Nuevos cursos de IBM QRadar actualizados a la versión 7.4.2

De todos los cursos de IBM, quizás los más demandados y valorados por clientes y socios de IBM son los de QRadar SIEM. Por eso, a partir del mes de Junio de 2021 estarán disponibles los nuevos cursos oficiales: QRadar SIEM Fundamentals (BQ104G) y QRadar SIEM funcionalidades avanzadas (BQ204G) También hemos actualizado nuestro taller práctico de pre-venta, arquitectura, despliegue y configuración inicial a la versión 7.4. Desde 2014 hemos formado a más de 35 clientes y 400 alumnos de 20 países diferentes en esta increíble tecnología. Hemos transmitido toda nuestra experiencia práctica en proyectos reales y hemos ayudado a superar con éxito las certificaciones oficiales.

¿Qué es QRadar?

La solución lider en el mercado para la prevención, detección y remediación de incidentes de seguridad. Cientos de SOCs (Centros de Operaciones de Seguridad) de todo el mundo basan sus capacidades en la tecnología desarrollada por Q1 Labs y adquirida por IBM en 2011 para completar sus capacidades de ciberseguridad. QRadar nos permite poner en relación eventos que van desde la seguridad física (controles de acceso), lectores de tarjetas de identificación, dispositivos OT pasando por la infraestructura de servicios desplegada en la nube o hasta los registros de la actividad diaria de los usuarios. Sus capacidades permiten analizar miles de eventos por segundo para garantizar que nuestra organización no solo está segura, sino que se cumplen las normativas y legislaciones aplicables de cada sector. QRadar tiene además alianzas estratégicas con Juniper Networks, Enterasys, Nortel, McAfee, Foundry Networks y 3Com entre otras compañías. El producto es tan potente que muchas de estas compañías venden sus propios SIEM basados en la tecnología de QRadar.

¿Qué novedades hay?

En el último año y medio muchas cosas han ido cambiando. Desde el interfaz de usuario que ha sido totalmente renovado, hasta nuevas aplicaciones que permiten analizar los incidentes de una manera totalmente automatizada. Por ejemplo la aplicación QRadar Advisor con Watson (IA de IBM) asigna automáticamente las tácticas y técnicas disponibles en la base de datos MITRE ATT&CK a reglas internas de QRadar. A través de un novedoso panel de monitorización se puede ver las técnicas empleadas por los atacantes y su relación con los incidentes de seguridad abiertos.

La nuevas versiones permiten usar los consejos y pistas que nos da IBM QRadar Use Case Manager (anteriormente QRadar Tuning app) para ayudarnos a optimizar la configuración y ajuste de las reglas de QRadar, manteniéndolas siempre actualizadas y listas para cuando sean necesarias.

 

¿Y las certificaciones?

Llevamos mucho tiempo tanto ayudando a preparar los exámenes oficiales de IBM en las tecnologías que enseñamos. Por eso hemos decidido que desde Junio de 2021, vamos a incluir sin coste adicional una jornada de preparación para las certificaciones en todos los cursos privados que se nos contraten con al menos 4 alumnos inscritos.

Quiero inscribirme en un curso

Contáctanos y en menos de 24h recibirás una oferta. Todos los cursos se imparten tanto presencialmente como a distancia. Nuestros instructores hablan inglés, francés y español.

¿Necesitas más ayuda?

En Sixe Ingeniería somos BP de seguridad de IBM. Vendemos, instalamos y ofrecemos soporte técnico de IBM QRadar SIEM. También realizamos formación, seminarios y charlas técnicas a medida. También te asesoramos con las licencias y la definición de la arquitectura que necesitas sin coste adicional. Solicita una demostración del producto sin compromiso.

La importancia de la ciberseguridad en el sector sanitario

Los hospitales, los centros de salud y todos los elementos que componen el sector sanitario dependen en gran medida del buen funcionamiento de sistemas informatizados. De hecho, estos son indispensables para realizar tareas clínicas y administrativas a cualquier hora durante todos los días del año. Por todo ello, y teniendo en cuenta la alta sensibilidad de los datos clínicos de los pacientes, la prevención en materia de ciberseguridad se antoja imprescindible. Los robos o malos usos de ellos pueden tener consecuencias devastadoras.

Ciberataques a hospitales y centros de salud, una práctica poco novedosa

Es curioso, pero tradicionalmente los complejos que componen el sector sanitario han cuidado poco o nada sus procesos en materia de ciberseguridad. De hecho, se ha considerado como un sector de escaso interés para los ciberdelincuentes, cuando realmente podría decirse todo lo contrario.

