Arquitectura para la identificación de amenazas informáticas en un Centro de Operaciones y Monitoreo de Seguridad de la información (SOC) utilizando herramientas del ecosistema de Big Data.

Abstract

El uso masivo de las Tecnologías de la Información y Comunicaciones (TIC), han ocasionado la interdependencia de la sociedad respecto de estas; no obstante, la ausencia de controles y normativas legales que regulen la utilización del ciberespacio aumentan la exposición ante ataques o amenazas informáticas, incrementando las vulnerabilidades en los activos de información de las organizaciones. La seguridad de los datos en la actualidad es el principal motivante para que las organizaciones generen entornos en cuanto a los nuevos desafíos en el campo de la Seguridad de la información, aplicando técnicas y herramientas del ecosistema de Big Data para coadyuvar en la prevención y detección de amenazas informáticas, mejorando los sistemas de identificación, integración y correlación de eventos en los Centros de Operaciones y Monitoreo de Seguridad de la información (SOC). La arquitectura basada en herramientas del ecosistema de Big Data y propuesta en esta investigación, integra componentes de Elastic Stack (Elasticsearch, Logstash, Kibana) y tecnologías como Filebeat y Wazuh (NIPS / HIDS), gestionado la seguridad en equipos de comunicaciones, servidores de datos y aplicaciones, motores de bases de datos, terminales de usuario final, entre otros. Su implementación permitirá la supervisión en tiempo real e histórica para obtener una respuesta ágil y efectiva, personalizando búsquedas de correlaciones de eventos, alertas de seguridad e informes de estado, visualizando los datos para incrementar la capacidad de detección y optimización de la respuesta ante incidentes, evidenciando las actividades asociadas a posibles amenazas informáticas.