Desde
Segu-Info, hace 5 años implementamos soluciones del tipo SIEM Open Source en nuestros
cliente. En el siguiente artículo contamos un poco de qué se trata este tipo
de soluciones y como puede ayudar a las organizaciones de América Latina, que
muchas veces buscan soluciones Buenas, Bonitas y Baratas.
Es difícil cumplir con las 3B, pero se hace lo posible: una de estas
plataformas es Wazuh.
Las organizaciones que gestionan diversos tipos de datos sensibles o
información de identificación personal (PII) deben cumplir con los estándares
y marcos de cumplimiento normativo. Estos estándares de cumplimiento también
se aplican a las organizaciones que operan en sectores regulados como la
salud, las finanzas, la contratación pública o la educación. Algunos de estos
estándares y marcos incluyen, entre otros:
- Norma ISO 27000
- Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS)
- Reglamento General de Protección de Datos (RGPD)
- Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA)
-
Marco de Publicación Especial del Instituto Nacional de Estándares y
Tecnología (NIST SP 800-53) - Criterios de Servicios de Confianza (TSC)
- Certificación del Modelo de Madurez de Ciberseguridad (CMMC)
Razones para cumplir con los requisitos de cumplimiento
A continuación se presentan algunas razones para cumplir con los requisitos de
cumplimiento:
-
Proteger a las empresas y organizaciones de los riesgos, amenazas y
filtraciones de datos relacionados con la ciberseguridad. -
Desarrollar procesos organizativos eficientes que faciliten la obtención de
licencias comerciales. -
Evitar riesgos financieros, pérdidas y multas debido a filtraciones de datos
o incumplimiento de los requisitos regulatorios.
Cómo cumplir con los requisitos de cumplimiento normativo
Las normas y marcos de cumplimiento normativo pueden implementarse siguiendo
los siguientes puntos:
-
Revisión periódica de las normas y marcos de cumplimiento normativo vigentes
aplicables a su organización. -
Designación de un especialista para que se encargue del proceso de
cumplimiento. Este especialista puede ser el responsable de cumplimiento de
la organización. -
Sensibilización de los empleados y terceros relevantes sobre las normas de
cumplimiento y la necesidad de mantener el cumplimiento. Esta
sensibilización puede incluir formación y ejercicios prácticos sobre los
marcos de cumplimiento aplicables. -
Realización de auditorías internas periódicas de los sistemas y procesos
para garantizar el cumplimiento de los requisitos normativos pertinentes. - Uso de plataformas para supervisar y exigir el cumplimiento.
Wazuh SIEM/XDR
Wazuh es
una plataforma de seguridad de código abierto que proporciona protección
unificada de Detección y Respuesta Extendidas (XDR) y Gestión de Eventos e
Información de Seguridad (SIEM) para endpoints.
Unifica funciones que históricamente estaban separadas en una única
arquitectura de agente y plataforma. Wazuh ofrece diversas funcionalidades,
como detección y respuesta ante amenazas, detección de vulnerabilidades,
monitorización de la integridad de archivos, seguridad de contenedores,
inventario del sistema y evaluación de la configuración de seguridad. Estas
funcionalidades se complementan con visualizaciones que muestran diversas
métricas y el cumplimiento de su organización con estándares específicos.
Wazuh puede ayudar a supervisar e implementar estándares y marcos de
cumplimiento normativo mediante lo siguiente:
-
Módulos listos para usar compatibles con marcos y estándares de
cumplimiento. - Visualización de eventos de cumplimiento.
- Clasificación de alertas según los requisitos de cumplimiento.
- Documentación actualizada de cumplimiento normativo.
-
Módulos listos para usar compatibles con marcos y estándares de
cumplimiento#
Wazuh incluye paneles, módulos y conjuntos de reglas predeterminados asociados
con estándares de cumplimiento y marcos regulatorios específicos. Estos
incluyen paneles de control para PCI DSS, GDPR, HIPAA, NIST SP 800-53 y marcos
TSC.