Es cierto que, con la llegada de la pandemia de COVID-19, los ciberataques se han multiplicado y han pasado a cobrar más relevancia a nivel mediático. Sin embargo, no son los primeros. Por ejemplo, las diferentes organizaciones que componen el sector de la salud en los Estados Unidos cifraron las pérdidas que ocasionó esta actividad delictiva en 2019 en más de 4000 millones de dólares.

Los riesgos de no cuidar la ciberseguridad en el sector de la salud

Pero ¿cuáles son los principales motivos por los que los ciberdelincuentes se centran en el ataque a hospitales y centros de salud? Fundamentalmente, podemos citar los siguientes:

  • Robo de la información clínica de los pacientes.
  • Robo de la identidad de los especialistas médicos.
  • Acceso a datos confidenciales de pacientes.
  • Compra y venta de información clínica en el mercado negro.

Esto releva la importancia de contratar a un profesional experimentado con una carrera en ciberseguridad. Pero hay más. Por ejemplo, en los últimos años, la cifra de dispositivos médicos que funcionan conectados a Internet ha crecido exponencialmente. Y, con ellos, el riesgo a sufrir un ciberataque. De hecho, es de prever que esta tendencia continúe al alza durante bastante tiempo.

Estos dispositivos utilizan tecnología del denominado como Internet de las Cosas (Internet of Things o IoT) y, a pesar de su indudable utilidad en el sector sanitario, la mayor parte de los ciberataques van dirigidos hacia ellos. La falta de protección y la vulnerabilidad que presentan ante los hackers hace que, en demasiados casos, la seguridad del usuario final se vea comprometida por ellos.

La fórmula preferida de los ciberdelincuentes para atacar a los dispositivos IoT del sector sanitario

No hay duda de que los archivos y programas maliciosos ransomware son los más utilizados por los ciberdelincuentes a la hora de atacar a centros de salud, hospitales y otros lugares especialmente vulnerables dentro del sector sanitario.

Un ransomware es un programa que se descarga, instala y ejecuta en el equipo gracias a Internet. Al hacerlo, ‘secuestra’ todo el dispositivo o parte de la información que almacena y, a cambio de su liberación, solicita un rescate económico (de ahí su nombre).

La eliminación de estos archivos y programas maliciosos no es excesivamente compleja para los especialistas en seguridad informática, pero las consecuencias que pueden tener sobre los hospitales y centros médicos son de mucha consideración. Por ejemplo, conllevan:

  • Interrupción de los procesos operativos del centro, al menos, en los equipos IoT afectados.
  • Incapacidad de acceder a la información de los pacientes y a sus pruebas diagnósticas.
  • Necesidad de restaurar sistemas y copias de seguridad.
  • Daño en la reputación corporativa del centro o empresa tras sufrir el ataque.

Todo esto conlleva un coste económico muy importante desde el punto de vista empresarial. De hecho, puede llegar a ser tan elevado que la inversión que supone implantar las mejores soluciones en ciberseguridad suene ridícula. El mero hecho de restaurar los sistemas es una tarea que puede detener la actividad del centro médico durante casi un día.

¿Cómo prevenir los ciberataques en el sector de la salud?

Curiosamente, la mejor manera de prevenir los ciberataques a equipos IoT es mediante la inversión estratégica en dichos dispositivos. Es decir, haciendo un mayor y mejor uso de ellos. Cada vez existen más tecnologías que permiten controlar los accesos, bloquear ataques por parte de archivos maliciosos y, en definitiva, salvaguardar la información y los procesos críticos con la menor intervención humana posible.

La realidad es adquirir una infraestructura de equipos, de programas y de personal especializado dentro de un hospital o centro médico puede llegar a suponer una inversión inasumible. Sin embargo, existen alternativas. La más interesante de ellas es la que pasa por la implementación de soluciones en la nube. La reducción en los costes es muy notoria y las soluciones ofrecidas resultan muy eficaces.

En estos momentos, las soluciones SaaS (Software as a Service) son las más utilizadas en aquellos centros médicos que utilizan plataformas en la nube para sus sistemas. Pero, para que funcionen, es necesario plantear una estrategia de ciberseguridad de los datos previamente al volcado de los datos en los servidores. Los mecanismos de cifrado y encriptación son básicos en este punto. Una tarea bastante sencilla y totalmente automatizable que puede suponer un retorno de la inversión realmente elevado.

