Tema 4.

Técnicas y herramientas de
seguridad proactivas
Dr. Arturo García Hernández

Universidad Internacional de La Rioja

Agenda

► Introdución
► Sistemas de detección y prevención de intrusiones
► Verificador de integridad de ficheros
► Sistemas trampa
► Escáner de vulnerabilidades
► Test de penetración (PenTest)
► Gestores de Eventos de Seguridad (SIEM)

2
Introducción

Seguridad en profundidad
+
Monitorización constante

3
SISTEMAS DE DETECCIÓN Y PREVENCIÓN DE
INTRUSIONES

4
Detectores de Intrusos

• Es un dispositivo que “determina” mediante reglas

específicas si existe un ataque a un sistema.
• Se les conoce generalmente como IDS (Intrusion
Detection Systems).
• Existen dos tipos básicamente:
– De sistema (ej. para un sistema operativo)
– De red (ej. para Ethernet)
Tipo de identificación

https://www.snort.org/
Tipo de identificación
Tipos

• Existen dos tipos básicamente:

– De sistema (ej. para un sistema operativo)
– De red (ej. para Ethernet)
Basados en Host

• Protegen a una máquina ante ataques (Host IDS).

• Por bitácora
– Solamente procesa la información que se almacena en las bitácoras del
sistema operativo.
– Representa un mecanismo “post-mortem”
• Por stack
– Se instala entre la tarjeta de red y el stack de TCP/IP.
– Presentan una función más preventiva.
Basados en Host

M anager
(3 )
Agent
P ro c e s s in g
S to ra g e
(D e te c tio n E n g in e ) (5 )
(2 )
E ve n t

(1 )
(4 ) (6 )
A la r m s &
K n o w le d g e
R esponse B ase
Basados en Host

• Ventajas:
– Detecta ataques directos al sistema (bitácora)
– Puede venir en un canal cifrado
– No afectado por volúmenes transmitidos en la red
Basados en Red

• Escuchan en el cable (tipo sniffer) y determinan si los paquetes

capturados constituyen un ataque (Network IDS).
• Modelo por firmas
– Capturan todo el paquete y lo comparan contra firmas conocidas de
ataques.
• Modelo por formación de paquete
– Conocen cómo se forma un paquete y sólo comparan las partes que
podrían constituir un ataque.
Basados en Red
Basados en Red

• Ventajas:
– Independiente de Sistemas Operativos
– No consume recursos del sistema
– Un agente monitorea todo un segmento
– Detecta antes de consumado el ataque
Notas sobre los IDS

• Requieren de un periodo largo de afinación para poder

minimizar los “falsos positivos”.
• Es necesario conocer “lo que es normal” para poder
determinar “lo que es anormal”.
• Existe una tendencia mayor al “outsourcing” de estos
mecanismos dado el nivel de atención que requieren.
ACTIVIDAD 2
SISTEMA DE DETECCIÓN DE INTRUSOS

16
Evaluación

• Si bien la actividad solo requiere explícitamente la

resolución de 4 reactivos (Variables y reglas Snort),
opcionalmente se puede incluir:
– Introducción: Objetivo de la práctica y descripción de contenido
– Descripción técnica: Detalle de la instalación y ambiente
desarrollado
– Conclusiones: Lo aprendido.
– Referencias bibliográficas.

17
Actividad 2: 26 de junio 23:59
Actividad:
Puntuación
Sistemas de Peso
Descripción máxima
detección de %
(puntos)
intrusos
Cada Variable vale 0.75 puntos 2.5
Criterio 1 25%

Criterio 2 Cada Regla vale 2.5 puntos 7.5 75%

Se resta 0.75 por cada fallo u
Criterio 3
omisión de un parámetro
Tres o más fallos en una regla hacen
Criterio 4
que esa regla puntúe 0
10 100 %

18
IPS

– Básicamente combina las capacidades de bloqueo de un firewall con la

inspección de un IDS
– Un IPS es un dispositivo (hardware o software) que tiene la capacidad de
detectar ataques (conocidos y desconocidos) y prevenir que el ataque
sea exitoso
– Es una nueva tecnología; todavía no hay una definición exacta de qué es
un IPS (algunas compañías combinan al firewall, IDS, antivirus y
examinador de vulnerabilidades diciendo que es un IPS)
IPS
EDR

21
Endpoint Detection and Response

• El EDR es un Sistema de Búsqueda Proactiva de Amenazas, el

cual tiene como objetivo desarrollar la capacidad para buscar
proactivamente indicadores de compromiso (IOC) en toda la
infraestructura de TI, a fin de proporcionar servicios de seguridad
proactivos que protejan la infraestructura, las aplicaciones y los
datos.
• El EDR facilita la búsqueda de IOC y el análisis de un incidente
de seguridad para que sea un proceso más ágil, y con ello reducir
el tiempo para conocer las posibles causas del mismo.

22
Arquitectura General

23
Funcionalidades

• Enterprise Search: Esta funcionalidad permite realizar búsqueda de

indicadores de compromiso bajo demanda en los equipos seleccionados.

• Contención: Esta funcionalidad tiene como objetivo bloquear la

comunicación del host con otros equipos, y permitir únicamente la
comunicación entre host que se encuentra en contención y el equipo central.

24
Tiempo Real

• Identifica actividad sospechosa mediante reglas generadas a partir de

indicadores de compromiso, incluyendo lo siguiente:
– Uso no autorizado de cuentas válidas.
– Actividad de comando y control.
– Malware no conocido y conocido.
– Trafico de red sospechoso.
– Programas validos que son utilizados con fines maliciosos.
– Acceso no autorizado a archivos.

25
Protección anti-malware

• Identificar y prevenir la ejecución de diferentes tipos de códigos maliciosos,

entre los que están:
– Virus
– Trojans
– Worms
– Spyware
– Adware
– Key loggers
– Rootkits
– Phishing software

26
Bloqueo antes de explotación

27
Revisión actual:
https://www.gartner.com/reviews/market/endpoint-
protection-platforms

28
29
www.unir.net