Bienvenido al Curso Gratis de Redes #18 SIEM. La implementación de un Sistema de Información y Eventos de Seguridad (SIEM) emerge como una estrategia clave. Esta guía explorará cómo el SIEM se convierte en la columna vertebral de la seguridad de redes, permitiendo la detección temprana, respuesta rápida y análisis integral de eventos. Sumérgete con nosotros para descubrir cómo fortalecer tu infraestructura y proteger tus activos digitales con una implementación eficaz de SIEM.

Índice

¿Te gustaría enterarte de cuando lanzamos descuentos y nuevos cursos?

¿Qué es un SIEM?

SIEM o Gestión de Eventos e Información de Seguridad (Security Information and Event Management) es una categoría de software que tiene como objetivo otorgar a las organizaciones información útil sobre potenciales amenazas de seguridad de sus redes críticas de negocio, a través de la estandarización de datos y priorización de amenazas. Esto es posible mediante un análisis centralizado de datos de seguridad, obtenidos desde múltiples sistemas, que incluyen aplicaciones antivirus, firewalls y soluciones de prevención de intrusiones.

Las soluciones SIEM son una solución híbrida de las categorías de productos como SIM (Security Information Management) y SEM (Security Event Manager). La tecnología SIEM proporciona un análisis en tiempo real de las alertas de seguridad generadas por el hardware y software de red. Las soluciones SIEM pueden venir como software, aplicaciones, o administración de servicios, y también son utilizados para registrar datos de seguridad y generar reportes para fines de cumplimiento.

SEM:

Es el primer área de gestión de la seguridad, se ocupa de la monitorización en tiempo real, correlación de eventos, notificaciones y vistas de la consola que comúnmente se conoce como Gestión de Eventos de Seguridad (Security Event Management).

SIM:

Ofrece almacenamiento a largo plazo, análisis y comunicación de los datos de eventos, y se conoce como Gestión de Seguridad de la Información (Security Information Management).

El término Gestión de la Información de Seguridad y de Eventos (Security Information and Event Management) describe múltiples capacidades como la recopilación, análisis y presentación de información de la red y los dispositivos de seguridad. A esto se le añaden

las aplicaciones de gestión de identidades y accesos, gestión de vulnerabilidades y los instrumentos de política de cumplimiento, sistema operativo, base de datos, logs, y datos de amenazas externas. La clave es monitorizar y ayudar a controlar los privilegios de usuario y de servicio, servicios de directorio y otros cambios de configuración del sistema, así como proporcionar datos para auditoría de eventos, revisión y respuesta a incidentes.

La detección de eventos de interés puede ser a través de cualquiera de los grupos funcionales, con el soporte SEM, capaz de monitorizar en tiempo real; y el SIM, que proporciona un medio eficaz para comparar la gran cantidad de eventos recopilados. Los SIEM están diseñados para recopilar eventos de seguridad a partir de una amplia variedad de fuentes dentro de una organización. Una vez que el SIEM tiene los eventos, procesa los datos para estandarizarlos, lleva a cabo el análisis de los datos “normalizados”, genera alertas cuando detecta actividad anómala, y produce informes a petición de los administradores. Algunos productos SIEM también pueden actuar para bloquear las actividades maliciosas.

¿Por qué es importante tener un SIEM?

No es un secreto que las amenazas de seguridad aumentan continuamente, y que pueden provenir tanto de fuentes internas como externas. Una preocupación que crece es la posibilidad de que, accidentalmente, los empleados configuren erróneamente los ajustes de seguridad, dejando los datos vulnerables a un ataque. Para prevenir estos problemas, las organizaciones de IT han incorporado varios sistemas para protegerse de intrusiones y de una gran cantidad de amenazas diversas.

La desventaja de estos sistemas de protección es que generan tanta información para monitorizar, que los equipos de IT se enfrentan al problema de tener que interpretarla en su totalidad para poder reconocer los problemas reales. De hecho, el volumen de datos de Seguridad que fluyen a los equipos de Seguridad de IT con poco personal, es más que nada inútil, a menos que pueda ser rápidamente analizado y filtrado en alertas procesables. Teniendo en cuenta la cantidad de datos que pueden llegar a ser, para las organizaciones ya no es posible hacer este análisis en forma manual. Es aquí donde aparece el software SIEM.

Con un SIEM, los profesionales de IT cuentan con un método efectivo para automatizar sus procesos y centralizar la gestión de Seguridad de una forma que ayude a simplificar la difícil tarea de proteger información sensible. Un SIEM proporciona a los expertos una ventaja para comprender la diferencia entre una amenaza de bajo riesgo y una que puede ser determinante para su negocio.

La estandarización de datos es fundamental

La posibilidad de contar con datos de Seguridad que fluyen en una vista centralizada de su infraestructura es efectiva solo si esos datos pueden ser estandarizados. Esto significa que, a pesar de las miles o millones de entradas provenientes de los distintos sistemas y fuentes, todo puede ser colocado en un formato común, listo para que la solución SIEM pueda ejecutar su análisis y correlación. Esto reduce la carga de trabajo de su equipo y le permite aprovechar una vista optimizada de la actividad y las potenciales preocupaciones.

Funcionalidades claves de una solución SIEM

Las soluciones SIEM disponibles comparten puntos en común que son importantes para sus operaciones. Debe contar con la capacidad de:

  • Centralizar la vista de potenciales amenazas
  • Determinar qué amenazas requieren resolución y cuáles son solamente ruido
  • Escalar temas a los analistas de Seguridad apropiados, para que puedan tomar una acción rápida
  • Incluir el contexto de los eventos de Seguridad para permitir resoluciones bien informadas
  • Documentar, en un registro de auditoría, los eventos detectados y cómo fueron resueltos
  • Cumplir con las regulaciones de la industria en un formato de reporte sencillo

El rol de SIEM en el cumplimiento regulatorio

Los SIEM ganaron popularidad entre las grandes compañías que deben cumplir con PCI DSS (el Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago). Además, dispone de aplicaciones muy útiles que ayudan al cumplimiento de normativas como la Regulación General de Protección de Datos (GDPR), y Sarbanes-Oxley (SOX), entre otras. Estas leyes obligan a las empresas a contar con mecanismos instalados que les permitan detectar amenazas y resolverlas rápidamente. Esto significa que debe saber lo que está sucediendo en un amplio espectro de su infraestructura de IT, ya sea en entornos locales, en la nube, o híbridos.

Una solución SIEM es fundamental para obtener la información necesaria para monitorizar datos y actuar rápidamente sobre las amenazas que están determinadas a ser una causa de alarma. Cuando toda esta actividad está capturada en un registro de auditoría detallado, los auditores pueden ver que su compañía está tomando los pasos necesarios para proteger sus datos.