En definitiva, el sector sanitario, tanto en lo que compete a hospitales como a centros de salud, es especialmente delicado en materia de ciberseguridad. Sobre todo, desde que la mayoría de sus procesos dependen de dispositivos IoT muy sensibles a la acción de los hackers. Sin embargo, las ventajas que brindan en materia de eficiencia y productividad hacen indispensable su uso. Teniendo esto claro, resulta obvio que la inversión en proteger esos sistemas, la cual debe ser realizada siempre desde una perspectiva estratégica, es imprescindible.

Las mejores soluciones de cibserseguridad OT para la industria y salud.

Introducción

Las redes de control industrial actuales son una colmena de dispositivos interconectados diseñados para trabajar juntos en su conjunto. Si el mecanismo falla en cualquier momento, puede desencadenar un efecto dominó grave. Por ejemplo, se necesitan sistemas de comunicaciones para asesorar a las centrales eléctricas sobre la cantidad de electricidad disponible en la red y para regular su producción. Un hospital depende de sus propias redes para enviar diagnósticos a los clientes y una fábrica de automóviles tiene robots complejos que también están interconectados. Aunque no todo es accesible en Internet, hay muchas maneras de acceder a estos entornos y el riesgo está creciendo exponencialmente.

En general, cada uno de los 16 Recursos Críticos de Infraestructura (CIKR) está altamente interconectado y generalmente se ve afectados por vulnerabilidades y vectores de ataque similares. Asegurar CIKR es difícil debido a muchos factores. Estos entornos fueron planeados inicialmente para ser independientes, por lo que no se requirió ni implementó ninguna defensa en línea. También fabrican bienes y operan sin parar durante miles de horas, por lo que el tiempo de inactividad, excepto las reparaciones y parches, tendría un impacto significativo en el negocio. Pocos hospitales actualizan una máquina de rayos X si funciona y hace su trabajo, ni un transportador de gravedad o centrífuga de uranio. Esto es un problema porque el hardware y las aplicaciones antiguas son propensos a crear problemas cuando se exponen a ataques modernos.

Los CIKR se han mostrado reacios a adoptar tecnologías más nuevas porque su diseño ha sido capaz de ofrecer de forma fiable un resultado necesario para nuestra sociedad moderna a lo largo de los años utilizando sus propios protocolos, procesos y sistemas de seguridad (por antiguos que sean). La gran mayoría de los sistemas WO funcionan día a día sin errores significativos. Sin embargo, el riesgo de soportar aplicaciones y sistemas heredados incluso desde finales de la década de 1980 es cada vez más alto.

Medigate

Medigatees nuestra solución preferida para hacer que los hospitales y centros médicos estén seguros y libres de amenazas cibernéticas. Identifica la naturaleza del ataque por lo que el usuario tendrá la capacidad de prevenir una acción de erupción o ser objetivo. El contexto clínico ayudará a identificar el desarrollo del comportamiento humano caótico. Los perfiles de dispositivo le ayudarán a administrar los ciclos de vida de los dispositivos y a ofrecer seguridad de red adicional como resultado. Medigate y Check Point han llegado a una solución de seguridad avanzada para implementar el Internet de las cosas (IoT) y las redes IoMT. La solución combinada de Check Point con Medigate establece un monitoreo de seguridad rápido y eficaz para los hospitales. Las características clave incluyen:

  • Registro de dispositivos médicos realistas y holísticos.
  • Detección de anomalías automatizadas asignadas.
  • Las directivas se generan a partir de atributos de dispositivo.
  • “Panel único de cristal” para todo el contenido producido por Medigate en Check Point Smart Console.
  • Activación automática de ipS marcando el Internet de las cosas conocido explota.

Los expertos en seguridad se preguntan si el mecanismo de seguridad de los hospitales en línea no se ha desarrollado de manera diferente. Esto debe verse como otro indicio de que muchas redes heredadas nunca se hicieron teniendo en cuenta la seguridad de los datos, lo que pone en riesgo recursos vitales y vidas. Por supuesto, capas de seguridad de defensa cibernética se pueden añadir hoy en día. La única dificultad real es diseñar y aplicar capas apropiadas de seguridad de Internet en capas. Otra forma de hacerlo es incorporar programas de seguridad a las aplicaciones. Esta sería la decisión más segura a largo plazo. En resumen, la transición tomará mucho tiempo. La actualización de los equipos de dichas instalaciones conllevaría la misma magnitud de riesgos que la instalación de sistemas de seguridad.

