Inscríbete en nuestro webinar gratuito de IBM QRadar SIEM

Conoce de la mano de nuestros expertos la solución SIEM de referencia y lider año tras año en el mercado: IBM QRadar SIEM. Una herramienta permite separar el grano de la paja siendo capaz de correlacionar millones de eventos provenientes de servidores, computadoras, electrónica de red e inmensas bases de conocimiento externas como IBM X-Force permitiendo priorizar y optimizar el tiempo y los esfuerzos de nuestros analistas de ciberseguridad.

Anticiparse a ataques sofisticados require de una solución SIEM madura, potente y flexible para poder implementar las últimas metodologías de prevención de ataques y robos de información. Visto el enorme interés en esta tecnología, ofrecemos a todo el mundo hispanohablante una vez al mes un curso intensivo en formato webinar impartido en español y totalmente gratuito.

La próxima edición será el Lunes 25 de Enero de 2021 a las 16:oo de Madrid, 9:00 en México DF y 10:00 en Bogotá. 

En este primer webinar hablaremos de las arquitecturas existentes, desde los entornos All-In-One hasta la posibilidad de desplegar una parte o incluso toda la infraestructura en cloud, protegiendo nuestros entornos en AWS, Azure o Google Cloud. Nos pararemos a discutir las novedades de las últimas versiones, los entornos multi-cliente y los retos que implican las migraciones y actualizaciones del entorno. Discutiremos sobre la filosofía del producto y como sacar el máximo provecho a su potente motor de reglas. Discutiremos sobre los costes de la solución, las opciones de licenciamiento y comentaremos los últimos casos de éxito entre nuestros clientes. Este taller está basado en nuestros populares cursos de analista en ciberseguridad, administración de QRadar SIEM y uso avanzado del producto. El webminar será fundamentalmente práctico y durante el mismo, realizaremos diversas demostraciones en directo.

Agenda del seminario online

  • Presentación de IBM QRadar SIEM
  • Arquitectura de la solución on-site y en cloud
  • Novedades en las últimas versiones
  • Mejoras con respecto a sus competidores: Splunk, LogRhythm, Exabeam, Rapid7, Fireye
  • Demostración del producto
  • Casos de éxito
  • Debate abierto, ruegos y preguntas.

Aunque se trata de un seminario online, las plazas son limitadas. Inscríbete ahora mismo. Te enviaremos un correo unos días antes con todos los detalles y la información necesaria para conectarse.

 

Mitos y verdades sobre la seguridad en Red Hat OpenShift

Muchos de nuestros clientes están planeando empezar a usar Red Hat OpenShift, nuestra plataforma de orquestación de contenedores predilecta. Sus ventajas se pueden resumir en que permite una una progresiva modernización de las aplicaciones existentes y el despliegue de muchas otras que, para qué negarlo, con un diseño basado en micro-servicios se van imponiendo en muchas las nuevas arquitecturas de TI. El solo hecho de pensar en no tener que “preparar” nunca más una máquina (instalar sistema operativo, configurar red, seguridad, instalar librerías y software dependiente) cada vez que queremos desplegar un entorno justifica darle una oportunidad a esta tecnología.

Kubernetes es a los contenedores lo que OpenStack fue a los entornos Cloud. Una solución de código abierto, que permite compartir una parte de la infraestructura disponible en nuestros centros de datos: servidores, redes, almacenamiento en pools de recursos sobre los que desplegar, de manera automática diversas cargas de trabajo. A través de un portal de auto-provisionamiento, nuestros desarrolladores podrán no solo desplegar los entornos que necesiten para que sus aplicaciones funcionen perfectamente, sino también comprobar de manera automática y de manera continua, que esas aplicaciones funcionan correctamente. Si el “commit” de un desarrollador a última hora del día, provoca un fallo, se puede volver a la versión del día anterior sin que nadie tenga que intervenir.