Ejemplos de SIEM en acción

Un SIEM puede ser utilizado para detectar cualquier número de amenazas de Seguridad, incluso la presencia de ransomware, accesos no autorizados a datos, intentos de log-in fallidos que no coinciden con los problemas estándares de log-in, y picos inusuales en el ancho de banda. Ya sea que estas amenazas provengan de fuentes internas o externas, el software es capaz de enviar una alerta priorizada que notifique a su equipo del problema potencial para que sea investigado de inmediato. A medida que las amenazas de Seguridad evolucionan, las soluciones SIEM se convierten en un componente crítico para proporcionar a las organizaciones un entorno seguro para sus datos.

Capacidades de detección en tiempo real

La gestión de eventos de seguridad (SEM) proporciona herramientas y funcionalidades en tiempo real o casi para facilitar la gestión de los eventos relacionados con la seguridad, mediante la evaluación de los eventos y la correlación de la información procedente de diferentes fuentes. Al no depender de una sola fuente de información, como lo hacen los IDS / IPS, la función de gestión de eventos puede ayudar a reducir el número de falsos positivos, asegurando que el evento que haya sido descubierto se comunique al resto de sistemas. A medida que la base de datos se actualiza se vuelve más eficaz y diferencia mejor los incidentes de seguridad de los patrones habituales de eventos.

Las tecnologías avanzadas SEM soportan capacidades de visualización de datos, que pueden ayudar al analista de seguridad a evaluar rápidamente los acontecimientos y tendencias. Las funciones de análisis de amenazas y la priorización de eventos proporcionan una asistencia extra al personal de operaciones de seguridad, ya que pueden concentrar sus esfuerzos en la investigación de los eventos que tienen las clasificaciones de amenaza más altas.

SEM en industria

Las herramientas y funcionalidades proporcionadas por el gestor de eventos de seguridad son a menudo muy competitivas en el sector industrial. Debido al uso de protocolos propietarios de los elementos industriales, se requiere llevar a cabo un aprendizaje exhaustivo; pero gracias a los pocos cambios ocurridos en la red y su alta estabilidad proporciona una seguridad elevada, al poder detectar fácilmente cualquier conexión o mensaje fuera de la transmisión habitual entre las máquinas.

Gestión de archivos de eventos

Las funciones del SIM se caracterizan por el análisis de datos en tiempo no real, a través de la recopilación y estandarización de sistemas dispares y la información centralizada de aplicaciones (por ejemplo, eventos del sistema, pistas de auditoría, registros de eventos y registros de transacciones).

El analista de seguridad puede consultar el archivo y recuperar información a través de consultas estandarizadas; almacenando la información de diferentes sistemas en un solo lugar, de manera cronológica y formalizada.

Las tecnologías avanzadas SIM

Pueden evaluar estos eventos guardados, a medida que se recogen o bajo demanda, con el fin de examinar comportamientos anómalos en futuros análisis.

El análisis forense se favorece por las funciones de gestión de eventos, mientras que los eventos centralizados ayudan a gestionar los tiempos de retención para cumplir con las leyes y normas aplicables. La capacidad de generación de informes puede simplificar las evaluaciones internas y los ciclos de auditoría de una organización.

Los sistemas SIEM proporcionan detección de eventos por medio de la evaluación en tiempo real de la información y por el análisis forense de eventos previamente almacenados.

El funcionamiento para analizar la red se basa en reglas y firmas, aunque también dispone de soporte para crear nuevos scripts mediante el lenguaje LUA. Dispone de entradas y salidas estandarizadas a formatos como YAML que le permiten integrarse fácilmente con otras herramientas como SIEM o bases de datos. Al involucrar a la comunidad de código abierto y el conjunto de los recursos más importantes de reglas IDS/IPS disponible, OISF ha construido el motor Suricata para simplificar el proceso de mantenimiento del nivel de seguridad óptimo. A través de asociaciones estratégicas, OISF está aprovechando la experiencia de Amenazas Emergentes y otros recursos importantes en la industria para proporcionar las reglas más actualizadas y completas disponibles.

Fases en la gestión de amenazas

SIM en la industria

Las funciones de recopilación de datos son perfectas para los procesos de auditoría. Por suerte, los datos registrados por los sensores suelen ser muy homogéneos en redes donde los equipos no se modifican durante grandes periodos de tiempo. Es fácilmente detectable cualquier anomalía en los protocolos, valores o tiempos, viendo al instante los cambios producidos por posibles ataques a la red.

Entendiendo un SIEM

Los SIEM requieren de una gran cantidad de planificación antes de que comience la ejecución, identificación y prevención de las violaciones de seguridad. La implementación suele declararse como desalentadora para gran cantidad de empresas, muchas veces siendo externalizada, por ser difícil de ajustar y puede llevar un tiempo considerable antes de obtener los resultados deseados.

Existen varias razones que podrían conducir a una empresa a poner en práctica un SIEM, desde el cumplimiento de una norma de gobierno o de industria, pasando por haber sido la víctima de un ataque cibernético, o tal vez obtener un cierto nivel de seguridad antes de firmar un contrato. Independientemente de la convicción, cuando una compañía se decide a implementar un SIEM, tendrá que realizar grandes esfuerzos antes de que comience a ver los resultados.

Implantación del SIEM en redes industriales

La implementación de un SIEM en una red OT conlleva varias dificultades:

Ciclos de vida muy largos: El problema más habitual en los sistemas industriales viene por el ciclo de vida, muchas veces entre 20 y 40 años dependiendo del tipo de industria. Añadir elementos de seguridad a la red o a equipo, pueda afectar, modificar o retrasar la señal de comunicaciones de los PLC u otros equipos, debido a la baja potencia de procesado con la que cuenta. Esto puede conllevar a una problemática asociada a la compatibilidad y al funcionamiento entre los equipos de esa red.

Prestaciones: Los ordenadores que se encuentran en las redes industriales, así como los propios dispositivos industriales, suelen ser equipos poco potentes, desfasados y desactualizados, con las capacidades justas para las tareas de control asignadas. Un antivirus moderno, las herramientas IDS/IPS y otras que son necesarias para el procesamiento de los logs, pueden conllevar incompatibilidades, disminución de potencia los dispositivos o incluso el mal funcionamiento general del sistema.

Personal: Los empleados y técnicos necesarios para la gestión de los SIEM deben tener además los conocimientos suficientes para entender los protocolos y equipos de la red industrial para poder interpretar correctamente los eventos generados. 