La plataforma pasiva de Medigate puede ser instalada por hospitales e integradores de sistemas de seguridad muy fácilmente y se integra con el sistema de gestión R80 de Check Point y las puertas de enlace de seguridad. Una vez conectada, la plataforma de seguridad del dispositivo médico compartió la información de identificación del dispositivo y la información de la aplicación con la consola inteligente de Check Point. Esto permite una vista completa de la pantalla para un screencast de ambos dispositivos. Debido a la visibilidad granular en los dispositivos quirúrgicos, la eficacia de los medicamentos está asegurada. Medigate aprovecha la inspección profunda de paquetes para supervisar los dispositivos mediante identificadores específicos, incluida la configuración, el uso, el rendimiento y la ubicación. Esto permite que ambos sistemas se muestren simultáneamente en la consola inteligente de Check Point, eliminando la necesidad de retroceder y volver entre los paneles.

La capacidad de etiquetar dispositivos médicos por tipo de conectividad, nombre de modelo y proveedor permite una administración de directivas más detallada. Medigate comprueba lo que está cambiando en la red cada hora para asegurarse de que las etiquetas se mantengan actualizadas.

Tenable.ot

El corazón de una empresa es una red computarizada de controladores que transmiten y reciben comandos. Los controladores lógicos programables (PLC) y las unidades de terminal remota (RTU) son equipos industriales que actúan como la base de los procesos industriales. La infraestructura de operaciones ahora tiene una superficie de ataque a gran escala y varios vectores de ataque. Si no somos capaces de supervisar el acceso a la información, existe un fuerte riesgo de ser objetivo.

Tenable.ot (conocido como Indegy ICS) está diseñado para proteger las redes empresariales de las amenazas cibernéticas, los infiltrados maliciosos y los errores humanos. Nuestra solución también ofrece identificación y evitación de vulnerabilidades, seguimiento de activos, informes y administración de la configuración de una red Wi-Fi. La protección y protección del Sistema de Control Industrial (ICS) se mejora drásticamente. El enfoque proporciona una comprensión situacional clara en todas las ubicaciones departamentales.

Al tomar decisiones de inversión en sistemas OT, el costo sigue siendo una preocupación. Para financiar la iniciativa, debemos transferir los costes a los usuarios de los servicios. Estas innovaciones no son asequibles ya que los usuarios de los bienes producidos por esta tecnología tienen costos de capital fijo incluidos en el costo de los bienes vendidos. El aumento de la inversión en tecnología junto con su corta vida útil sería costoso. Muchos de los costos del reciclaje no se transmitirían a los consumidores debido a la legislación federal. El sector no ha llegado a un consenso sobre las consecuencias de proteger sus procesos de OT y cómo financiar esas mejoras a lo largo de las décadas.

Recientemente no había pruebas de que se desarrollaran estrategias especiales para defenderse de los ciberataques. En aumento son escenarios de ciberguerra y como resultado, los usuarios y las empresas deben ser seguros, así. La necesidad urgente es que los mecanismos de autenticación protejan UTM/OTM para que los administradores del sistema puedan proteger y proteger sus sistemas de extremo a extremo.

Integración de QRadar SIEM

QRadar es una solución de información de seguridad que ofrece monitoreo en tiempo real de las redes de TI. Ofrecemos una amplia variedad de soluciones QRadar, incluyendo piezas principales SIEM y hardware adicional asociado.

La característica clave de la plataforma QRadar SI permite la adquisición de información de seguridad en tiempo real. La solución recopilará datos de los registros adjuntos para analizar anomalías y producir advertencias perturbadoras hasta que se identifique una amenaza de seguridad. Este dispositivo único reconoce, evalúa y realiza un seguimiento de las amenazas de seguridad, aplicación y directivas en las redes. Permite a los administradores de red y a otros decidir sobre iniciativas proactivas de seguridad de la red.

Este módulo escanea la red de su ordenador en busca de errores, así como examina los datos obtenidos de otros hackers (como Nessus y Rapid7). Uso de nuestro sistema para abordar problemas de seguridad de red. Además, esto enumera el índice de vulnerabilidades que IBM QRadar Vulnerability Manager puede utilizar más en las reglas de conexión y los informes. Este módulo le ayudaría a inspeccionar sus dispositivos informáticos en cuestión de horas o incluso minutos.

