Volvemos a enriquecer el conjunto de herramientas de seguridad, y esta vez nos movemos hacia el lado defensivo de la seguridad. Ya sea que la mejor defensa sea un buen ataque o al revés, la verdad es que uno no puede funcionar sin el otro. Por eso es crucial la importancia de contar con equipos rojos y azules y desafiarse entre sí, así como mantener la postura de seguridad de una organización.
Hay algunas categorías de herramientas que no hemos incluido en esta lista, ya que son similares a las que hemos mencionado como herramientas ofensivas. De hecho, muchas herramientas y metodologías se pueden traducir de equipos rojos a equipos azules. Entonces, si notas una falta de OSINT o herramientas de ingeniería social en esta entrada de blog, te recomendamos que revise nuestro kit de herramientas del equipo rojo.
Sin más preámbulos, vamos a sumergirnos en las mejores herramientas de ciberseguridad del equipo azul para enriquecer tu conjunto de herramientas defensivas.
Indice
Las mejores herramientas de ciberseguridad del equipo azul
Como siempre, nuestro enfoque está en las herramientas y soluciones gratuitas y de código abierto, pero también hemos combinado algunas soluciones empresariales comerciales para cubrir diversas necesidades en diferentes organizaciones.
Aquí está nuestra lista:
Honeypots
Un honeypot es un sistema informático o aplicación señuelo que tiene como objetivo atraer a actores maliciosos que intentan atacar redes informáticas. Una vez que el atacante cae en la trampa del señuelo, el señuelo está ahí para permitir que los administradores recopilen datos valiosos sobre el atacante, el tipo de ataque e incluso identificar al atacante.
Con los honeypots, los equipos azules pueden identificar amenazas emergentes y generar inteligencia de amenazas que se puede usar para tomar decisiones mejor informadas sobre las técnicas preventivas que la organización emplea contra las amenazas de red.
Hay diferentes honeypots, con diferentes complejidades:
- De alta interacción
- Puro
- De interacción media
- De baja interacción
Además, podemos reconocer varias tecnologías de señuelos diferentes en uso, como el señuelo SSH, HTTPS, base de datos, servidor, cliente, malware, correo electrónico no deseado, IoT y otros.
En la siguiente lista, hemos incluido una buena combinación de diferentes tipos de honeypots para satisfacer las necesidades de las diferentes organizaciones.
Kippo
Es un conocido honeypot SSH de interacción media escrito en Python. Esta herramienta está diseñada para detectar y registrar ataques de fuerza bruta, así como el historial completo de shell realizado por un atacante.
Kippo ofrece un sistema de archivos falso que puede agregar y eliminar archivos y, entre otras características, también puede ofrecer contenido falso a los atacantes, realizar algunos trucos con SSH que finge conectarse en algún lugar y cosas por el estilo. También está disponible kippo_detect, que te permite detectar la presencia de un kippo honeypot.
Glastopf
Es un honeypot basado en HTTP escrito en Python. Glastopf tiene la capacidad de emular diferentes tipos de vulnerabilidades, con emulaciones de ataques que incluyen inclusión de archivos locales y remotos, inyección de SQL, inyección de HTML a través de una solicitud POST, entre otros.
ElasticHoney
Es, como su nombre lo indica, un honeypot diseñado para este tipo de base de datos: Elasticsearch. Es un honeypot simple pero efectivo con la capacidad de capturar solicitudes maliciosas que intentan explotar las vulnerabilidades de RCE en Elasticsearch. Escrito en GO, ElasticHoney ofrece binarios para la mayoría de las plataformas y está disponible para Windows y Linux.
Artillery
No es solo un honeypot, sino también una herramienta de monitorización y un sistema de alerta. Con Artillery, puedes configurar los puertos más comunes y más escaneados, y poner en la lista negra a cualquiera que intente conectarse a ellos.
Esta herramienta también puede monitorizar los registros SSH en busca de intentos de fuerza bruta y te enviará un correo electrónico cuando ocurra un ataque. Está disponible tanto para Windows como para Linux, aunque es posible que algunas funciones no estén disponibles para los usuarios de Windows.
Sandboxing
Similar a un honeypot, un sandbox es una tecnología preventiva y de análisis utilizada para el engaño de seguridad. Sandboxing permite que los equipos azules y los investigadores de seguridad ejecuten y prueben aplicaciones, instalen malware o ejecuten código potencialmente malicioso en un entorno aislado.
El sandboxing a menudo se realiza en una máquina virtual dedicada en un host virtual, y los equipos azules pueden probar el malware de manera segura contra múltiples versiones diferentes del sistema operativo, analizar el malware e incluso determinar si sus soluciones antimalware han marcado correctamente un archivo malicioso, y todo eso en máquinas que están separadas de la red real.
Hay numerosas herramientas de sandboxing comerciales y de código abierto disponibles, y aquí hemos destacado nuestras favoritas entre ellas para los equipos azules:
Cuckoo Sandbox
Es, como afirman, la herramienta líder de análisis de malware de automatización de código abierto. Puedes alimentarlo con archivos potencialmente maliciosos y obtener informes sobre cómo se comporta el archivo cuando se ejecuta en un entorno aislado y seguro.