Consideraciones de implantación de un SIEM

La implantación de un SIEM requiere un profundo conocimiento de la topología de red y de sus protocolos, y de una comprensión clara de lo que se espera que haga. La mejor manera de implantar un SIEM es por medio de sus dos componentes más importantes por separado, la gestión de las capacidades de registro y seguimiento por una parte y la respuesta ante las alertas por otra. La primera tarea para la organización será conocer que considera como activo crítico y posteriormente se pasará al estudio de su protección.

Algunas compañías disponen de una variedad de eventos que recopilar y procesar de manera diferente. Antes de que el sistema SIEM sea capaz de proporcionar informes útiles, los diversos eventos deberán ser normalizados para que los datos sean coherentes. Antes de que una empresa pueda sacar el máximo provecho de su SIEM, deberá configurar el sistema para hacer frente a los datos que se recogen en cada tipo de dispositivo, cómo y dónde se almacenan los datos, y cómo los incidentes crean los avisos, además de gestionar el horario, que también puede ser condicionante a la hora de generar los avisos.

Cada SIEM tiene su propio conjunto de requisitos para la recopilación de eventos. Hay muchos tipos de fuentes de eventos, pero syslog y los registros de eventos de Windows generalmente cubren el 75 por ciento o más del entorno de una empresa. La seguridad es un proceso y no una operación táctica. Con el fin de obtener los mejores resultados medibles para la inversión en el SIEM deberán elegir las mejores situaciones para incorporar sus sensores distribuidos por la red.

Arquitectura de seguridad con SIEM

La Figura representa la instalación de un SIEM dentro de los sistemas de control. Hay que tener en cuenta que el SIEM se dedica a recoger y gestionar eventos de log, por lo que las fuentes de datos provendrán de todos los dispositivos. En este caso hay que tener cuidado con las comunicaciones, ya que todos los dispositivos deben poder enviar sus registro de eventos hasta el SIEM, y esto puede implicar una sobrecarga de tráfico en la red. La mejor forma de solucionar esta sobrecarga es disponer de una red exclusiva para el envío de estos mensajes.

Arquitectura unificada con IDS, IPS y SIEM

La representación final (Ver Figura) muestra la puesta en conjunto de las tres tecnologías dentro de una arquitectura de red de sistemas de control. El IPS quedaría para los niveles superiores, controlando el tráfico intercambiado entre la parte de control y la parte corporativa o de negocio, los IDS gestionarían el tráfico entre la red de control y las de campo, informado de posibles anomalías en el tráfico; y el SIEM recogería la información del mayor número posible de dispositivos, incluyendo dispositivos de proceso y elementos de red, así como la información de las alertas tanto de los IDS como del IPS.

Las líneas rojas mostradas en las figuras indican los puntos donde tanto los sensores IDS como los sensores IPS se conectan para recabar el tráfico, y constituyen una conexión de red. La red de monitorización se utiliza como nexo de unión entre los sensores IDS/IPS y el núcleo central de gestión, y por este motivo no se requiere un acceso a dicha red desde ninguna otra parte de la arquitectura. Las líneas marcadas en verde que finalizan el en SIEM muestran de dónde se obtiene información y no conexiones de red reales. La información se enviará a través de las conexiones existentes, habilitando en el cortafuegos (y en su caso en el IDS/IPS) las reglas correspondientes

El camino hacia el éxito SIEM

Hacer funcionar correctamente un SIEM para que sea eficiente y efectivo para la empresa requiere de una serie de pasos y medidas a tener en cuenta:

  • Recoger los eventos de las fuentes de seguridad estándar.
  • Enriquecer los eventos con datos suplementarios provenientes de otras fuentes.
  • Aplicar inteligencia de global de amenazas (listas negras).
  • Correlación de la información recogida.
  • Investigar los eventos generados, realizando seguimiento y corrección.
  • Documentar las acciones a realizar, los procedimientos operativos estándar, acuerdos de nivel de servicio, tickets de problema.
  • Incorporar nueva información al SIEM mediante la creación de listas blancas o nuevos contenidos.

En algunos casos, una organización podría optar por la gestión externalizada SIEM sobre una empresa especializada en seguridad. En los sistemas IT la gestión se llevaría desde las propias instalaciones de la empresa de seguridad, pero en los sistemas OT es más común que un técnico o más de la empresa de seguridad se desplacen a trabajar conjuntamente en la industria.

Gestión interna vs externalizada

El beneficio de SIEM dedicado hace que los datos de la empresa nunca salgan al exterior, la empresa tiene control sobre el hardware y los eventos almacenados. Tienen la capacidad de configurar las correlaciones (reglas), la presentación de informes, los períodos de

retención, y otros ajustes para satisfacer sus necesidades. Los SIEM administrados internamente, pueden causar problemas en la dotación de personal o que el personal asignado pueda ser requerido para otros proyectos o funciones.

La gestión de un SIEM requiere una formación especializada y de unos procedimientos de trabajo normalizados que deben ser creados y mantenidos para cada entorno. Un enfoque fuera de las instalaciones requiere que los eventos se envíen al administrador, y con esto, se pierde la visibilidad.

Las desventajas a las que un cliente se enfrenta cuando se trata de un SIEM externalizado son: la falta de visibilidad y la incapacidad para moverse entre proveedores y mantener los eventos más antiguos. Esta falta de visibilidad provoca problemas con la búsqueda de nuevas amenazas. Dado que los proveedores de servicios gestionados se suelen especializar en un fabricante de SIEM, son mucho más eficientes y por lo general tienen una mayor experiencia para recurrir a operaciones.

Capacidades de un SIEM

Agregación de datos: SEM / LM (administración de logs) soluciones para administración de logs desde muchas fuentes, incluyendo redes, seguridad, servidores, bases de datos, aplicaciones, proporcionando la capacidad de consolidar los datos monitorizados para ayudar a evitar la pérdida de los acontecimientos cruciales.

Correlación: busca atributos comunes y relaciona eventos en paquetes o incidentes. Esta tecnología realiza técnicas de correlación para integrar diferentes fuentes, con el fin de convertir los datos en información.

Alerta: el análisis automatizado de eventos correlacionados y la producción de alertas, que serán enviadas al administrador.

Cuadros de mando: SIEM / LM herramienta para transformar los datos y convertirlos en tablas y gráficas informativas que ayuden a reconocer patrones o identificar actividades anómalas.

Cumplimiento: Las aplicaciones SIEM se pueden emplear para automatizar la recopilación de datos y en la elaboración de informes adaptados a normativas existentes.

Retención: SIEM / SIM emplea soluciones a largo plazo de almacenamiento de datos, que constituyen un proceso crítico en la investigación forense, ya que es poco probable que el descubrimiento de una violación de la red sea en el instante en el que se produzca.