Si a esto le sumamos la capacidad de hacer despliegues paulatinos, donde un porcentaje pequeño de los usuarios disfruten de una nueva versión de nuestra aplicación mientras el resto siguen utilizando la última versión estable; una alta disponibilidad que funciona sin ninguna configuración adicional, la asignación de recursos (desarrolladores, memoria, CPU, espacio en disco, asignación de direcciones IP) por proyecto o la capacidad de medir en tiempo real qué parte de nuestra infraestructura estamos usando, con qué nivel de eficiencia y con qué resultados, pocos responsables de sistemas dirán que no a semejante maravilla. Sin olvidarnos de la posibilidad de escalar automáticamente las aplicaciones añadiendo o eliminando contenedores según se necesite.

Por suerte o por desgracia, ya no todo está en la mano de los responsables de sistemas. ¿Qué ocurre con la seguridad? ¿Qué opinan los CISOs? Toca repasar algunos “mitos”.

OpenShift es tremendamente seguro por diseño. En nuestra opinión, su tecnología básica (los contenedores) es tan segura, como lo sea el Kernel de Linux en cada momento. Es decir, los procesos de los contenedores están separados por “namespaces” del kernel de linux, los recursos que usan por “cgroups” y la seguridad de los mismos y su contexto por SELinux. Es potente, si, pero no dejamos de estar compartiendo en cada uno un kernel entre muchos contenedores.. y el kernel hay que parchearlo, también por motivos de seguridad. La inclusión de RHCOS (Red Hat Core OS) nos ha permitido avanzar mucho en estos últimos tiempos en cuanto a la seguridad del sistema operativo sobre el cual corre esta distribución de Kubernetes. Ahora bien, dado que los nodos del RHCOS están destinados a funcionar sin apenas cambios, es importante que cualquier mejora relacionada con la seguridad de esos nodos se haga con extremado cuidado.. no vaya a ser que consigamos el efecto contrario.

Las imágenes que descargamos están siempre verificadas y su código auditado por Red Hat.  Bueno, en realidad el acceso a las imágenes de contenedor (descargadas o propias) se gestionan de manera similar a los RPMs. Existe repositorios públicos o privados a los que nos conectamos, con sus claves y sus firmas. Las vulnerabilidades siguen saliendo todos los días así que necesitamos tener algún tipo de solución que supervise los contenidos de las imágenes de contenedor disponibles en nuestros repositorios, en especial las imágenes descargadas e instaladas en nuestro entorno.

OpenShift es compatible con Artifactory de JFrog, Black Duck Hub y Docker Trusted Registry. También se puede usar Red Hat CloudForms SmartState para marcar las imágenes vulnerables de tal manera que OpenShift evite que esas imágenes sean usadas. También son útiles para las aplicaciones que realizan pruebas de seguridad de aplicaciones estáticas (SAST) y pruebas de seguridad de aplicaciones dinámicas (DAST), como HP Fortify y IBM AppScan.

OpenShift tiene un sistema de autenticación robusto y seguro. En realidad cada cluster de OpenShift usa cuentas de usuarios, grupos y roles.

Para gestionar el acceso que cada usuario tiene a los componentes de OpenShift y ser capaz de verificar la identidad de cada usuario, el cluster se conectará a diferentes proveedores de identificación (OpenID, LDAP, Active Directory, Github, etc). Cada uno de los cuales tendrá su propia configuración, ventajas e inconvenientes.

El aislamiento de redes y comunicaciones entre proyectos de OpenShift es suficiente. Es robusto, pues está basado en los componentes de red de Kubernetes, pero existen operadores y plug-ins que nos pueden ayudar a aislar las diferentes redes o dar accesos dedicados a ciertas tarjetas de red usando tecnologías como SR-IOV. Plugins como Multus-CNI que permiten esta y otras funciones, complementando las características del Operador de Red del Clúster (CNO), los CNI’s “Container Network Interfaces” y CoreDNS .

¿Te interesa saber más sobre OpenShift? Quizás te interese nuestro curso de Red Hat OpenShift 4.X en formato intensivo de tres días. También ofrecemos formación oficial de IBM si lo que quieres es desplegarlo servidores IBM Power Systems.

