir, tenemos que hacer un análisis de nuestra organización, de nuestro entorno para saber y descubrir qué es crítico. 00:15:35
Es decir, qué servidores tenemos, qué necesidad tenemos de vigilarlos, definir qué es crítico, qué no es crítico, es al final lo complicado de implementar este tipo de proyectos. 00:15:52
Porque requiere un análisis al final de toda la organización, contabilidad, sistemas, al final abarca un montón de cosas, producción, depende de nuestro ámbito de la empresa a la que nos queramos enfocar, tenemos que hacer un análisis individual al final de esta solución. 00:16:09
Muy bien. Bueno, Carlos, pues muchísimas gracias por realizar tu exposición. Voy a proceder a detener la grabación, ¿vale? 00:16:31
Perfecto, muchísimas gracias. 00:16:42
Idioma/s:
es
Materias:
Administración de Sistemas Informáticos en Red
Etiquetas:
Gestión de proyectos
Niveles educativos:
▼ Mostrar / ocultar niveles
  • Formación Profesional
    • Ciclo formativo de grado básico
      • Primer Curso
      • Segundo Curso
    • Ciclo formativo de grado medio
      • Primer Curso
      • Segundo Curso
    • Ciclo formativo de grado superior
      • Primer Curso
      • Segundo Curso
Autor/es:
Agustin Nieto Espino
Subido por:
Agustin N.
Licencia:
Todos los derechos reservados
Visualizaciones:
1
Fecha:
15 de mayo de 2025 - 20:38
Visibilidad:
Clave
Centro:
IES CIFP a Distancia Ignacio Ellacuría
Duración:
16′ 47″
Relación de aspecto:
1.78:1
Resolución:
1920x1080 píxeles
Tamaño:
70.35 MBytes

Del mismo autor…

Ver más del mismo autor

EducaMadrid, Plataforma Educativa de la Comunidad de Madrid

Plataforma Educativa EducaMadrid