Saltar al contenido

Gestión de Vulnerabilidades con un SIEM (AlienVault OSSIM)

Compartir en:

Hoy os voy a presentar una herramienta que considero extremadamente útil si estáis al cardo de cualquier infraestructura medianamente compleja y quieres obtener un plus de control y seguridad, un SIEM llamado AlienVault OSSIM.

SIEM

¿Qué es un SIEM?, Básicamente es un orquestador de diferentes tecnologías orientadas a la seguridad (información de seguridad y gestión de eventos). Generalmente, se compone de un colector/analizador de eventos, un gestor y analizador de vulnerabilidades y de un gestor centralizado de los datos que se combinan proporcionando identificación, análisis y una recuperación más ágil a de eventos de seguridad.

En concreto, AlienVault OSSIM se compone de los siguientes módulos (https://cybersecurity.att.com/products/ossim):

  • Descubrimiento de activos
  • Evaluación de vulnerabilidad
  • Detección de intrusos
  • Monitoreo de comportamiento
  • Correlación de eventos SIEM

Para instalar AlienVault tenemos que descargar la ISO que AT&T nos proporciona e instalarla en una máquina virtual (preferiblemente VMWare), puntualizar que VMWare, ya que no está pensada para desplegarla en un Servidor físico y me ha dado problemas en otros Hypervisores (En Citrix para ser más concreto).

También os aconsejo que metáis músculo a la máquina, puesto que el sistema lo requiere, si vais a mínimos os quedaréis cortos enseguida, además que muy posiblemente vais a perder la paciencia.

Desde AT&T recomiendan estas características:

Aunque con las siguientes os debería funcionar:

  • 2 CPU cores
  • 4-8 GB RAM
  • 50 GB HDD
  • E1000 compatible network cards

Al inicial el instalador os da 2 opciones, instalar el Sensor o el Servidror, AlienVault puede funcionar con una arquitectura distribuida de sensores centralizada en un servidor ( o en varios), si no tenéis mucho jaleo de sedes, con el Servidor (que lleva por defecto un sensor) os valdría.

La instalación es muy sencilla, estilo Debian (Siguiente à Siguiente à Siguiente).

Siguiente, siguiente…

Bien, una vez instalado tenemos un pequeño menú de configuración inicial (os lo podéis saltar y ya entramos de lleno en la UI del sistema).

En la imagen ya hay algún dato, pero instalado de cero saldrá vacío.

El sistema puede realizar muchas tareas y si tenéis muchos sistemas se os pude ir un poco de las manos, os aconsejo focalizar en lo importante y centraros en los eventos que realmente os aporten valor.

Las tareas que creo dan más valor al sistema son:

  • Gestión de activos e inventario
  • Gestión de vulnerabilidades
  • Correlación de eventos de seguridad SIEM
  • Detección de intrusiones.
  • Monitorización del comportamiento de la red.
  • Tiketing en la gestión de las vulnerabilidades

Analizaremos algunas de estas funcionalidades principales (gestión de activos, gestión de vulnerabilidades) sin meternos en directivas e inteligencia que en sí darían para 3 artículos enteros.

Gestión de activos

Como ya sabréis, la gestión de activos es una de las patas clave de los análisis de riesgos, podéis leer Análisis de riesgos y seguridad de la información si queréis profundizar en esto.

La manera de integrar activos se divide en dos, podemos hacerlo mediante un agente instalado directamente en la máquina o configurando AlienVault para que recoja eventos sin agente (mediante credenciales y SSH generalmente). En primer lugar, configuraremos un servidor Linux para mostrar el proceso:

En primer lugar, creamos el activo y lo configuramos con la dirección IP, el nombre y los datos que queramos darle (nos puede servir perfectamente de inventario frente a auditorias).

Y procedemos seguir las instrucciones del agente para la instalación en la web oficial:

Aquí ya depende de la distribución, pero es muy sencillo. Al ejecutar él ./Install nos empezará a pedir datos (IP del servidor, …) y si queremos instalar algún complemento.

Podéis comprobar la configuración del servidor en vuestro equipo Linux en el archivo de configuración (por defecto):

nano /var/ossec/etc/ossec.conf

En esta web están los prerrequisitos para el agente por si no os funciona la instalación:

https://www.ossec.net/docs/docs/manual/installation/installation-requirements.html#install-req

También podéis hacer una instalación desde el repositorio siguiendo la guía (sin descargar directamente el agente). Por ejemplo, para Debian:

# Add Apt sources.lst
                        wget -q -O - https://updates.atomicorp.com/installers/atomic | sudo bash
                        # Update apt data
                        sudo apt-get update
                        # Server
                        sudo apt-get install ossec-hids-server
                        # Agent
                        sudo apt-get install ossec-hids-agent

Para que el servidor se comunique con el agente es necesario configurarlo en ambos, mediante una clave proporcionada desde el servidor. Para ello añadimos el activo a un agente:

Y pulsamos en la llave del menú de acciones, esta nos devolverá una KEY que debemos copiar:

Con la query en el portapapeles, volvemos al servidor donde hemos instalado el cliente, y ejecutamos el comando:

/var/ossec/bin/manage_agents

Y nos saldrá un menú para poder introducir la KEY que tenemos copiada:

Si todo va bien nos pondrá “Added”, reiniciamos el servicio en el servidor y listo.

