Saltar a contenido

Diseño y marco de trabajo

Solución Propuesta

La solución propuesta se basa en el esquema proporcionado y se detalla a continuación.

Security Onion

Security Onion es una distribución Linux gratuita y de código abierto para la detección de intrusiones, la supervisión de seguridad empresarial y la gestión de registros. Proporciona una serie de herramientas como Elastic, Logstash, Kibana, Suricata, Zeek (anteriormente conocido como Bro), y muchos más, para ayudar a los analistas de seguridad a monitorear y responder a las amenazas.

Instalación de Security Onion

Se instalará una instancia de Security Onion en el servidor principal del SOC. Este software será el núcleo del proyecto, funcionando como SIEM (Security Information and Event Management) y recopilando todas las alertas de seguridad. Estas alertas se mostrarán en un conjunto de paneles organizados en una cuadrícula 4x4 de la siguiente forma:

  • Modo aula completa: Si se trabaja en conjunto con todo el aula, se utilizarán los 4 paneles como uno solo para mostrar las alertas.
  • Modo grupos: Los paneles están motorizados, de forma que se pueden abrir los dos de la izquierda hacia la izquierda y los dos de la derecha hacia la derecha. Así, se pueden hacer pruebas de ataque-defensa entre dos grupos. Cada grupo tendrá dos monitores que mostrarán su panel de alertas correspondiente, manteniendo la confidencialidad entre los equipos.

Plataforma CTFd

Para complementar Security Onion, se utilizará la plataforma de CTF llamada CTFd. Esta plataforma permitirá la realización de competiciones de diferentes tipos, asignando puntuaciones a los equipos según los retos completados, lo que gamificará la experiencia de aprendizaje.

Escenarios reales

Se elaborarán escenarios reales que serán desplegados utilizando Terraform y Ansible. Security Onion monitorizará estos escenarios para generar las alertas correspondientes, permitiendo que cada equipo o el aula completa, según se establezca, pueda poner a prueba sus habilidades.

Competencias Trabajadas

Mediante el diseño, despliegue y uso del SOC, se trabajarán las siguientes competencias del Curso de Especialización en Ciberseguridad en Entornos de las Tecnologías de la Información:

  • Detección e investigación de incidentes: Documentar e incluir incidentes en los planes de securización de la organización.
  • Diseño de planes de securización: Implementar las mejores prácticas para el bastionado de sistemas y redes.
  • Configuración de sistemas de control de acceso y autenticación: Cumplir con los requisitos de seguridad y minimizar las posibilidades de exposición a ataques.
  • Administración de sistemas informáticos en red: Aplicar políticas de seguridad garantizando la funcionalidad requerida con un nivel de riesgo controlado.
  • Análisis de vectores de ataque: Evitar incidentes de ciberseguridad evaluando los riesgos asociados.
  • Implantación de sistemas seguros de despliegue de software: Coordinar entre desarrolladores y responsables de la operación del software.
  • Análisis forenses informáticos: Analizar y registrar la información relevante relacionada.
  • Detección de vulnerabilidades: Evaluar riesgos asociados en sistemas, redes y aplicaciones.
  • Cumplimiento normativo en ciberseguridad y protección de datos: Implementar procedimientos internos y en relación con terceros.
  • Elaboración de documentación técnica y administrativa: Cumplir con la legislación vigente.
  • Adaptación a nuevas situaciones laborales: Mantener actualizados los conocimientos científicos, técnicos y tecnológicos.
  • Resolución de problemas: Resolver situaciones, problemas o contingencias con iniciativa y autonomía.
  • Supervisión y aplicación de procedimientos de gestión de calidad: Asegurar la accesibilidad universal y el «diseño para todas las personas».