Redundancia: Los motores de correlación no requieren ser redundantes, sin embargo, es muy aconsejable que la base de datos si esté redundada para no perder información.

Escalabilidad: Permitir que el sistema sea configurado jerárquicamente, de manera que pueda crecer atendiendo a las necesidades.

Opciones SIEM basadas en la nube

Un enfoque que está empezando a crecer es el SIEM como un servicio en la nube. Mientras que los proveedores en la nube podrían ofrecer programas especiales para los clientes SIEMaaS (SIEM as a Service) por primera vez, los proveedores más grandes quieren ofrecer también soluciones SIEM. Los proveedores deben reconocer que los eventos son propiedad del cliente, y los clientes tienen que entender que los eventos pueden contener información confidencial de la empresa.

Se recomienda que si la empresa recoge datos protegidos, se ha de firmar un acuerdo entre ambos para asegurar que los datos se manejan apropiadamente. A diferencia tradicional, en el software SIEM basado en la nube generalmente se factura en función del modelo de uso, y no por servidor o por usuario. Sin embargo, si el software SIEM envía todos los eventos a la nube, o de lo contrario se configura incorrectamente, el costo del ancho de banda del proveedor de la nube podría ser alto.

Las empresas más pequeñas pueden encontrar mayores beneficios en la utilización de un proveedor de servicios que ofrece seguridad basada en SaaS o un proveedor de servicios de seguridad gestionada (MSSP) que va a proporcionar algunas de las demandas en curso.

SIEM Open Source

Existe una gran multitud de ofertas y opciones, en este estudio nos centraremos en uno de los SIEM más conocidos y populares, se trata de Security Onion, desarrollado por Doug Burks, creando una implementación o unión de todos los programas libres para el trabajo con IDS/IPS de una forma muy sencilla de instalar, permitiendo instalar software de terceros como Splunk por medio de aplicaciones.

Existen otros muchos SIEM, también efectivos contra amenazas, pero pueden llevar asociados costes o quizá puedan ser menos usados. Por hablar de otras posibilidades, tenemos a modo de ejemplo:

Herramientas SIEM

Snorby

Snorby es un interfaz para la monitorización de alertas basado en Ruby20. La ventaja clave es la flexibilidad, es decir, se puede configurar la interfaz para que acepte eventos provenientes de diferentes aplicaciones, siendo solo necesario añadir determinados códigos. Snorby se utiliza para supervisar la seguridad de red gracias a la incorporación de eventos de IDS/IPS como Snort o Suricata.

Mediante la captura de paquetes (CapME21) proporcionados por Snorby, se puede hacer un filtrado con las características que se deseen, por ejemplo seleccionar dirección del equipo y destino, el protocolo de transmisión, la fecha y hora en la que queremos buscar en la base de datos para obtener todos los eventos relacionados. De esta forma, se simplifica la búsqueda y permite centrar el análisis en los eventos necesarios.

Sguil

La herramienta Sguil está construida por y para los analistas de seguridad de red. El principal componente de Sguil es una interfaz gráfica de usuario que proporciona acceso a los eventos en tiempo real, datos de sesión, y capturas de paquetes. Sguil facilita el seguimiento y análisis de eventos en la red. El cliente Sguil se puede ejecutar en multitud de sistemas operativos, incluyendo Linux, BSD, Solaris, MacOS y Windows.

Sguil proporciona visibilidad sobre los datos de evento recogidos y el contexto para validar la detección. Proporciona una única interfaz gráfica de usuario, en cual, se ven las alertas de Snort o Suricata, alertas OSSEC, eventos HTTP Bro, y las alertas del sistema de detección pasivo de activos en tiempo real (PRADS23).

Más importante aún, Sguil permite ver todo el tráfico asociado a una alerta, consultar todos los paquetes capturados, y también el tráfico que no tiene porqué pertenecer a esa alerta, pero podría estar asociado con la actividad maliciosa o no deseada.

Sguil se diferencia de otras interfaces de alerta en que permite la colaboración entre los analistas permitiendo comentar las alertas.

Squert

Es una aplicación web que se utiliza para consultar y ver eventos de datos almacenados en una base de datos Sguil (por lo general son breves datos de alerta). Squert es una herramienta visual que intenta proporcionar información adicional a los eventos a través del uso de metadatos, representaciones de series de tiempo, ponderaciones y conjuntos de resultados agrupados de forma lógica.

La herramienta para búsqueda y almacenado de logs de empresa (ELSA – Enterprise Log Search and Archive) es un analizador de eventos que opera en tres niveles: receptor de log, base de datos o almacenador e interfaz web para syslog entrantes. Aprovecha un analizador basado en una base de patrones para la normalización de eventos y usa el motor de búsqueda Sphinx26 para la indexación de texto completo para realizar la búsqueda de eventos.

ELSA permite realizar una exploración que puede estar escalada en los diferentes nodos que tenga un sistema distribuido. El proceso de normalización asigna a cada usuario entrante un identificador según la clase de usuario. Los usuarios pueden conceder permisos (listas blancas) granulares para un host o programa, es decir, un usuario puede limitarse a uno o varios hosts pero es capaz de consultar cualquier programa o clase en estos equipos. ELSA se divide en tres componentes principales: los nodos finales, el DAEMON27 (proceso demonio) que se ejecuta en el servidor web, y el propio sitio Web. Los nodos no tienen conocimiento de la interfaz web y responden a cualquier petición a su puerto de escucha.

ELSA permite realizar búsquedas de logs igual que si fuera un navegador web, tan solo insertar un espacio de tiempo para realizar un filtrado de todos los logs e indicar un filtro ya predefinido para realizar la búsqueda.

ELSA en redes industriales

Los filtros configurados en ELSA no permiten hacer filtrado de protocolos industriales por defecto. Los protocolos industriales no son reconocidos, pero como se ve en el apartado que trata el IDS Snort, la implementación de las reglas Quickdraw permite reconocer y filtrar por ejemplo, el puerto 502 o por protocolo ModBus, sin que se encuentre como filtro por defecto.

SPLUNK

Splunk es un sistema que permite la correlación de eventos y la incorporación de los datos de campo e informes para sguil, Bro IDS y OSSEC, e incluye varios cuadros de mando e interfaz de búsqueda para correlar eventos. Proporciona una plataforma altamente escalable para los datos generados por todos los dispositivos de los sistemas de control, sensores, sistemas SCADA, redes, aplicaciones y usuarios finales conectados a estas redes industriales. Splunk eleva la eficiencia operativa por medio de:

  • La integración y agregación de datos a través de tecnología operativa.
  • Busca, explora y correlaciona a través de múltiples fuentes para diagnosticar rápidamente los problemas operativos más costosos.
  • Aprovecha la analítica avanzada, proporcionando la capacidad de detectar patrones, tendencias y anomalías
  • Entrega rápidamente valores a través de modelos de implementación flexibles.

