Enigmabox Versión Beta 1.

¿Qué es Enigmabox?

Enigmabox es un software cuya finalidad es asistir en operaciones de respuesta ante

incidentes de seguridad informática e incluso automatizar ciertas tareas críticas ahorrando

tiempo y dinero a las empresas en casos de emergencia.

Su funcionamiento se basa en uno de los componentes de

seguridad más sólidos que existen, los logs. Enigmabox se

centra en recolectar las huellas (los logs) que deja un atacante

al intruir en un sistema informático y además, ser capaz de

identificar la raíz de dicha intrusión.

En pocas palabras, Enigmabox se asimila a la caja negra de un

avión.

¿Por qué Enigmabox?

La razón es sencilla, pueden aplicarse todas las medidas se seguridad perimetrales, tanto

físicas como digitales posibles, sin embargo, siempre existe la posibilidad de realizar una

intrusión. Esto se ha demostrado por sí solo: Grandes empresas como Yahoo, Sony, Steam,

eBay, Amazon etc han sufrido intrusiones a pesar de sus vanguardistas sistemas de seguridad.

Cuando estas intrusiones ocurren, entra en juego el equipo de “Incident Response” o

Respuesta ante Incidentes, el cual debe rápidamente frenar el ataque, evaluar los sistemas

comprometidos, evaluar los datos comprometidos y reparar las fallas de seguridad.

Enigmabox refuerza notablemente al equipo de incident response agilizando su trabajo y

ayudando incluso al administrador de sistemas a ejecutar las tareas propias de este equipo,

reduciendo así el tiempo entre intrusión-respuesta y permitiendo un ahorro en costes

post-intrusión.

¿Qué hace Enigmabox?

Actualmente Enigmabox se encuentra en fase de desarrollo, sin embargo, en su primera

release estable contempla las siguientes funcionalidades:

● Identificación de accesos.

● Identificación de ataques por fuerza bruta o diccionario.

● Identificación de herramientas de hacking físico en el sistema.

● Identificación de conexiones de almacenamiento externo en el sistema.

● Identificación de múltiples ataques web: SQL Injection, XSS Injection, Code Injection…

● Identificación de ataques vía Metasploit (probablemente el frameworks de pentesting

más utilizado actualmente)

● Identificación geolocalizada de los posibles atacantes.

● Auditoría de accesos a bases de datos MySQL y eventos críticos en la misma.

● Capacidad de adaptación a cualquier sistema operativo cliente.

● Capacidad de recolección de información y análisis para cualquier software que emita

logs.

Además continúan en desarrollo muchas otras funcionalidades interesantes enfocadas

específicamente al Incident Response.

¿Cómo luce Enigmabox?

Los dashboards de Enigmabox son completamente adaptables según las necesidades del

usuario final. Esta es una de las premisas más significativas del Diseño Centrado en el Usuario.

Así luce un dashboard por defecto en Enigmabox. En la parte superior un timeline con los

eventos importantes del sistema representados por círculos diferenciados por colores y

tamaños.

El mapa inferior geolocaliza las IP de los atacantes de forma rápida y sencilla, acompañado por

un timeline específico para ataques vía web, el vector de ataque más usual actualmente.

Este es otro ejemplo que demuestra la adaptabilidad de los dashboards. En este caso se han

unificado los eventos del sistema y los ataques web en un solo timeline, dando más peso a la

geolocalización de los ataques. Además, en este caso el timeline muestra los eventos en

distintos niveles según el número de eventos particulares ocurridos en el mismo periodo de

tiempo.

Las tablas laterales ofrecen información extra sobre accesos, eventos del sistema y eventos

web, aportando la información necesaria para identificar al atacante o las fuentes de ataque.

¿Cuál es la tecnología detrás de Enigmabox?

Enigmabox se apoya en el conocido stack de recolección de información creado por la

empresa tecnológica Elastic. Utiliza Elasticsearch como motor de indexado, es el núcleo de

Enigmabox, este motor lo utilizan empresas como Wikipedia o LinkedIn y está apoyado por

multinacionales tecnológicas como Ebay, Cisco, Facebook, la empresa de ciberseguridad

Symantec entre otras.

Para visualizar una gran cantidad de datos hace falta una herramienta de visualización de

información potente. Kibana es un entorno de visualización de información y creación de

visualizaciones creado para funcionar codo con codo con Elasticsearch. Enigmabox adapta las

funcionalidades de Kibana para ofrecer visualizaciones de eventos basadas en el tiempo muy

intuitivas y fáciles de entender gracias a la metodología de Diseño Centrado en el Usuario

(UCD).

Como punto de recogida de información, Enigmabox utiliza clientes ligeros adaptados

especificamente para Elasticsearch. Estos son Logstash como centralizador herramienta de

ETL (Extract, Transform, Load), Filebeat como herramienta recolectora de logs y Winlogbeat

como herramienta recolectora de eventos de Windows.

El esquema es el siguiente:

Tal y como puede observarse en el esquema anterior, la inteligencia de Enigmabox está

contenida tanto en las reglas situadas en Logstash como en las visualizaciones y dashboards

de Kibana creados por Enigmasec específicamente para retratar eventos importantes.

Además, Enigmabox integra autenticación de doble factor utilizando Latch, el software creado

por la compañía de ciberseguridad ElevenPath que agrega una capa extra de seguridad al

propio sistema Enigmabox.

¿Cómo se instala Enigmabox?

Actualmente Enigmabox está contenido en una máquina virtual, convirtiéndose en una

herramienta plug & play. Sin embargo es necesario instalar los clientes Filebeat (Windows y

Linux) y Winlogbeat (solo Windows) en las máquinas cliente. Este proceso es realmente

sencillo y está pensado para ser personalizable dependiendo de las necesidades de la

empresa objetivo.

Por supuesto contamos con un equipo de profesionales que trabajan codo con codo con las

empresas cliente para asegurarse de que la instalación y configuración de Enigmabox se lleva

a cabo correctamente e instruirles en el uso de la herramienta si fuese necesario.