Desde Segu-Info, hace 5 años implementamos soluciones del tipo SIEM Open Source en nuestros cliente. En el siguiente artículo contamos un poco de qué se trata este tipo de soluciones y como puede ayudar a las organizaciones de América Latina, que muchas veces buscan soluciones Buenas, Bonitas y Baratas. Es difícil cumplir con las 3B, pero se hace lo posible: una de estas plataformas es Wazuh.
Las organizaciones que gestionan diversos tipos de datos sensibles o información de identificación personal (PII) deben cumplir con los estándares y marcos de cumplimiento normativo. Estos estándares de cumplimiento también se aplican a las organizaciones que operan en sectores regulados como la salud, las finanzas, la contratación pública o la educación. Algunos de estos estándares y marcos incluyen, entre otros:
- Norma ISO 27000
- Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS)
- Reglamento General de Protección de Datos (RGPD)
- Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA)
- Marco de Publicación Especial del Instituto Nacional de Estándares y Tecnología (NIST SP 800-53)
- Criterios de Servicios de Confianza (TSC)
- Certificación del Modelo de Madurez de Ciberseguridad (CMMC)
Razones para cumplir con los requisitos de cumplimiento
A continuación se presentan algunas razones para cumplir con los requisitos de cumplimiento:
- Proteger a las empresas y organizaciones de los riesgos, amenazas y filtraciones de datos relacionados con la ciberseguridad.
- Desarrollar procesos organizativos eficientes que faciliten la obtención de licencias comerciales.
- Evitar riesgos financieros, pérdidas y multas debido a filtraciones de datos o incumplimiento de los requisitos regulatorios.
Cómo cumplir con los requisitos de cumplimiento normativo
Las normas y marcos de cumplimiento normativo pueden implementarse siguiendo los siguientes puntos:
- Revisión periódica de las normas y marcos de cumplimiento normativo vigentes aplicables a su organización.
- Designación de un especialista para que se encargue del proceso de cumplimiento. Este especialista puede ser el responsable de cumplimiento de la organización.
- Sensibilización de los empleados y terceros relevantes sobre las normas de cumplimiento y la necesidad de mantener el cumplimiento. Esta sensibilización puede incluir formación y ejercicios prácticos sobre los marcos de cumplimiento aplicables.
- Realización de auditorías internas periódicas de los sistemas y procesos para garantizar el cumplimiento de los requisitos normativos pertinentes.
- Uso de plataformas para supervisar y exigir el cumplimiento.
Wazuh SIEM/XDR
Wazuh es una plataforma de seguridad de código abierto que proporciona protección unificada de Detección y Respuesta Extendidas (XDR) y Gestión de Eventos e Información de Seguridad (SIEM) para endpoints.
Unifica funciones que históricamente estaban separadas en una única arquitectura de agente y plataforma. Wazuh ofrece diversas funcionalidades, como detección y respuesta ante amenazas, detección de vulnerabilidades, monitorización de la integridad de archivos, seguridad de contenedores, inventario del sistema y evaluación de la configuración de seguridad. Estas funcionalidades se complementan con visualizaciones que muestran diversas métricas y el cumplimiento de su organización con estándares específicos.
Wazuh puede ayudar a supervisar e implementar estándares y marcos de cumplimiento normativo mediante lo siguiente:
- Módulos listos para usar compatibles con marcos y estándares de cumplimiento.
- Visualización de eventos de cumplimiento.
- Clasificación de alertas según los requisitos de cumplimiento.
- Documentación actualizada de cumplimiento normativo.
- Módulos listos para usar compatibles con marcos y estándares de cumplimiento#
Wazuh incluye paneles, módulos y conjuntos de reglas predeterminados asociados con estándares de cumplimiento y marcos regulatorios específicos. Estos incluyen paneles de control para PCI DSS, GDPR, HIPAA, NIST SP 800-53 y marcos TSC.