Security Onion

Security Onion es una distribución de Linux para la detección de intrusiones sobre la que se basa este estudio con el fin de controlar la seguridad de la red y de gestionar los eventos. Creada por Doug Burks, esta distribución ha sido la elegida por tener como objetivo la monitorización de anomalías y detección de problemas de seguridad, dada la cantidad de las herramientas libres (Snort, Suricata, Bro, Sguil, Squert, Snorby, ELSA, Xplico, Network Miner, etc.) incluidas en la misma y sin obviar su fácil instalación y puesta en marcha

La idea de Doug Burks es crear un Gestor de Seguridad de Red NSM (Network Security Manager) por medio de la compilación de varios programas libres, creando como un conjunto de seguridad de fácil instalación. Las características de Security Onion favorecen su actuación en redes industriales, primero por el bajo coste de la solución, y después por la capacidad de introducir reglas definidas en Snort para monitorizar los protocolos industriales.

Componentes Principales

Security Onion se compone fundamentalmente de tres funcionalidades básicas:

  • Captura de paquetes
  • Sistemas de detección de intrusiones basado en host y basado en la red y (HIDS y NIDS)
  • Herramientas de análisis con gran capacidad y potencia

La captura de paquetes completa se logra a través netsniff-ng, wireshark y otros programas que poseen el mismo objetivo, capturando todo el tráfico de los sensores definidos en Security Onion. La información capturada permite identificar no sólo de dónde o adónde van los paquetes, sino también dónde han sido almacenados (esto permite explotar payloads, correos electrónicos de phishing, exfiltración de archivos). Los HIDS y NIDS analizan el tráfico que pasa por el host y la red y proporcionan datos de alerta, registro de eventos y actividades detectadas. Security Onion ofrece múltiples opciones de IDS:

NIDS: Security Onion dispone de Snort y Suricata.

  • Análisis guiado por NIDS: Para la detección de intrusiones de red impulsada por el análisis, se incluye Bro.
  • HIDS: Security Onion ofrece OSSEC.

Visión de conjunto

Una Gestión de Seguridad de Red (NSM) se refiere a la monitorización de la red obteniendo los eventos relacionados con la seguridad. Puede ser que sea proactivo, cuando se utiliza para identificar las vulnerabilidades o los certificados SSL que expiran, o podría ser reactivo, tal como en la respuesta a incidentes y análisis forense de red. Ya sea porque esté realizando el seguimiento a un adversario o tratando de mantener a raya el malware, un NSM proporciona el contexto, la inteligencia y el conocimiento de la situación de la red.

Security Onion proporciona visibilidad en el tráfico de la red y el contexto en torno a las alertas y eventos anómalos, pero requiere un compromiso hacia el administrador o analista, el cual, deberá revisar las alertas y supervisar la actividad de la red. Security Onion integra para este cometido las herramientas Sguil, Squert y ELSA.

Implantación

Security Onion se basa en un modelo cliente-servidor distribuido. Un sensor de Security Onion es el cliente y otro un servidor. Los componentes del servidor y de los sensores se pueden ejecutar en una única máquina física o virtual, o múltiples sensores pueden ser distribuidos a través de una infraestructura y configurados para informar a un solo servidor designado. Los siguientes son los tres escenarios de implantación de Security Onion:

Independiente (Standalone):

Una instalación independiente consiste en una única máquina física o virtual en la que se ejecuta tanto el servidor como los componentes de los sensores y los procesos relacionados. Una instalación independiente puede

controlar múltiples segmentos de red con diferentes interfaces de red para la monitorización. Una instalación independiente es el método más fácil y más conveniente para monitorizar una red o redes que son accesibles desde una misma ubicación.

Servidor-Sensor:

Una instalación de servidor-sensor consta de una máquina que ejecuta el servidor y una o más máquinas separadas que ejecutan la detección y notifican de nuevo al servidor. Los sensores ejecutan todos los procesos de búsqueda y almacenan los paquetes asociados a la captura, alertas IDS y bases de datos para Sguil y ELSA.

El analista se conecta al servidor desde una máquina cliente independiente y todas las consultas enviadas al servidor se distribuyen a los sensores apropiados, la información solicitada se envía al cliente. Este modelo reduce el tráfico de red, manteniendo la mayor parte de los datos recogidos en los sensores hasta que es solicitado por el cliente. Todo el tráfico entre el servidor, los sensores y el cliente están protegidos con túneles cifrados por SSH.

Híbrido: Una instalación híbrida consiste en una mezcla de las dos arquitecturas presentadas, es una instalación independiente que también tiene uno o más sensores separados para informar al servidor de la máquina independiente.

Splunk ¿Para qué se utiliza y cómo funciona?


Splunk, una plataforma de software de gestión de eventos e información de seguridad (SIEM) ampliamente reconocida, se ha convertido en una solución poderosa en el campo de la seguridad cibernética. Este artículo explora exactamente lo que estás buscando. Esta guía completa puede ayudarle a comprender qué es Splunk y para qué se utiliza. Ilustraremos sus características principales, casos de uso principales y ventajas, y lo compararemos con otras herramientas SIEM. Sin más, respondamos “para qué se utiliza Splunk” en el mundo de la ciberseguridad.

¿Qué es Splunk?

En el panorama cibernético actual basado en datos, las organizaciones de todo el mundo se enfrentan a un volumen cada vez mayor de datos procedentes de diversos activos e infraestructuras de red. Para aprovechar el poder de estos datos y permitir la resiliencia cibernética, se necesitan herramientas y tecnologías que puedan ayudarlos a recopilar, analizar y visualizar los registros y eventos de manera efectiva para detectar y prevenir amenazas a la seguridad cibernética.

Splunk es una potente herramienta SIEM (gestión de eventos e información de seguridad) que se utiliza ampliamente para resolver este propósito. Ofrece una plataforma integral para recopilar, analizar y visualizar datos generados por máquinas para obtener información valiosa y detectar posibles amenazas a la seguridad. Aunque Splunk generalmente se considera una herramienta SIEM, recientemente se le cambió el nombre a Plataforma unificada de seguridad y observabilidad y, actualmente, Splunk se ofrece como plataformas Splunk Cloud, Splunk Enterprise y Splunk Observability Cloud.

Descripción general de Splunk

Descripción general de Splunk | Fuente de la figura: Productos Splunk | Splunk

Entonces, ¿para qué se utiliza Splunk? Splunk está diseñado para ingerir e indexar grandes volúmenes de datos de diversas fuentes, incluidos registros, sensores, dispositivos, aplicaciones y sistemas. Proporciona capacidades de monitoreo, análisis, seguridad y observabilidad en tiempo real, lo que permite a las organizaciones identificar y responder a incidentes de seguridad de manera proactiva.

