Seguretat amb ELK, com veure-ho tot i no morir en l’intent

L’estat actual de la ciberseguretat requereix que els analistes estiguin al cas de tot el que ocorre en els seus sistemes: qualsevol petita pista pot ser l’indicador que la xarxa corporativa està sent atacada per un APT, infectada per una campanya de ransomware o explotada per un empleat intern per extreure’n dades sensibles. Les solucions SIEM són les eines més adequades per tractar tot aquest volum d’informació, però el seu desplegament pot ser un repte. En aquest context, José Pedro Mayo, responsable d’Arquitectura i Disseny de Solucions a GMV, ha impartit una ponència a “Elastic{ON} Tour Madrid”, des de l’experiència de GMV amb aquestes solucions per mostrar quins són els punts clau per buscar en un SIEM i com ELK els pot cobrir.

Gestionar correctament les dades és una problemàtica actual de ciberseguretat. Necessitem recollir qualsevol mínim indici dels sistemes, utilitzar eines eficaces que estalviïn feina i poder tenir transparència de tot el que tenim. Per a això l’eina més adequada és un SIEM (Security Information Events Manager), ja que ens permet gestionar de manera unificada els esdeveniments, ajuda a complir les normatives, augmenta la visibilitat i redueix el volum d’esdeveniments que cal atendre.

Així mateix, ELK és un conjunt d’eines de gran potencial de codi obert que es combinen per crear una eina d’administració de registres permetent el monitoratge, la consolidació i l’anàlisi de logs generats en múltiples servidors. Aquestes eines que componen un clúster ELK són: ElasticSearch (motor de cerca i anàlisi), Logstash (recopilació de dades) i Kibana (plataforma d’anàlisi i visualització).

Qualsevol equip de resposta a incidents necessita aquestes capacitats d’emmagatzemar dades centralitzades, buscar en les dades, utilitzar-les per a la detecció i generar alertes específiques per a l’organització. Segons l’experiència de GMV, utilitzar Elastic com a solució SIEM ens permet cobrir aquestes diferents fases en la gestió d’esdeveniments de seguretat: recollir logs dels actius d’interès, normalitzar la informació desestructurada permetent la seva indexació, enriquir amb dades addicionals (geolocalització, resolució DNS, etc.), correlacionar i detectar anomalies (agrupant, categoritzant i filtrant esdeveniments), i reportar informes i alertes de múltiples maneres.