Alerta temprana de amenazas de seguridad con Apache Kafka y la pila ELK

Abstract

Las amenazas persistentes avanzadas son ataques que se suelen realizar contra grandes organizaciones. Estos ataques utilizan técnicas avanzadas para extraer información y permanecer sin ser detectados. Su detección es compleja, porque se suele crear un malware nuevo para cada ataque. No podemos fiarnos de que un antivirus convencional sea capaz de detectarlas. Una forma de detectar la presencia de amenazas persistentes avanzadas consiste en la monitorización de equipos. Analizando los eventos que suceden en un equipo se puede detectar el uso de técnicas de ataque. En este documento se describen varias técnicas de ataque, y se ha creado un sistema capaz de detectarlas, basándose en un registro de eventos. El sistema se puede separar en tres partes. En primer lugar, tenemos un controlador de dominio Active Directory, configurado para que se instalen de forma automática varias herramientas de monitorización, en todos los equipos de una organización. El segundo componente es Apache Kafka, que se utiliza para recopilar los eventos de todos los equipos. El tercer componente es la pila ELK, que se encarga de leer los eventos de Kafka, analizarlos, y mostrar en un panel de mando varios indicadores de actividad maliciosa. Finalmente, se ha hecho una simulación de un ataque, y se ha comprobado como el sistema es capaz de detectar las técnicas utilizadas. Queda demostrada la efectividad de el análisis de eventos en la detección de amenazas persistentes avanzadas. La utilización de un sistema similar al descrito mejoraría la seguridad informática de una organización.