Una de las características clave de Splunk es su capacidad para correlacionar y agregar datos de diferentes fuentes como servidores, firewalls, balanceadores de carga, dispositivos de red, etc., lo que permite a los analistas de seguridad investigar e identificar patrones, anomalías y amenazas potenciales. Sus funcionalidades avanzadas de búsqueda y consulta permiten a los usuarios realizar búsquedas complejas y crear informes y paneles personalizados.

Panel de control

Splunk también ofrece una amplia gama de aplicaciones y complementos específicos de seguridad que brindan funcionalidad adicional y ayudan a automatizar diversas tareas de seguridad. Estos incluyen inteligencia sobre amenazas, respuesta a incidentes, monitoreo de cumplimiento, observabilidad y análisis del comportamiento del usuario, entre otros.

Al analizar y visualizar datos en tiempo real, Splunk ayuda a las organizaciones a mejorar su postura de seguridad al identificar y mitigar vulnerabilidades, detectar y responder a incidentes de seguridad y garantizar el cumplimiento de las regulaciones y mejores prácticas de la industria.

Además de sus aplicaciones de seguridad, Splunk también se utiliza ampliamente para otros fines, como la supervisión de operaciones de TI, la supervisión del rendimiento de las aplicaciones, el análisis empresarial y la gestión de registros. Su versatilidad y escalabilidad lo convierten en una opción popular para organizaciones de todos los tamaños y en diversas industrias.

¿Cómo funciona Splunk?

La arquitectura de Splunk consta de varios componentes que trabajan juntos para permitir la ingesta, indexación, búsqueda y visualización de datos. A continuación se muestra un diagrama típico de la arquitectura Splunk y los componentes clave correspondientes de la arquitectura Splunk:

Arquitectura Splunk

1. Transportistas:

  • Universal Forwarder : un componente liviano instalado en fuentes de datos para recopilar y reenviar datos al indexador de Splunk. Tiene requisitos mínimos de recursos y es adecuado para fuentes de datos de gran volumen.
  • Heavy Forwarder : una versión con más funciones del reenviador universal que permite el preprocesamiento de datos antes de la indexación. Es adecuado para entornos que requieren manipulación de datos adicional.

2. Equilibrador de carga (LB):

Un equilibrador de carga en Splunk ayuda a distribuir el tráfico de red entrante de manera uniforme entre múltiples instancias o servidores de Splunk. Actúa como mediador entre los clientes y las instancias backend de Splunk, asegurando que la carga de trabajo se distribuya uniformemente y se administre de manera eficiente.

3. Recopilador de eventos HTTP (HEC):

Permite el envío de eventos a Splunk a través de HTTP. Permite que fuentes externas envíen datos a Splunk para su indexación y análisis.

4. Indexador:

  • Clúster de indexadores : se pueden configurar varios indexadores en un clúster para garantizar una alta disponibilidad y tolerancia a fallos. Los indexadores reciben datos de los reenviadores, los indexan y los hacen aptos para búsquedas.

5. Cabezal de búsqueda:

  • Grupo de cabezales de búsqueda : el cabezal de búsqueda es responsable de manejar las solicitudes de búsqueda y presentar los resultados. Se puede configurar un grupo de cabezales de búsqueda para equilibrio de carga y redundancia.
  • Agrupación de cabezales de búsqueda : distribuye las solicitudes de búsqueda entre un grupo de cabezales de búsqueda, optimizando el rendimiento y proporcionando tolerancia a fallos.

6. Módulos de implementación:

  • Servidor de implementación : gestiona las configuraciones de los reenviadores, garantizando la coherencia en todo el entorno. Simplifica el proceso de implementación y administración de componentes de Splunk.
  • Administrador de implementación : facilita la gestión de configuraciones en múltiples instancias de Splunk. Garantiza la coherencia y simplifica el proceso de implementación.

7. Licencia Maestra:

Gestiona licencias para todos los componentes de Splunk en el entorno. Garantiza que el uso cumpla con los acuerdos de licencia.

8. Consola de monitoreo:

Proporciona una interfaz centralizada para monitorear el estado y el rendimiento de la implementación de Splunk. Ayuda a los administradores a rastrear el estado de los componentes y solucionar problemas.

9. Entradas de datos:

Varios mecanismos para ingerir datos en Splunk, incluida la supervisión de archivos, entradas con secuencias de comandos, entradas modulares con secuencias de comandos y varias entradas basadas en protocolos.

Características principales de Splunk

Splunk es una potente plataforma de software SIEM que ofrece una amplia gama de funciones que ayudan a las empresas a obtener información valiosa de sus datos y garantizar la resiliencia cibernética.

Enormes cantidades de recopilación e ingesta de datos

Splunk se destaca en la recopilación e ingesta de diversas fuentes de datos cruciales para la seguridad cibernética. Su versatilidad, desde registros hasta eventos y métricas, garantiza una cobertura integral, lo que permite la detección de amenazas en tiempo real.

Indexación ultrarrápida en tiempo real

El corazón de las capacidades SIEM de Splunk reside en la indexación en tiempo real. La visibilidad inmediata de los eventos de seguridad permite respuestas rápidas, minimizando el impacto de los incidentes cibernéticos.

Potente búsqueda e investigación analítica

En el ámbito de la ciberseguridad, las investigaciones rápidas y precisas son esenciales. Las funciones de búsqueda e investigación de Splunk, impulsadas por Splunk Query Language (SPL), permiten a los profesionales de la seguridad  identificar y analizar amenazas de forma rápida y precisa.

Paneles y visualizaciones de datos atractivos

Las intuitivas herramientas de visualización de datos de Splunk desempeñan un papel fundamental en la seguridad cibernética. Los paneles interactivos facilitan el monitoreo de métricas de seguridad, panoramas de amenazas y tendencias de incidentes de un vistazo.

Alertas y notificaciones en tiempo real

La proactividad es clave en la ciberseguridad. Splunk permite la creación de alertas y notificaciones, lo que garantiza que los equipos de seguridad estén informados rápidamente sobre posibles amenazas o actividades anómalas.

Casos de uso principales de Splunk

La aplicación de Splunk abarca varias áreas críticas. A medida que nos embarcamos en esta exploración, descubriremos cómo la versatilidad de Splunk aborda desafíos operativos críticos en varios dominios, convirtiéndolo en una piedra angular para las organizaciones que buscan soluciones integrales de TI, seguridad e inteligencia empresarial.