 

Instala en diez minutos la versión 7.3.3 de QRadar Community Edition

Tras una larga espera, por fin está disponible la versión gratuita de IBM QRadar SIEM.  Esta edición, llamada “Community” contiene todas las funcionalidades de QRadar SIEM y require poca memoria (funciona con apenas 8 o 10GB) comparado con los al menos 24G necesarios para un entorno mínimo de su versión comercial. También incluye una licencia que no caduca y permite instalar todo tipo de plugins y aplicaciones. El objetivo es su uso con carácter privado para aprendizaje, demos, test y fundamentalmente, desarrollo de aplicaciones compatibles con QRadar. Es por ello que sus capacidades están limitadas a la gestión de hasta 50 eventos (logs) por segundo y 5.000 paquetes de red por minuto, lo cual tampoco no esta nada mal :)

Hay que tener en cuenta que uno de los principales inconvenientes que no trae soporte para todos los dispositivos y entornos de la versión comercial. Si queremos monitorizar una base de datos, o un firewall, necesitaremos instalar cada uno de los módulos de manera manual

¿Cuales son los requisitos de hardware?

  • Memoria: 8 GB de RAM o 10 GB si se instalan aplicaciones, es decir, puede correr un un ordenador portátil moderno.
  • Disco: 250 GB aunque nuestra experiencia nos dice que con unos 30G es suficiente para entornos efímeros. El espacio se va usando conforme se mantiene en uso el SIEM. Si se crean y destruyen maquinas virtuales para pruebas cortas, no hace falta tanto.
  • CPU: 2 cores, pero 4 o 6 sería mejor aún.
  • Red: Acceso a Internet, una red privada y nombre de host FQDN.

¿Cómo se instala?

IBM proporciona para esta versión una imagen en formato OVA descargable desde este este enlace. Ya no tenemos que lanzar el instalador en un sistema CentOS creado por nosotros y con los habituales pequeños errores a corregir, lo cual se agradece. Solo hay que tener creada una cuenta de IBM, algo que se puede hacer en el momento y de manera gratuita. La imagen OVA se puede desplegar en VMWare, KVM o VirtualBox.

El proceso de instalación es rápido y sencillo como se muestra en el siguiente video:

New Free QRadar CE version 733New Free QRadar CE version 733

Tras lo cual, podéis empezar a explorar y trabajar siguiendo las pistas disponibles en la “Getting started guide”

Una vez el entorno está funcionando, se pueden instalar aplicaciones

QRadar CE 733 Add an App from the App ExchangeQRadar CE 733 Add an App from the App Exchange

E incluso monitorizar la red de nuestra casa: teléfonos, portátiles, sistemas de domótica, etc

Use The Free QRadar CE to Monitor your Home's Network (flows)Use The Free QRadar CE to Monitor your Home's Network (flows)

¿Quieres saber más de IBM QRadar SIEM?

Ofrecemos servicios profesionales (consultoría, despliegue y soporte), formación oficial y privada. También preparamos las certificaciones oficiales. Consúltanos sin compromiso.

 

IB

¿Qué certificación de IBM QRadar SIEM elijo?

QRadar SIEM es una plataforma integral de gestión de seguridad de red que proporciona contexto y soporte de cumplimiento de políticas mediante la combinación del conocimiento de los flujos de red, la correlación de eventos de seguridad y de la evaluación de vulnerabilidades de los sistemas conectados. En QRadar existen tres certificaciones orientadas a diferentes roles dentro del producto y que han sido actualizadas en Julio de 2019.

IBM Certified Associate Administrator IBM QRadar SIEM V7.3.2 

Exámen “IBM Security QRadar SIEM V7.3.2 Fundamental Administration”. Test C1000-026

Se trata de una certificación de nivel inicial está destinada a administradores de sistemas encargados del mantenimiento de las plataformas QRadar. Se evalúa la capacidad de proporcionar un soporte básico así como conocimientos técnicos de IBM Security QRadar SIEM V7.3.2. Esto incluyen la implementación y gestión del conjunto de la solución. Los administradores deben estar también familiarizados con las funcionalidades del producto. Se mide la capacidad de planificar, instalar, configurar, desplegar, migrar, actualizar, monitorizar y resolver problemas sencillos.

IBM Certified Associate Analyst IBM QRadar SIEM V7.3.2 

Exámen IBM QRadar SIEM V7.3.2 Fundamental Analysis. Test C1000-018

Esta certificación de nivel inicial está destinada a los analistas de seguridad que deseen validar sus conocimientos en IBM Security QRadar SIEM V7.3.2. Los analistas de deberán dominar los conceptos básicos de redes, seguridad y SIEM y QRadar. Se evalúa la capacidad para usar correctamente el producto (ya instalado y configurado), incluyendo el uso del entorno gráfico para la gestión de reglas, incidentes de seguridad, informes y correlaciones de eventos y flujos de red.

IBM Certified Deployment Professional – IBM QRadar SIEM V7.3.2 

Exámen IBM QRadar SIEM V7.3.2 Deployment. Test C1000-018

Se trata sin duda de la certificación más compleja de las tres. Destinada fundamentalmente a arquitectos de seguridad, pre-ventas técnicos y personal que realice servicios profesionales de QRadar para los distintos Business Partners de IBM. Estas personas serán las responsables de la planificación, instalación, configuración, optimización del rendimiento, ajuste, resolución de problemas y administración de IBM QRadar SIEM en su versión 7.3.2. Se evalúa la capacidad para completar cualquier tarea con poca o ninguna ayuda de documentación, compañeros o apoyo por parte del fabricante.

¿Cual elegir?

Nuestra recomendación es comenzar por el examen de administrador o analista, dependiendo de tu rol. Disponemos de diversos cursos, seminarios y talleres intensivos que te ayudarán a prepararlos. Si no conoces nada del producto, te recomendamos realizar la formación oficial de analista y administrador que también impartimos.

IMPORTANTE Hasta septiembre si usas el código HUCSECURE obtendrás un 50% de descuento al registrarte en el examen.

 

Vulnerabilidad crítica en Siemens STEP 7 TIA Portal

¿Qué ha ocurrido?

Se ha encontrado una vulnerabilidad crítica en Siemens STEP 7 TIA Portal, uno de los programas de diseño y automatización para sistemas de control industrial (ICS) más utilizados en todo el mundo. Se insta a los usuarios a que confirmen que sus sistemas han sido actualizados a la última versión.

La vulnerabilidad crítica ha sido descubierta por Tenable Research y permitiría a un atacante realizar acciones administrativas.

¿Cuál es el vector de ataque?

Salto del mecanismo de autenticación en el servidor de Administrador de TIA a través de las web sockets del servidor node.js

¿Cuál es el impacto en el negocio?

Un atacante podría comprometer un sistema TIA Portal y utilizar su acceso para añadir código malicioso a sistemas de control industrial adyacentes. Los atacantes también podrían utilizar el acceso obtenido a través de la explotación de esta vulnerabilidad para robar datos confidenciales en configuraciones de OT existentes para seguir progresando y planificar ataques dirigidos a la infraestructura crítica.

En el peor de los casos, un sistema vulnerable de TIA Portal puede utilizarse como trampolín en un ataque que cause daños catastróficos al equipo de OT, interrumpa las operaciones críticas o lleve a cabo campañas de espionaje cibernético.

¿Cuál es la solución?

Siemens ha publicado una actualización y un aviso de seguridad para esta vulnerabilidad.

¿Debería preocuparme?

Las operaciones industriales modernas a menudo abarcan infraestructuras complejas de TI y OT, prevalecen nuevos retos de seguridad para entornos críticos, a la vez que hacen que las amenazas de ciberseguridad sean aún más difíciles de detectar, investigar y remediar.

¿Soluciones?

Los servicios monitorización y gestión de OT/ICS/SCADA se ha vuelto más sencillo gracias a nuestra solución basada en un QRadar SIEM e Indegy ICS.

Sixe Ingeniería
×