Garantizar la seguridad mediante SIEM de próxima generación

  • Los proveedores de seguridad usarán enfoques de aprendizaje automático e inteligencia artificial para eludir las herramientas de seguridad antiguas que utilizan leyes estáticas. Puede desactivar los ataques desconocidos mediante un servicio SIEM de próxima generación basado en análisis de big data. Los sistemas de aprendizaje automático evolucionan fácilmente y son capaces de identificar amenazas avanzadas que los sistemas de detección basados en la ley o la firma no pueden identificar.
  • Los análisis de comportamiento se pueden utilizar para realizar un seguimiento del peligro interno y las prácticas de espionaje. Comprender todo el cuerpo de “Anomalía de comportamiento” es una clave para identificar un peligro interno a nivel individual y comunitario. Los ataques de información privilegiada provienen de la ruptura en los derechos de acceso que se les han dado. Estas acciones maliciosas pueden ser identificadas usando un SIEM de próxima generación que introdujo un potente análisis de comportamiento.
  • Los buenos sistemas de respuesta a emergencias son importantes para la gestión de desastres. Las amenazas cibernéticas que no se detienen también tienen consecuencias perjudiciales. Al impartir y mantener la instrucción de la empresa sobre los procedimientos para llevar a cabo en caso de un asalto, su organización minimiza el daño de un ataque.
  • Los médicos deben asegurarse de que sus datos médicos permanezcan privados y limitados a personas aprobadas. Los documentos de EMR contienen información de salud, por lo que es importante mantener los datos médicos privados. Por lo general, los SIEM heredados permiten a las organizaciones mezclar datos confidenciales de los pacientes con otros datos de TI, así como detalles de aplicación, una solución SIEM de próxima generación ofrece todos los privilegios necesarios para preservar la seguridad de los datos, como la anonimización de datos, la administración de acceso basada en roles, el filtrado o borrado de datos y un seguimiento de auditoría completo.
  • Las empresas de salud están sujetas a más legislación en la cultura actual. Las tecnologías SIEM de próxima generación ofrecen informes detallados y de última generación para satisfacer regulaciones como HIPAA, HITRUST, GDPR y otros.

Conclusión

Los profesionales de la salud son conscientes de la necesidad de preservar los registros de los pacientes. La seguridad sanitaria está siendo atacada por amenazas externas e internas, por lo que es imperativo proteger a las personas Información de Salud Personal (PHI). Ha habido un aumento sustancial en el costo de la atención médica, y las empresas están siendo objetivo de su información y resultados. La organización a menudo se enfrenta a una fuerte presión regulatoria que castiga el mal manejo descuidado o travieso de los datos.

Debemos tener en cuenta para proporcionar suficiente protección en nuestro clima empresarial. Esta forma de red puede ayudarnos a aprender más sobre lo que está sucediendo en nuestra máquina, así como en Internet. Una de las técnicas de seguimiento y análisis más comunes es la información de seguridad y la gestión de eventos, que recopilan información como eventos de dispositivos informáticos y los archivan y procesan. Se debe prestar especial atención a la instalación de SIEMs en redes OT y deben tenerse en cuenta las peculiaridades de estas redes. Podemos ayudarle a implementar e integrar IPS, SIEM e IDS. ¡Contáctenos!

Inscríbete en nuestro webinar gratuito de IBM QRadar SIEM

Conoce de la mano de nuestros expertos la solución SIEM de referencia y lider año tras año en el mercado: IBM QRadar SIEM. Una herramienta permite separar el grano de la paja siendo capaz de correlacionar millones de eventos provenientes de servidores, computadoras, electrónica de red e inmensas bases de conocimiento externas como IBM X-Force permitiendo priorizar y optimizar el tiempo y los esfuerzos de nuestros analistas de ciberseguridad.

Anticiparse a ataques sofisticados require de una solución SIEM madura, potente y flexible para poder implementar las últimas metodologías de prevención de ataques y robos de información. Visto el enorme interés en esta tecnología, ofrecemos a todo el mundo hispanohablante una vez al mes un curso intensivo en formato webinar impartido en español y totalmente gratuito.

La próxima edición será el Lunes 25 de Enero de 2021 a las 16:oo de Madrid, 9:00 en México DF y 10:00 en Bogotá. 

En este primer webinar hablaremos de las arquitecturas existentes, desde los entornos All-In-One hasta la posibilidad de desplegar una parte o incluso toda la infraestructura en cloud, protegiendo nuestros entornos en AWS, Azure o Google Cloud. Nos pararemos a discutir las novedades de las últimas versiones, los entornos multi-cliente y los retos que implican las migraciones y actualizaciones del entorno. Discutiremos sobre la filosofía del producto y como sacar el máximo provecho a su potente motor de reglas. Discutiremos sobre los costes de la solución, las opciones de licenciamiento y comentaremos los últimos casos de éxito entre nuestros clientes. Este taller está basado en nuestros populares cursos de analista en ciberseguridad, administración de QRadar SIEM y uso avanzado del producto. El webminar será fundamentalmente práctico y durante el mismo, realizaremos diversas demostraciones en directo.

Agenda del seminario online

  • Presentación de IBM QRadar SIEM
  • Arquitectura de la solución on-site y en cloud
  • Novedades en las últimas versiones
  • Mejoras con respecto a sus competidores: Splunk, LogRhythm, Exabeam, Rapid7, Fireye
  • Demostración del producto
  • Casos de éxito
  • Debate abierto, ruegos y preguntas.

Aunque se trata de un seminario online, las plazas son limitadas. Inscríbete ahora mismo. Te enviaremos un correo unos días antes con todos los detalles y la información necesaria para conectarse.

 

Mitos y verdades sobre la seguridad en Red Hat OpenShift

Muchos de nuestros clientes están planeando empezar a usar Red Hat OpenShift, nuestra plataforma de orquestación de contenedores predilecta. Sus ventajas se pueden resumir en que permite una una progresiva modernización de las aplicaciones existentes y el despliegue de muchas otras que, para qué negarlo, con un diseño basado en micro-servicios se van imponiendo en muchas las nuevas arquitecturas de TI. El solo hecho de pensar en no tener que “preparar” nunca más una máquina (instalar sistema operativo, configurar red, seguridad, instalar librerías y software dependiente) cada vez que queremos desplegar un entorno justifica darle una oportunidad a esta tecnología.

Kubernetes es a los contenedores lo que OpenStack fue a los entornos Cloud. Una solución de código abierto, que permite compartir una parte de la infraestructura disponible en nuestros centros de datos: servidores, redes, almacenamiento en pools de recursos sobre los que desplegar, de manera automática diversas cargas de trabajo. A través de un portal de auto-provisionamiento, nuestros desarrolladores podrán no solo desplegar los entornos que necesiten para que sus aplicaciones funcionen perfectamente, sino también comprobar de manera automática y de manera continua, que esas aplicaciones funcionan correctamente. Si el “commit” de un desarrollador a última hora del día, provoca un fallo, se puede volver a la versión del día anterior sin que nadie tenga que intervenir.

Si a esto le sumamos la capacidad de hacer despliegues paulatinos, donde un porcentaje pequeño de los usuarios disfruten de una nueva versión de nuestra aplicación mientras el resto siguen utilizando la última versión estable; una alta disponibilidad que funciona sin ninguna configuración adicional, la asignación de recursos (desarrolladores, memoria, CPU, espacio en disco, asignación de direcciones IP) por proyecto o la capacidad de medir en tiempo real qué parte de nuestra infraestructura estamos usando, con qué nivel de eficiencia y con qué resultados, pocos responsables de sistemas dirán que no a semejante maravilla. Sin olvidarnos de la posibilidad de escalar automáticamente las aplicaciones añadiendo o eliminando contenedores según se necesite.

Por suerte o por desgracia, ya no todo está en la mano de los responsables de sistemas. ¿Qué ocurre con la seguridad? ¿Qué opinan los CISOs? Toca repasar algunos “mitos”.

OpenShift es tremendamente seguro por diseño. En nuestra opinión, su tecnología básica (los contenedores) es tan segura, como lo sea el Kernel de Linux en cada momento. Es decir, los procesos de los contenedores están separados por “namespaces” del kernel de linux, los recursos que usan por “cgroups” y la seguridad de los mismos y su contexto por SELinux. Es potente, si, pero no dejamos de estar compartiendo en cada uno un kernel entre muchos contenedores.. y el kernel hay que parchearlo, también por motivos de seguridad. La inclusión de RHCOS (Red Hat Core OS) nos ha permitido avanzar mucho en estos últimos tiempos en cuanto a la seguridad del sistema operativo sobre el cual corre esta distribución de Kubernetes. Ahora bien, dado que los nodos del RHCOS están destinados a funcionar sin apenas cambios, es importante que cualquier mejora relacionada con la seguridad de esos nodos se haga con extremado cuidado.. no vaya a ser que consigamos el efecto contrario.

Las imágenes que descargamos están siempre verificadas y su código auditado por Red Hat.  Bueno, en realidad el acceso a las imágenes de contenedor (descargadas o propias) se gestionan de manera similar a los RPMs. Existe repositorios públicos o privados a los que nos conectamos, con sus claves y sus firmas. Las vulnerabilidades siguen saliendo todos los días así que necesitamos tener algún tipo de solución que supervise los contenidos de las imágenes de contenedor disponibles en nuestros repositorios, en especial las imágenes descargadas e instaladas en nuestro entorno.

OpenShift es compatible con Artifactory de JFrog, Black Duck Hub y Docker Trusted Registry. También se puede usar Red Hat CloudForms SmartState para marcar las imágenes vulnerables de tal manera que OpenShift evite que esas imágenes sean usadas. También son útiles para las aplicaciones que realizan pruebas de seguridad de aplicaciones estáticas (SAST) y pruebas de seguridad de aplicaciones dinámicas (DAST), como HP Fortify y IBM AppScan.