Detección de anomalías de Splunk

Gestión de Operaciones de TI

En el ámbito de la seguridad cibernética, la gestión de operaciones de TI es sinónimo de detección de amenazas, respuesta a incidentes e integridad del sistema. El papel de Splunk se extiende más allá de las operaciones de TI, garantizando una postura de seguridad integral.

Seguridad y cumplimiento (SIEM)

Como herramienta SIEM, Splunk destaca en el monitoreo de seguridad, detección de amenazas y gestión de cumplimiento en tiempo real. Ayuda a las organizaciones a adelantarse a las amenazas cibernéticas  y a cumplir los requisitos reglamentarios.

Monitoreo del rendimiento de aplicaciones (APM)

Las aplicaciones son objetivos principales de los ciberataques. Las capacidades de APM de Splunk mejoran la seguridad cibernética al monitorear el rendimiento de las aplicaciones, detectar anomalías y mitigar posibles riesgos de seguridad.

Inteligencia y análisis de negocios

La aplicación de Splunk en ciberseguridad se extiende a la inteligencia empresarial. Al obtener información de los datos de seguridad, las organizaciones pueden tomar decisiones informadas, garantizando una estrategia proactiva de ciberseguridad.

Ventajas de usar Splunk

Splunk se erige como la opción primordial en el ámbito de la seguridad cibernética y el análisis de datos, y ofrece una solución integral que eclipsa a sus competidores. A través de una exploración meticulosa de sus características principales, casos de uso principales y ventajas, resulta evidente que las sólidas capacidades de Splunk permiten a las organizaciones navegar por el intrincado panorama de la seguridad cibernética y obtener información útil a partir de sus datos. La adopción de Splunk en ciberseguridad se basa en varias ventajas:

Escalabilidad y flexibilidad

Los panoramas de seguridad cibernética son dinámicos y diversos. La escalabilidad de Splunk garantiza que pueda adaptarse a las cambiantes necesidades de seguridad y datos de las organizaciones, desde nuevas empresas hasta grandes empresas.

Velocidad y eficiencia en la detección de amenazas

Las capacidades de búsqueda e indexación en tiempo real posicionan a Splunk como un defensor de primera línea. Su velocidad y eficiencia en el procesamiento de datos permiten una rápida detección y respuesta a amenazas, minimizando el tiempo de permanencia. Splunk Query Language (SPL) proporciona una forma potente y flexible de consultar y analizar datos, lo que permite búsquedas más sofisticadas en comparación con otras plataformas.

Capacidades de aprendizaje automático

Splunk incorpora aprendizaje automático para análisis avanzados y detección de anomalías, mejorando sus capacidades para la detección proactiva de amenazas.

Interfaz de usuario intuitiva y capacidades de visualización

En el entorno de alto riesgo de la ciberseguridad, la simplicidad es poderosa. La interfaz fácil de usar de Splunk y sus sólidas capacidades de visualización brindan a los profesionales de la seguridad información útil.

Integración perfecta en la nube

Splunk se integra perfectamente con entornos de nube y ofrece soporte nativo en la nube, brindando flexibilidad y escalabilidad a las organizaciones que adoptan tecnologías de nube.

Comunidad y mercado: Splunkbase

La comunidad Splunk y Splunkbase, su mercado de aplicaciones y complementos, amplifican sus capacidades de seguridad cibernética. La innovación colaborativa garantiza una amplia gama de herramientas y recursos para reforzar las defensas de seguridad cibernética.

Comparación de Splunk con otras herramientas de análisis de datos

La destreza en ciberseguridad y análisis de datos de Splunk se destaca aún más a través de una comparación integral con otras soluciones líderes. Aquí, comparamos Splunk con otras herramientas líderes y brindamos información detallada sobre sus características, fortalezas y ofertas únicas:

Splunk frente a ELK (Elasticsearch, Logstash, Kibana)

  • Costo : ELK es de código abierto, lo que lo hace rentable. Splunk ofrece versiones gratuitas, pero las soluciones empresariales tienen tarifas de licencia.
  • Facilidad de uso : Splunk tiene una interfaz y un lenguaje de búsqueda (SPL) más fáciles de usar. ELK, al ser de código abierto, puede requerir más experiencia técnica.
  • Escalabilidad : Ambos son escalables, pero Splunk ofrece soporte comercial para necesidades exigentes de ciberseguridad.
  • Comunidad y ecosistema : ELK obtiene la mayor parte de su apoyo de una gran comunidad de código abierto. Splunk tiene su comunidad y su mercado Splunkbase.

Splunk contra Datadog

  • Enfoque : Datadog enfatiza el monitoreo de infraestructura y aplicaciones. La versatilidad de Splunk se extiende a casos de uso de ciberseguridad más amplios.
  • Facilidad de uso : Datadog ofrece una interfaz fácil de usar. Es posible que Splunk requiera más configuración para casos de uso de seguridad cibernética específicos.
  • Precios : Datadog sigue un modelo basado en suscripción. El precio de Splunk varía según el volumen de datos y las necesidades de implementación de seguridad cibernética.

New Relic VS Splunk

  • Enfoque : New Relic se especializa en APM. La versatilidad de Splunk lo hace adecuado para un espectro más amplio de ciberseguridad y análisis de datos.
  • Precios : New Relic sigue un modelo de suscripción. El precio de Splunk varía según las necesidades de seguridad cibernética y los volúmenes de datos.
  • Versatilidad : la adaptabilidad de Splunk lo convierte en una mejor opción para organizaciones con diversos requisitos de seguridad cibernética.

Splunk frente a IBM Qradar

  • Enfoque : Splunk ofrece un enfoque más amplio en análisis de datos y seguridad cibernética. IBM QRadar se especializa en gestión de eventos e información de seguridad (SIEM).
  • Facilidad de uso : Splunk es conocido por su interfaz intuitiva. IBM QRadar puede tener una curva de aprendizaje más pronunciada.
  • Escalabilidad : Ambos son escalables, pero el soporte comercial de Splunk mejora la escalabilidad para entornos de ciberseguridad exigentes.
  • Comunidad y ecosistema : la comunidad activa de Splunk y Splunkbase Marketplace proporcionan un ecosistema sólido. IBM QRadar también tiene una comunidad, pero puede tener menos recursos impulsados ​​por la comunidad.

Splunk frente a ArcSight

  • Enfoque : Splunk ofrece un enfoque más amplio en análisis de datos y seguridad cibernética. ArcSight se especializa en gestión de eventos e información de seguridad (SIEM).
  • Facilidad de uso : Splunk es conocido por su interfaz intuitiva. ArcSight puede tener una curva de aprendizaje más pronunciada.
  • Escalabilidad : Ambos son escalables, pero el soporte comercial de Splunk mejora la escalabilidad para entornos de ciberseguridad exigentes.
  • Comunidad y ecosistema : la comunidad activa de Splunk y Splunkbase Marketplace proporcionan un ecosistema sólido. ArcSight también tiene una comunidad, pero es posible que tenga menos recursos impulsados ​​por la comunidad.