Análisis de registros
Se puede configurar Wazuh para que se adapte a las necesidades específicas de la organización, como la monitorización de información confidencial. Esto se logra mediante los módulos de análisis de datos de registro de Wazuh y Monitoreo de Integridad de Archivos (FIM).
Por ejemplo, se puede detectar números de tarjetas de crédito (PAN) expuestos en un endpoint monitorizado o se pueden utilizar estas funciones para identificar información confidencial (¿contraseñas?) y mejorar la seguridad de su organización.
Detección de vulnerabilidades
Al explotarse una vulnerabilidad se puede permitir el acceso no autorizado, la ejecución remota de código, la exfiltración de datos o la interrupción del sistema. Wazuh ofrece a los usuarios una forma de gestionar las vulnerabilidades dentro de una infraestructura de TI mediante el módulo de Detección de Vulnerabilidades. Este módulo ayuda a los usuarios a descubrir vulnerabilidades en el sistema operativo y las aplicaciones instaladas en los endpoints monitoreados. El módulo funciona utilizando una de las siguientes fuentes de vulnerabilidades:
- Repositorio de vulnerabilidades de Wazuh en la plataforma de Inteligencia de Ciberamenazas (CTI).
- Repositorio de vulnerabilidades sin conexión: una copia alojada localmente del repositorio de inteligencia de amenazas de Wazuh.
El agente de Wazuh recopila una lista de aplicaciones instaladas (datos de inventario de software) de los endpoints monitoreados y la envía al servidor de Wazuh. El módulo de detección de vulnerabilidades correlaciona estos datos de inventario de software con la información de vulnerabilidades obtenida del repositorio de vulnerabilidades.
Respuesta activa para la gestión de incidentes
Wazuh incluye el módulo de Respuesta Activa para automatizar la respuesta a incidentes. Este módulo permite configurar una respuesta preferida cuando se activa una alerta. También se pueden desarrollar scripts de respuesta activa personalizados, adaptados a los casos de uso del entorno. El siguiente ejemplo muestra una respuesta activa que deshabilita una cuenta de usuario al detectar varios intentos fallidos de inicio de sesión.
Visualización de eventos de cumplimiento
Wazuh ofrece paneles dedicados para supervisar y dar seguimiento a eventos relevantes para los requisitos de cumplimiento. Estos paneles ofrecen una vista rápida de los eventos de cumplimiento recientes, la cronología de las alertas generadas, los agentes en los que se producen las alertas y el volumen de alertas por agente.
Clasificación de alertas según requisitos de cumplimiento
El panel de cumplimiento de Wazuh ofrece una sección "Controles" que muestra los requisitos de cumplimiento aplicables. Este panel también muestra las alertas generadas para cada requisito y los detalles del evento que las generó.
Este panel proporciona visibilidad de los requisitos y ayuda a orientar los esfuerzos del especialista en cumplimiento y los auditores internos para mantenerse al día con las normas de cumplimiento normativo.
Documentación de cumplimiento normativo actualizada
Una forma de mantener el cumplimiento normativo es revisar periódicamente y mantenerse al día con los marcos de cumplimiento normativo aplicables a su organización. Wazuh facilita esta tarea mediante una sección de información para cada requisito. Esta sección contiene una descripción del requisito y las alertas relacionadas.
La información del panel de Wazuh se actualiza con las últimas versiones de los estándares y marcos de cumplimiento. Esta información proporcionará al equipo de cumplimiento una visión general del impacto de las alertas generadas.
Conclusión
El cumplimiento normativo es fundamental para empresas y organizaciones. Estos estándares y marcos de cumplimiento guían a las empresas en su protección y seguridad.
Se pueden utilizar diversas plataformas de soporte para garantizar el cumplimiento de los estándares y marcos regulatorios. Wazuh es una de ellas. Proporciona detección de amenazas, respuesta y visibilidad del estado de cumplimiento de sus endpoints.