OpenShift tiene un sistema de autenticación robusto y seguro. En realidad cada cluster de OpenShift usa cuentas de usuarios, grupos y roles.

Para gestionar el acceso que cada usuario tiene a los componentes de OpenShift y ser capaz de verificar la identidad de cada usuario, el cluster se conectará a diferentes proveedores de identificación (OpenID, LDAP, Active Directory, Github, etc). Cada uno de los cuales tendrá su propia configuración, ventajas e inconvenientes.

El aislamiento de redes y comunicaciones entre proyectos de OpenShift es suficiente. Es robusto, pues está basado en los componentes de red de Kubernetes, pero existen operadores y plug-ins que nos pueden ayudar a aislar las diferentes redes o dar accesos dedicados a ciertas tarjetas de red usando tecnologías como SR-IOV. Plugins como Multus-CNI que permiten esta y otras funciones, complementando las características del Operador de Red del Clúster (CNO), los CNI’s “Container Network Interfaces” y CoreDNS .

¿Te interesa saber más sobre OpenShift? Quizás te interese nuestro curso de Red Hat OpenShift 4.X en formato intensivo de tres días. También ofrecemos formación oficial de IBM si lo que quieres es desplegarlo servidores IBM Power Systems.

 

Instala en diez minutos la versión 7.3.3 de QRadar Community Edition

Tras una larga espera, por fin está disponible la versión gratuita de IBM QRadar SIEM.  Esta edición, llamada “Community” contiene todas las funcionalidades de QRadar SIEM y require poca memoria (funciona con apenas 8 o 10GB) comparado con los al menos 24G necesarios para un entorno mínimo de su versión comercial. También incluye una licencia que no caduca y permite instalar todo tipo de plugins y aplicaciones. El objetivo es su uso con carácter privado para aprendizaje, demos, test y fundamentalmente, desarrollo de aplicaciones compatibles con QRadar. Es por ello que sus capacidades están limitadas a la gestión de hasta 50 eventos (logs) por segundo y 5.000 paquetes de red por minuto, lo cual tampoco no esta nada mal :)

Hay que tener en cuenta que uno de los principales inconvenientes que no trae soporte para todos los dispositivos y entornos de la versión comercial. Si queremos monitorizar una base de datos, o un firewall, necesitaremos instalar cada uno de los módulos de manera manual

¿Cuales son los requisitos de hardware?

  • Memoria: 8 GB de RAM o 10 GB si se instalan aplicaciones, es decir, puede correr un un ordenador portátil moderno.
  • Disco: 250 GB aunque nuestra experiencia nos dice que con unos 30G es suficiente para entornos efímeros. El espacio se va usando conforme se mantiene en uso el SIEM. Si se crean y destruyen maquinas virtuales para pruebas cortas, no hace falta tanto.
  • CPU: 2 cores, pero 4 o 6 sería mejor aún.
  • Red: Acceso a Internet, una red privada y nombre de host FQDN.

¿Cómo se instala?

IBM proporciona para esta versión una imagen en formato OVA descargable desde este este enlace. Ya no tenemos que lanzar el instalador en un sistema CentOS creado por nosotros y con los habituales pequeños errores a corregir, lo cual se agradece. Solo hay que tener creada una cuenta de IBM, algo que se puede hacer en el momento y de manera gratuita. La imagen OVA se puede desplegar en VMWare, KVM o VirtualBox.

El proceso de instalación es rápido y sencillo como se muestra en el siguiente video:

Tras lo cual, podéis empezar a explorar y trabajar siguiendo las pistas disponibles en la “Getting started guide”

Una vez el entorno está funcionando, se pueden instalar aplicaciones

E incluso monitorizar la red de nuestra casa: teléfonos, portátiles, sistemas de domótica, etc

¿Quieres saber más de IBM QRadar SIEM?

Ofrecemos servicios profesionales (consultoría, despliegue y soporte), formación oficial y privada. También preparamos las certificaciones oficiales. Consúltanos sin compromiso.

 

IB

¿Qué certificación de IBM QRadar SIEM elijo?

QRadar SIEM es una plataforma integral de gestión de seguridad de red que proporciona contexto y soporte de cumplimiento de políticas mediante la combinación del conocimiento de los flujos de red, la correlación de eventos de seguridad y de la evaluación de vulnerabilidades de los sistemas conectados. En QRadar existen tres certificaciones orientadas a diferentes roles dentro del producto y que han sido actualizadas en Julio de 2019.

IBM Certified Associate Administrator IBM QRadar SIEM V7.3.2 

Exámen “IBM Security QRadar SIEM V7.3.2 Fundamental Administration”. Test C1000-026

Se trata de una certificación de nivel inicial está destinada a administradores de sistemas encargados del mantenimiento de las plataformas QRadar. Se evalúa la capacidad de proporcionar un soporte básico así como conocimientos técnicos de IBM Security QRadar SIEM V7.3.2. Esto incluyen la implementación y gestión del conjunto de la solución. Los administradores deben estar también familiarizados con las funcionalidades del producto. Se mide la capacidad de planificar, instalar, configurar, desplegar, migrar, actualizar, monitorizar y resolver problemas sencillos.

IBM Certified Associate Analyst IBM QRadar SIEM V7.3.2 

Exámen IBM QRadar SIEM V7.3.2 Fundamental Analysis. Test C1000-018

Esta certificación de nivel inicial está destinada a los analistas de seguridad que deseen validar sus conocimientos en IBM Security QRadar SIEM V7.3.2. Los analistas de deberán dominar los conceptos básicos de redes, seguridad y SIEM y QRadar. Se evalúa la capacidad para usar correctamente el producto (ya instalado y configurado), incluyendo el uso del entorno gráfico para la gestión de reglas, incidentes de seguridad, informes y correlaciones de eventos y flujos de red.

IBM Certified Deployment Professional – IBM QRadar SIEM V7.3.2 

Exámen IBM QRadar SIEM V7.3.2 Deployment. Test C1000-018

Se trata sin duda de la certificación más compleja de las tres. Destinada fundamentalmente a arquitectos de seguridad, pre-ventas técnicos y personal que realice servicios profesionales de QRadar para los distintos Business Partners de IBM. Estas personas serán las responsables de la planificación, instalación, configuración, optimización del rendimiento, ajuste, resolución de problemas y administración de IBM QRadar SIEM en su versión 7.3.2. Se evalúa la capacidad para completar cualquier tarea con poca o ninguna ayuda de documentación, compañeros o apoyo por parte del fabricante.

¿Cual elegir?

Nuestra recomendación es comenzar por el examen de administrador o analista, dependiendo de tu rol. Disponemos de diversos cursos, seminarios y talleres intensivos que te ayudarán a prepararlos. Si no conoces nada del producto, te recomendamos realizar la formación oficial de analista y administrador que también impartimos.

IMPORTANTE Hasta septiembre si usas el código HUCSECURE obtendrás un 50% de descuento al registrarte en el examen.

 

Vulnerabilidad crítica en Siemens STEP 7 TIA Portal

¿Qué ha ocurrido?

Se ha encontrado una vulnerabilidad crítica en Siemens STEP 7 TIA Portal, uno de los programas de diseño y automatización para sistemas de control industrial (ICS) más utilizados en todo el mundo. Se insta a los usuarios a que confirmen que sus sistemas han sido actualizados a la última versión.

La vulnerabilidad crítica ha sido descubierta por Tenable Research y permitiría a un atacante realizar acciones administrativas.

¿Cuál es el vector de ataque?

Salto del mecanismo de autenticación en el servidor de Administrador de TIA a través de las web sockets del servidor node.js

¿Cuál es el impacto en el negocio?

Un atacante podría comprometer un sistema TIA Portal y utilizar su acceso para añadir código malicioso a sistemas de control industrial adyacentes. Los atacantes también podrían utilizar el acceso obtenido a través de la explotación de esta vulnerabilidad para robar datos confidenciales en configuraciones de OT existentes para seguir progresando y planificar ataques dirigidos a la infraestructura crítica.

En el peor de los casos, un sistema vulnerable de TIA Portal puede utilizarse como trampolín en un ataque que cause daños catastróficos al equipo de OT, interrumpa las operaciones críticas o lleve a cabo campañas de espionaje cibernético.

¿Cuál es la solución?

Siemens ha publicado una actualización y un aviso de seguridad para esta vulnerabilidad.

¿Debería preocuparme?

Las operaciones industriales modernas a menudo abarcan infraestructuras complejas de TI y OT, prevalecen nuevos retos de seguridad para entornos críticos, a la vez que hacen que las amenazas de ciberseguridad sean aún más difíciles de detectar, investigar y remediar.

¿Soluciones?

Los servicios monitorización y gestión de OT/ICS/SCADA se ha vuelto más sencillo gracias a nuestra solución basada en un QRadar SIEM e Indegy ICS.

SiXe Ingeniería