A pesar de la dura competencia en su industria, Splunk es un líder indiscutible con una gran base de clientes e innovaciones de vanguardia. El compromiso de Splunk con la innovación y la mejora continua le ha ayudado a mantener su posición de liderazgo. La empresa actualiza periódicamente su plataforma, introduciendo nuevas características y funcionalidades que satisfacen las necesidades cambiantes de sus clientes.

Conclusión

A medida que el panorama de las ciberamenazas continúa evolucionando, la necesidad de una solución SIEM potente y flexible se vuelve cada vez más crucial. Las capacidades de aprendizaje automático, la indexación en tiempo real y el ecosistema integral de Splunk contribuyen a su reputación como líder en el campo.

Preguntas frecuentes

¿Para qué se utiliza Splunk? 

Ya sea desentrañando incidentes de seguridad complejos o desbloqueando conocimientos a partir de datos generados por máquinas, Splunk permanece a la vanguardia, capacitando a las organizaciones para convertir los datos en acciones decisivas. 

¿Qué detecta Splunk?

Splunk se destaca en la detección de una amplia gama de amenazas a la seguridad cibernética, que incluyen, entre otras, malware , ataques de phishing , acceso no autorizado y comportamiento anómalo. Sus sólidas capacidades de detección , análisis y alerta de amenazas permiten a los equipos de seguridad identificar y responder a las amenazas cibernéticas en tiempo real.

¿Por qué es más conocido Splunk?

Aunque Splunk realiza una variedad de casos de uso y aplicaciones prácticas, es mejor conocido por sus dos aplicaciones principales: una herramienta de análisis de datos y una gestión de eventos e información de seguridad (SIEM).

¿Quién es el mayor competidor de Splunk?

ELK, Datadog e IBM Qradar.

Conclusión:

En conclusión, el SIEM no solo es una herramienta, sino una filosofía que impulsa la seguridad de redes a nuevos niveles. Al integrar y analizar datos de eventos, las organizaciones pueden no solo reaccionar ante amenazas, sino anticiparse a ellas. Al adoptar el SIEM como una piedra angular, las empresas pueden construir defensas resilientes y asegurar un futuro cibernético más seguro.

Lee Nuestra Guía Completa:

No te detengas, sigue avanzando….

Aquí tienes un propósito para este 2024 que debes considerar seriamente: si has querido mejorar tus habilidades en redes, hacking y seguridad cibernética pero nunca lo has logrado, ahora es definitivamente el momento de dar el siguiente paso. Nuestros cursos. ¡Desarrolla tus habilidades aprovechando nuestros cursos a un precio increíble! Aprende Redes y Hacking y avanza en tu carrera.

CCNA 200-301: Introducción a las Redes

Cisco es una empresa que existe desde 1984. Su reconocimiento y popularidad en las empresas es conocida por su excelencia en el producto y servicio.

A raíz de tener tantos años en el mercado, muchas empresas hoy tienen sus redes conformadas por Cisco, lo cual hace que necesiten de personas con conocimientos en sus tecnologías para que puedan administrar sus redes.

Por esa razón, saber de redes y entender como funciona la tecnología Cisco, es clave. Y no solo eso, además de enseñarte todo lo que debes de conocer sobre esta marca y sus redes, te prepararemos para que si quieres, puedas certificarte en Cisco.

Te enseñaremos:

  • Una base sólida en los principales temas que se cubren a lo largo de la certificación
  • Entender cómo funciona internamente una red en lo que a protocolos se refiere
  • un primer acercamiento a los fundamentos de la seguridad de la red
  • posibles amenazas, ataques, mitigación de los mismos y automatización en redes con cisco
  • armar su primera red funcional dentro del simulador, sería una red pequeña, pero con eso ya quedarían las bases sentadas para seguir en CCNA 2

Contaras con nuestra supervisión, experiencia y respuesta a todas tus preguntas que tengas sobre el contenido.

Así también sobre las actualizaciones que hagamos sobre el curso, el cual será tuyo de por vida y recibirás dichas actualizaciones sin tener que volver a pagar.

Yo soy Álvaro Chirou, tengo más de 20 Años de experiencia trabajando en Tecnología, eh dado disertaciones en eventos internacionales como OWASP, tengo más de 500.000 estudiantes en Udemy y 100 formaciones profesionales impartidas en la misma.

Y junto a mi compañero Andrés Muro, formado en CCNA y CyberOps, hemos creado esta formación profesional para que te puedas preparar para rendir una de las certificaciones más demandadas del mercado.

Empieza a aprender ya mismo!

Lo que aprenderás

  • Planear, crear y desplegar una red desde 0
  • Entender cómo solucionar los distintos problemas que se puedan llegar a presentar
  • Comprender las posibles amenazas que podrían comprometer, tanto a un único host, como a toda la red
  • Crear redes a medida, según los requisitos del cliente
  • Tendrán una base sólida en redes, tanto para certificarse como CCNA, como para introducirse en otras áreas, como lo es la ciberseguridad

Introducción de Camino a la Certificación del CCA, donde vas a tener tu primer acercamiento al mundo de las redes.

¿Te gustaría enterarte de cuando lanzamos descuentos y nuevos cursos?

Sobre los autores

Álvaro Chirou

Yo soy Álvaro Chirou, tengo más de 20 Años de experiencia trabajando en Tecnología, eh dado disertaciones en eventos internacionales como OWASP, tengo más de 1.800.000 estudiantes en Udemy y 100 formaciones profesionales impartidas en la misma. Puedes serguirme en mis redes:

Laprovittera Carlos

Soy Laprovittera Carlos. Con más de 20 años de experiencia en IT brindo Educación y Consultoría en Seguridad de la Información para profesionales, bancos y empresas. Puedes saber más de mi y de mis servicios en mi sitio web: laprovittera.com y seguirme en mis redes:

¿Quieres iniciarte en hacking y ciberseguridad pero no sabes por dónde empezar? Inicia leyendo nuestra guia gratuita: https://achirou.com/como-iniciarse-en-ciberseguridad-y-hacking-en-2024/ que te lleva de 0 a 100. Desde los fundamentos más básicos, pasando por cursos, recursos y certificaciones hasta cómo obtener tu primer empleo.

Cómo Iniciarse en Hacking y Ciberseguridad en 2024

Continúa leyendo: