Enigmabox - Inicio€¦ · Enigmabox es un software cuya finalidad es asistir en operaciones de...
Transcript of Enigmabox - Inicio€¦ · Enigmabox es un software cuya finalidad es asistir en operaciones de...
Enigmabox Versión Beta 1.
¿Qué es Enigmabox?
Enigmabox es un software cuya finalidad es asistir en operaciones de respuesta ante
incidentes de seguridad informática e incluso automatizar ciertas tareas críticas ahorrando
tiempo y dinero a las empresas en casos de emergencia.
Su funcionamiento se basa en uno de los componentes de
seguridad más sólidos que existen, los logs. Enigmabox se
centra en recolectar las huellas (los logs) que deja un atacante
al intruir en un sistema informático y además, ser capaz de
identificar la raíz de dicha intrusión.
En pocas palabras, Enigmabox se asimila a la caja negra de un
avión.
¿Por qué Enigmabox?
La razón es sencilla, pueden aplicarse todas las medidas se seguridad perimetrales, tanto
físicas como digitales posibles, sin embargo, siempre existe la posibilidad de realizar una
intrusión. Esto se ha demostrado por sí solo: Grandes empresas como Yahoo, Sony, Steam,
eBay, Amazon etc han sufrido intrusiones a pesar de sus vanguardistas sistemas de seguridad.
Cuando estas intrusiones ocurren, entra en juego el equipo de “Incident Response” o
Respuesta ante Incidentes, el cual debe rápidamente frenar el ataque, evaluar los sistemas
comprometidos, evaluar los datos comprometidos y reparar las fallas de seguridad.
Enigmabox refuerza notablemente al equipo de incident response agilizando su trabajo y
ayudando incluso al administrador de sistemas a ejecutar las tareas propias de este equipo,
reduciendo así el tiempo entre intrusión-respuesta y permitiendo un ahorro en costes
post-intrusión.
¿Qué hace Enigmabox?
Actualmente Enigmabox se encuentra en fase de desarrollo, sin embargo, en su primera
release estable contempla las siguientes funcionalidades:
● Identificación de accesos.
● Identificación de ataques por fuerza bruta o diccionario.
● Identificación de herramientas de hacking físico en el sistema.
● Identificación de conexiones de almacenamiento externo en el sistema.
● Identificación de múltiples ataques web: SQL Injection, XSS Injection, Code Injection…
● Identificación de ataques vía Metasploit (probablemente el frameworks de pentesting
más utilizado actualmente)
● Identificación geolocalizada de los posibles atacantes.
● Auditoría de accesos a bases de datos MySQL y eventos críticos en la misma.
● Capacidad de adaptación a cualquier sistema operativo cliente.
● Capacidad de recolección de información y análisis para cualquier software que emita
logs.
Además continúan en desarrollo muchas otras funcionalidades interesantes enfocadas
específicamente al Incident Response.
¿Cómo luce Enigmabox?
Los dashboards de Enigmabox son completamente adaptables según las necesidades del
usuario final. Esta es una de las premisas más significativas del Diseño Centrado en el Usuario.
Así luce un dashboard por defecto en Enigmabox. En la parte superior un timeline con los
eventos importantes del sistema representados por círculos diferenciados por colores y
tamaños.
El mapa inferior geolocaliza las IP de los atacantes de forma rápida y sencilla, acompañado por
un timeline específico para ataques vía web, el vector de ataque más usual actualmente.
Este es otro ejemplo que demuestra la adaptabilidad de los dashboards. En este caso se han
unificado los eventos del sistema y los ataques web en un solo timeline, dando más peso a la
geolocalización de los ataques. Además, en este caso el timeline muestra los eventos en
distintos niveles según el número de eventos particulares ocurridos en el mismo periodo de
tiempo.
Las tablas laterales ofrecen información extra sobre accesos, eventos del sistema y eventos
web, aportando la información necesaria para identificar al atacante o las fuentes de ataque.
¿Cuál es la tecnología detrás de Enigmabox?
Enigmabox se apoya en el conocido stack de recolección de información creado por la
empresa tecnológica Elastic. Utiliza Elasticsearch como motor de indexado, es el núcleo de
Enigmabox, este motor lo utilizan empresas como Wikipedia o LinkedIn y está apoyado por
multinacionales tecnológicas como Ebay, Cisco, Facebook, la empresa de ciberseguridad
Symantec entre otras.
Para visualizar una gran cantidad de datos hace falta una herramienta de visualización de
información potente. Kibana es un entorno de visualización de información y creación de
visualizaciones creado para funcionar codo con codo con Elasticsearch. Enigmabox adapta las
funcionalidades de Kibana para ofrecer visualizaciones de eventos basadas en el tiempo muy
intuitivas y fáciles de entender gracias a la metodología de Diseño Centrado en el Usuario
(UCD).
Como punto de recogida de información, Enigmabox utiliza clientes ligeros adaptados
especificamente para Elasticsearch. Estos son Logstash como centralizador herramienta de
ETL (Extract, Transform, Load), Filebeat como herramienta recolectora de logs y Winlogbeat
como herramienta recolectora de eventos de Windows.
El esquema es el siguiente:
Tal y como puede observarse en el esquema anterior, la inteligencia de Enigmabox está
contenida tanto en las reglas situadas en Logstash como en las visualizaciones y dashboards
de Kibana creados por Enigmasec específicamente para retratar eventos importantes.
Además, Enigmabox integra autenticación de doble factor utilizando Latch, el software creado
por la compañía de ciberseguridad ElevenPath que agrega una capa extra de seguridad al
propio sistema Enigmabox.
¿Cómo se instala Enigmabox?
Actualmente Enigmabox está contenido en una máquina virtual, convirtiéndose en una
herramienta plug & play. Sin embargo es necesario instalar los clientes Filebeat (Windows y
Linux) y Winlogbeat (solo Windows) en las máquinas cliente. Este proceso es realmente
sencillo y está pensado para ser personalizable dependiendo de las necesidades de la
empresa objetivo.
Por supuesto contamos con un equipo de profesionales que trabajan codo con codo con las
empresas cliente para asegurarse de que la instalación y configuración de Enigmabox se lleva
a cabo correctamente e instruirles en el uso de la herramienta si fuese necesario.