Análisis de registros
Se puede configurar Wazuh para que se adapte a las necesidades específicas de
la organización, como la monitorización de información confidencial. Esto se
logra mediante los módulos de análisis de datos de registro de Wazuh y
Monitoreo de Integridad de Archivos (FIM).
Por ejemplo, se puede
detectar números de tarjetas de crédito (PAN) expuestos
en un endpoint monitorizado o se pueden utilizar estas funciones para
identificar información confidencial (¿contraseñas?) y mejorar la seguridad de
su organización.
Detección de vulnerabilidades
Al explotarse una vulnerabilidad se puede permitir el acceso no autorizado,
la ejecución remota de código, la exfiltración de datos o la interrupción
del sistema. Wazuh ofrece a los usuarios una forma de gestionar las
vulnerabilidades dentro de una infraestructura de TI mediante el módulo de
Detección de Vulnerabilidades. Este módulo ayuda a los usuarios a descubrir
vulnerabilidades en el sistema operativo y las aplicaciones instaladas en
los endpoints monitoreados. El módulo funciona utilizando una de las
siguientes fuentes de vulnerabilidades:
-
Repositorio de vulnerabilidades de Wazuh en la plataforma de
Inteligencia de Ciberamenazas (CTI). -
Repositorio de vulnerabilidades sin conexión: una copia alojada
localmente del repositorio de inteligencia de amenazas de Wazuh.
El agente de Wazuh recopila una lista de aplicaciones instaladas (datos de
inventario de software) de los endpoints monitoreados y la envía al servidor
de Wazuh. El módulo de detección de vulnerabilidades correlaciona estos
datos de inventario de software con la información de vulnerabilidades
obtenida del repositorio de vulnerabilidades.
Respuesta activa para la gestión de incidentes
Wazuh incluye el módulo de Respuesta Activa para automatizar la respuesta a
incidentes. Este módulo permite configurar una respuesta preferida cuando se
activa una alerta. También se pueden desarrollar scripts de respuesta
activa personalizados, adaptados a los casos de uso del entorno. El siguiente
ejemplo muestra una respuesta activa que deshabilita una cuenta de usuario al
detectar varios intentos fallidos de inicio de sesión.
Visualización de eventos de cumplimiento
Wazuh ofrece paneles dedicados para supervisar y dar seguimiento a eventos
relevantes para los requisitos de cumplimiento. Estos paneles ofrecen una
vista rápida de los eventos de cumplimiento recientes, la cronología de las
alertas generadas, los agentes en los que se producen las alertas y el volumen
de alertas por agente.
Clasificación de alertas según requisitos de cumplimiento
El panel de cumplimiento de Wazuh ofrece una sección «Controles» que muestra
los requisitos de cumplimiento aplicables. Este panel también muestra las
alertas generadas para cada requisito y los detalles del evento que las
generó.
Este panel proporciona visibilidad de los requisitos y ayuda a orientar los
esfuerzos del especialista en cumplimiento y los auditores internos para
mantenerse al día con las normas de cumplimiento normativo.
Documentación de cumplimiento normativo actualizada
Una forma de mantener el cumplimiento normativo es revisar periódicamente y
mantenerse al día con los marcos de cumplimiento normativo aplicables a su
organización. Wazuh facilita esta tarea mediante una sección de información
para cada requisito. Esta sección contiene una descripción del requisito y las
alertas relacionadas.
La información del panel de Wazuh se actualiza con las últimas versiones de
los estándares y marcos de cumplimiento. Esta información proporcionará al
equipo de cumplimiento una visión general del impacto de las alertas
generadas.
Conclusión
El cumplimiento normativo es fundamental para empresas y organizaciones. Estos
estándares y marcos de cumplimiento guían a las empresas en su protección y
seguridad.
Se pueden utilizar diversas plataformas de soporte para garantizar el
cumplimiento de los estándares y marcos regulatorios. Wazuh es una de ellas.
Proporciona detección de amenazas, respuesta y visibilidad del estado de
cumplimiento de sus endpoints.