Your experience on this site will be improved by allowing cookies.
Más información sobre cómo usamos las cookies y de qué manera puede cambiar su configuración.
Descubre como Suricata puede ayudarte a detectar las amenazas en tu tráfico de red.
Actualmente, la ciberseguridad se ha convertido en una de las principales áreas a mejorar en las organizaciones. Se pueden ver diariamente numerosos artículos que hacen referencia a ciberataques sufridos por las empresas, y es por ello por lo que la inversión en durante el pasado año, según datos del IDC (Informe de Datos de Cotización) se registró un crecimiento del 7,7%.
Las empresas buscan diferentes soluciones para proteger y salvaguardar los datos, los cuales suponen el activo más importante en cualquier negocio y, a su vez, buscan soluciones que mitiguen los ataques.
Entre las soluciones buscadas por las organizaciones toman importancia la implantación de los IDS o detectores de intrusiones con Suricata. Suricata es un motor de detección de amenazas de alta velocidad y bajo consumo de recursos que analiza el tráfico de la red en busca de patrones y comportamientos maliciosos, pudiendo generar o bloqueos del tráfico no deseado, protegiendo de esta manera la red y los sistemas de la organización contra posibles amenazas. Además, dispone de una interfaz gráfica para ayudar y facilitar la configuración de una forma sencilla y amigable para el administrador.
En este artículo, se trata la generación de las reglas, explicando su estructura y los diferentes parámetros para definirlas.
Las reglas de Suricata son el conjunto de directivas que se utilizan para especificar qué tipos de tráfico de red deben ser monitoreados y qué acciones deben tomarse cuando se detecta tráfico sospechoso. Las reglas de Suricata se componen de tres partes principales: la acción (action), la cabecera (header) y las opciones (options). La estructura general de las reglas en Suricata, nombradas como “Signature”, disponen de una serie de campos que describen las características de la propia regla.
Estas reglas pueden ser aplicadas a cada una de las interfaces disponibles en base a las necesidades de la organización.
El formato de las reglas de Suricata se define como:
· Action: Determina la acción que sucede cuando se produce una coincidencia con la firma (signatura)
· Header: Se define el protocolo, las direcciones IP y puertos de origen y destino de la dirección de la regla
· Options: Proporciona una serie de opciones adicionales que se pueden utilizar para refinar la regla en base a como se desea que actúe. Por ejemplo, si se desea realizar una búsqueda que no diferencie de mayúsculas y minúsculas, se puede usar el parámetro “nocase” (no case sensitive).
A continuación, se desglosa cada uno de los parámetros aplicables a las reglas de Suricata, describiendo y mostrando algunos de sus parámetros:
Action:
Header:
Opciones:
Así se vería una regla sencilla para detectar escaneo de puertos basados eb el envío de paquetes SYN:
ACTION | HEADER | OPTIONS
alert tcp any any -> any any (msg:"SYN SCAN Detectado"; flow:stateless; flags:S; reference:arachnids,198; classtype:attempted-recon; sid:2100624; priority:5; rev:8; threshold:type both, track by_src, count 9, seconds 1;)
En conclusión, las reglas de Suricata se utilizan para detectar amenazas como intentos de escaneo de puertos, ataques de denegación de servicio, malware o intrusiones de red, entre otros. La creación y gestión de reglas dentro de Suricata permite a las organizaciones adaptar su sistema de seguridad a sus necesidades específicas y al paisaje de amenazas en constante cambio.
Desde SCASSI, estamos listos para ayudar a las organizaciones a mejorar sus capacidades de detección. Esto es el primer paso para establecer flujos de trabajo eficientes para la gestión de amenazas y alertas. La ciberseguridad es un viaje, no un destino. En SCASSI, estamos comprometidos a apoyar a nuestros clientes en cada paso de este viaje, ayudándoles a mantenerse seguros y resilientes en el ciberespacio cada vez más amenazado.