Ya podemos ver nuestro agente activo:

En ocasiones, dependiendo de la distribución, habrá que iniciar y comprobar el agente en el servidor:

service ossec start

En Windows es similar solo que ya nos permite descargar un instalable pre configurado:

En el servidor el proceso es el mismo. Y podemos comprobar que nuestros servicios están activos:

En segundo lugar, podemos utilizar el análisis sin agente o agentless, esto nos evita tener que instalar en todos los equipos el software aunque no tiene las funcionalidades más avanzadas.

Para usar el servicio sin agente configuramos un servidor Linux para escanear, en este caso, de otro rango IP:

Una vez creado, el propio colector se encargará de integrar los eventos relacionados con nuestra configuración y entrelazarlos con los demás datos del SIEM.

Gestión de vulnerabilidades

La gestión de vulnerabilidades se vuelve crítica en los tiempos que corren, al final el tener una infraestructura actualizada eleva los esfuerzos con los que un atacante debe realizar para comprometer nuestros datos. Es triste, pero si nuestra infraestructura es fuerte, es más caro atacarnos y, por tanto, somos un objetivo menos apetecible (o dicho de otra manera, el vecino quizás tenga un sistema más sencillo de vulnerar). Al fin y al cabo, las organizaciones que hoy en día diseñan la mayoría del software malicioso son auténticas mafias organizadas como una gran empresa, y la relación coste/beneficio es importante.

Dicho esto, AlienVault nos permite secuenciar y programar escaneos de vulnerabilidades conocidas en nuestros activos, lo cual nos permite tener una gestión de estas y poder solventarlas o mitigarlas todo lo posible. Para ello nos dirigimos a la gestión de vulnerabilidades y accedemos a los escaneos:

Aquí podremos programar un escaneo inmediato en nuestros activos, o podemos programar una tarea periódica para la gestión de los activos.

Algo muy interesante es que AlienVault genera un ticket de cada una de las vulnerabilidades medias o altas que encuentra, lo cual nos permite dar trazabilidad al sistema.

Conclusión

Como hemos visto, la gestión de activos y el control de las vulnerabilidades de estos es relevante, AlienVault es una herramienta que nos puede ayudar a mantener a raya ciertos aspectos de la seguridad.

En sí es cierto que la curva de aprendizaje para dominar el motor de correlación, directivas y alertas es relativamente grande, no obstante la gestión de activos y vulnerabilidades se pueden configurar de una manera rápida y sencilla, aportando valor a la empresa con un coste muy reducido.


Juan Ibero

Inmerso en la Evolución Tecnológica. Ingeniero Informático especializado en la gestión segura de entornos TI e industriales, con un profundo énfasis en seguridad, arquitectura y programación. Siempre aprendiendo, siempre explorando.

Compartir en:

2 comentarios en «Gestión de Vulnerabilidades con un SIEM (AlienVault OSSIM)»

  1. Hola Juan. Primero agradecer tu tiempo y conocimientos en ciberseguridad. Concretamente alienvaulth llamó mi atención hace años pero nunca lo puse a funcionar…está guía me animó y el ataque que sufrió nuestra pequeña empresa mediante ramsonware…nos destruyeron sin piedad, gracias a la gran ignorancia de un puesto en red con un escritorio remoto abierto de patas…Lo que más me ha gustado de tu artículo y destacó, es que efectivamente el ataque se puede dar, pero somos nosotros quiénes debemos ponérselo difícil…en un scaneo por IP he visto ordenadores Windows con sesiones administrativas con contraseñas 12345…esto es malo para todos…hay tanto pc zombie, que pueden hacer ataques desde múltiples ip’s… A esto sumale las vulnerabilidades de los sistemas smartphone… Tenemos una sociedad informatizada en una tierra sin ley y solo sobrevive el más listo…y si…tenía copias de seguridad redundantes…lo malo es que tuve que formatear los equipos de la empresa e instalar todo de nuevo… No creo en la bondad del ser humano. Saludos.

  2. Hola que tal, estoy intentando instalar OSSIM en una VM de Virtualbox y casi al finalizar la intalación me da error. He leído que OSSIM no da soporte de controladores de disco Virtl0. Alguien me podría decir alguna solución?

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *