Plataforma para la gestión y respuesta de incidentes de ciberseguridad

Abstract

[ES] El constante aumento en peligrosidad y volumen de los incidentes de seguridad en las organizaciones ha provocado la necesidad de contar con herramientas que permitan hacerlos frente de la mejor forma posible.

Para resolver este problema, surgen las plataformas de gestión y respuesta de incidentes de seguridad (SIRP, del inglés, Security Incident Response Platform), las cuales son utilizadas para hacer frente de la mejor forma posible a las alertas que se producen en las organizaciones. Estas plataformas se complementan con las de inteligencia de amenazas (TIP, del inglés, Threat Intelligence Platform) para proporcionar información y contexto sobre las principales amenazas, permitiendo una mejor gestión de las alertas. Paralelamente a estas dos plataformas también es posible desplegar una herramienta SOA (del inglés, Security Orchestration and Automation) que se encargue de orquestar de forma automática las soluciones mencionadas junto con distintos servicios.

Esta herramienta al ser integrada con las plataformas SIRP y TIP permite disponer de una solución SOAR (del inglés, Security Orchestration, Automation, and Response), con la cual poder llevar a cabo la gestión y respuesta de un incidente de forma automática sin necesidad de intervención humana, enriqueciendo el proceso con la inteligencia de amenazas.

En este Trabajo de Fin de Máster (TFM) se busca analizar, implementar e integrar las distintas soluciones mencionadas anteriormente, así como verificar mediante un caso de uso real como se gestionaría y respondería ante una alerta de forma manual por parte de un analista de seguridad haciendo uso de las herramientas desplegadas y, por otro lado, como se daría respuesta al mismo problema mediante la construcción de un flujo de trabajo automatizado dentro del SOAR.

[EN] The constant increase in the danger and volume of security incidents in organisations has led to the need for tools that allow them to be dealt with in the best possible way.

To solve this problem, security incident and response platforms (SIRP) have emerged, which are used to deal in the best possible way with the alerts that occur in organisations. These platforms are complemented by threat intelligence platforms (TIP) to provide information and context on the main threats, enabling better management of alerts. In parallel to these two platforms, it is also possible to deploy a SOA (Security Orchestration and Automation) tool that automatically orchestrates the solutions mentioned above with different services.

This tool, when integrated with the SIRP and TIP platforms, provides a SOAR (Security Orchestration, Automation, and Response) solution, with which the management and response to an incident can be carried out automatically without the need for human intervention and enriching the process with threat intelligence.

This Master's Thesis aims to analyse, implement and integrate the different solutions mentioned above, as well as to verify through a real use case how an alert would be managed and responded to manually by a security analyst using the tools deployed and, on the other hand, how the same problem would be responded to through the construction of an automated workflow within the SOAR.

[CA] El constant augment en perillositat i volum dels incidents de seguretat en les organitzacions ha provocat la necessitat de comptar amb ferramentes que permeten fer-los front de la millor forma possible. Per a resoldre este problema, sorgixen les plataformes de gestió i resposta d’incidents de seguretat (SIRP, de l’anglés, Security Incident Response Platform), les quals són utilitzades per a fer front de la millor forma possible a les alertes que es produïxen en les organitzacions. Estes plataformes es complementen amb les d’intel·ligència d’amenaces (TIP, de l’anglés, Threat Intelligence Platform) per a proporcionar informació i context sobre les principals amenaces, permetent una millor gestió de les alertes. Paral·lelament a estes dos plataformes també és possible desplegar una ferramenta SOA (de l’anglés, Security Orchestration and Automation) que s’encarregue d’orquestrar de manera automàtica les solucions esmentades juntament amb diferents servicis. Esta ferramenta en ser integrada amb les plataformes SIRP i TIP permet disposar d’una solució SOAR (de l’anglés, Security Orchestration, Automation, and Response), amb la qual poder dur a terme la gestió i resposta d’un incident de manera automàtica sense necessitat d’intervenció humana, enriquint el procés amb la intel·ligència d’amenaces. En este Treball de Fi de Màster (TFM) es busca analitzar, implementar i integrar les diferents solucions esmentades anteriorment, així com verificar mitjançant un cas d’ús real com es gestionaria i respondria davant una alerta de manera manual per part d’un analista de seguretat fent ús de les ferramentes desplegades i, d’altra banda, com es donaria resposta al mateix problema mitjançant la construcció d’un flux de treball automatitzat dins del SOAR.