Codi Obert (Open Source), SIEM i XDR
Primer de tot haurem d’explicar aquests conceptes introduïts en el títol per entendre el marc de treball de Wazuh; SIEM i XDR.
SIEM (Security Information and Event Management) és una tecnologia que recopila, analitza i correlaciona dades de diferents fonts en temps real per a identificar i respondre a amenaces de seguretat. Les fonts poden ser registres (logs) de sistemes, aplicacions o dispositius de xarxa o finals. Utilitza tècniques de correlació i anàlisi per identificar patrons de comportament maliciós i així generar alertes quan es detectin aquestes activitats sospitoses. Incorpora també funcions de generació d’informes així com formes gràfiques de representació visual.
XDR (Extended Detection and Response) va més enllà, ja que amplia el seu abast, arribant a una gamma més àmplia de dispositius i/o serveis (fonts).
A més a més, no només té un paper passiu de detecció sinó que també disposa de la capacitat de resposta activa automatitzada, que permet actuar en cas de detectar comportaments maliciosos.
Wazuh incorpora doncs tota una sèrie de característiques i funcionalitats que li permeten treballar com SIEM i XDR. Però primer explorarem la seva arquitectura.
Arquitectura de Wazuh
La solució es basa a desplegar un agent en els dispositius finals (endpoints) monitorats i de tres components centrals: l’indexador, el servidor i el dashboard, instal·lació que es pot dur a terme en un o diversos nodes, arribant a formar un clúster, millorant així el rendiment, la seguretat i la disponibilitat.
Aquests són tots els components necessaris per al funcionament de Wazuh.
L’indexador és altament escalable i disposa d’un motor d’anàlisi i cerca de text complet. Indexa i emmagatzema les alertes generades pel servidor en documents en format JSON. Aquests documents es reparteixen en diferents contenidors que reben el nom de fragments (shards), i distribuint aquests fragments en diferents nodes podem assegurar redundància, millorant la tolerància a errors de hardware així com incrementar la capacitat de query (cerca) quan afegim els nodes en un clúster.
A part de la rapidesa, escalabilitat i resiliència, l’indexador de Wazuh també inclou funcionalitats com ara data rollups, alerting, anomaly detection i index lifecycle management.
El servidor analitza les dades rebudes dels agents i les processa passant-les per descodificadors i regles, fent servir intel·ligència d’amenaces per detectar indicadors de compromís coneguts (IOCs). Un sol servidor pot analitzar dades de centenars i milers d’agents i pot escalar horitzontalment en forma de clúster. Addicionalment, a través del servidor es pot fer la gestió dels agents, de forma remota. Les alertes usen el marc de MITRE ATT&CK i requisits de compliance com ara el GDPR.
El servidor executa els següents serveis: el motor d’anàlisi, la RESTful API, el servei de registre d’agents, el daemon del clúster i Filebeat, que s’utilitza per enviar informació a l’indexador.
El dashboard és la interfície web perquè l’usuari pugui visualitzar les dades recollides i l’anàlisi dels esdeveniments i alertes de seguretat generades. Incorpora diverses funcionalitats que veurem més endavant.
Els agents s’instal·len en dispositius finals, com ara ordinadors d’escriptori, servidors, instàncies en el núvol o màquines virtuals. Permeten la prevenció, detecció i resposta a amenaces, amb la capacitat d’operar en diferents sistemes operatius.
Un punt interessant de Wazuh és que els dispositius finals mencionats estan basats en agents (requisit de la instal·lació d’un software), però també permet monitorar dispositius agent-less (sense agents) com ara tallafocs (firewalls), commutadors (switches), encaminadors (routers) o NIDS (Network Intrusion Detection System).
Així doncs, l’estructura global de Wazuh i els seus components és tal que així:
Funcionalitats i casos d’ús de Wazuh
- SCA (Security Configuration Assessment):
Wazuh monitora la configuració del sistema i les aplicacions per assegurar el compliment dels estàndards i polítiques de seguretat. Els agents de Wazuh realitzen escanejos periòdics per detectar configuracions incorrectes o manques de seguretat en els dispositius finals que podrien ser explotades per actors maliciosos. Aquestes comprovacions de configuració es poden configurar per adaptar-les a les necessitats de l’organització. - Detecció de Malware:
Wazuh detecta activitats malicioses i genera indicadors de compromís que es produeixen als dispositius finals com a resultat d’infeccions de malware o ciberatacs. - FIM (File Integrity Monitoring):
Wazuh supervisa el sistema de fitxers, identificant canvis en el contingut, els permisos, la propietat i els atributs dels arxius que cal monitorar. - Detecció d’amenaces:
Wazuh ofereix una visibilitat exhaustiva als dispositius finals i la infraestructura monitorada. Disposa de la capacitat de retenció de registres, indexació i consulta que ajuden a investigar amenaces que poden haver eludit els controls de seguretat inicials. - Log Data Analysis:
Els agents de Wazuh recopilen registres del sistema operatiu i les aplicacions, i els envien de manera segura al servidor de Wazuh per a l’anàlisi i l’emmagatzematge basats en regles. - Detecció de Vulnerabilitats:
Els agents de Wazuh recopilen dades d’inventari de programari i envien aquesta informació al servidor de Wazuh. Les dades d’inventari recopilades es correlacionen amb bases de dades de CVE actualitzades contínuament per identificar programari vulnerable conegut. - Resposta a Incidents:
Wazuh disposa de respostes actives predefinides per realitzar diverses contramesures contra amenaces en curs. - Compliment Normatiu:
Wazuh ofereix alguns dels controls de seguretat necessaris per a la conformitat amb els estàndards i regulacions de la indústria, com ara GDPR, NIST, TSC I HIPAA, aconseguit també gràcies a les funcions de SCA i FIM. - Higiene de TI:
Wazuh construeix un inventari de sistemes actualitzat de tots els dispositius finals monitorats. Aquest inventari ajuda les organitzacions a optimitzar la visibilitat dels actius i mantenir una bona higiene de TI. - Seguretat de Contenidors:
Wazuh proporciona visibilitat de seguretat als hosts i contenidors de Docker, supervisant el seu comportament i detectant amenaces, vulnerabilitats i anomalies. - Protecció de Càrrega de Treball i Integració amb tercers:
Wazuh s’integra amb plataformes del núvol, recopilant i agregant dades de seguretat. Alerta sobre riscos de seguretat i vulnerabilitats descobertes per garantir la seguretat i el compliment dels estàndards reguladors.
Wazuh monitora i protegeix les càrregues de treball en entorns de núvol així com en local. Es pot integrar amb plataformes de núvol com AWS, Microsoft Azure, GCP, Microsoft 365 i GitHub per monitorar serveis, màquines virtuals i les activitats que es produeixen en aquestes plataformes.