Con Cuckoo puedes analizar todo tipo de archivos diferentes, PDF, correos electrónicos e incluso sitios web; rastrear las llamadas a la API y el comportamiento del archivo; y descargar y analizar todo el tráfico de la red, incluso el tráfico cifrado con SSL\TLS.
Falcon Sandbox
Directamente de CrowdStrike, tenemos Falcon Sandbox . Falcon Sandbox te permite realizar un análisis profundo de amenazas desconocidas y exploits de día cero, y proporciona inteligencia de amenazas e indicadores de compromiso para brindar resultados procesables que permitan a los equipos azules comprender mejor el malware y, a su vez, construir defensas más sólidas.
Firejail
Es un programa de espacio aislado SUID de Linux escrito en C que ayuda a reducir el riesgo de infracciones de seguridad al aislar el entorno en ejecución de aplicaciones que no son de confianza y permite que el proceso y todos sus descendientes tengan una vista privada de los recursos del kernel compartidos globalmente. Además, puede utilizar servidores sandbox, aplicaciones gráficas y sesiones de inicio de sesión.
Valkyrie Comodo
Es un sistema de veredicto de archivos en línea que emplea numerosos métodos para probar archivos desconocidos y determinar si esos archivos son maliciosos. Uno de los puntos fuertes de Valkyrie es detectar amenazas de día cero que las soluciones antivirus tradicionales pasan por alto. Para garantizar que cada archivo enviado se analice a fondo, Valkyrie implementa análisis automático y humano.
Respuesta al incidente
En ciberseguridad es importante considerar no ‘si’ se producirá un ciberataque, sino ‘cuándo’. Es por eso que la respuesta a incidentes no solo es una actividad importante del equipo azul, sino también una operación de seguridad crucial para organizaciones de todos los tamaños, industrias y tecnologías.
La respuesta a incidentes es la reacción a una violación de datos o ciberataque donde el equipo azul identifica a los actores de la amenaza, intenta contener el incidente de seguridad, erradicarlo de la red y luego concentrarse en recuperar el sistema o la red después del ataque. Esto incluye sacar conclusiones y acumular conocimientos que luego se pueden usar para fortalecer las defensas de seguridad de las organizaciones.
La respuesta a incidentes prepara tanto al equipo como a la organización para los peores escenarios y diferentes tipos de amenazas y delitos cibernéticos, por lo que contar con las herramientas adecuadas es clave para hacer que este proceso sea más ágil y eficiente. Aquí están nuestras mejores opciones para las mejores herramientas de respuesta a incidentes del equipo azul:
TheHive
Ninguna lista de herramientas del equipo azul estaría completa sin esta. Olvídate de 3 en 1, TheHive Project está aquí con su plataforma de respuesta a incidentes de seguridad 4 en 1 que permite la investigación colaborativa entre el equipo, agregando cientos de miles de observables a cada investigación que se pueden crear a partir de su motor de plantilla, que puede también ser personalizado. Cuando se usa junto con su Cortex, tendrá la capacidad de analizar numerosos observables a la vez usando más de cien analizadores, y contener y erradicar malware o incidentes de seguridad.
GRR Rapid Response
Es un marco de código abierto de respuesta a incidentes centrado en análisis forense remoto en vivo. Este cliente de Python está instalado en los sistemas de destino, con una infraestructura que puede administrar y comunicarse con los clientes.
Fue diseñado para ejecutarse a escala, por lo que los equipos azules pueden recopilar datos de una gran cantidad de máquinas. GRR permite soporte para clientes Linux, OS X y WIndows, y tiene capacidades de búsqueda y descarga de archivos y el registro de Windows, entre muchas otras características.
MozDef
La plataforma de defensa empresarial de Mozilla, más conocida como MozDef, te ayudará a automatizar la respuesta a incidentes de seguridad y proporciona una plataforma para que los equipos azules descubran y respondan de manera rápida y eficiente a los incidentes de seguridad.
Proporciona métricas para incidentes de seguridad, facilita la colaboración en tiempo real en equipos azules y, como afirman, va más allá de las soluciones SIEM tradicionales en la automatización de procesos de respuesta a incidentes.
Cyphon
Es una herramienta de código abierto que agiliza una serie de tareas de respuesta a incidentes a través de una plataforma unificada. Esta plataforma recibe, procesa y clasifica eventos e incidentes de seguridad para agregar datos, priorizar alertas y brinda a los equipos azules la capacidad de investigar y documentar esos incidentes de manera eficiente.
Gestión y análisis de registros
Otra pieza importante del rompecabezas de la metodología del equipo azul es la gestión y el análisis de registros. Los datos recopilados a través de diferentes fuentes y herramientas deben analizarse y correlacionarse entre diferentes tecnologías para descubrir cualquier problema en el rendimiento de aplicaciones y programas y problemas de seguridad.
Con la gestión de registros, los equipos azules recopilan, formatean, agregan y analizan datos de registro de diferentes aplicaciones, servicios y hosts y los relacionan con los requisitos comerciales o los problemas estratégicos de una organización.
La gestión de registros es a menudo el escollo en muchas organizaciones debido al gran volumen de registros recopilados que conduce a una gran cantidad de falsos positivos y no son los favoritos de nadie. Sin mencionar que no es necesario recopilar o almacenar todos los registros. Esta es la razón por la que es deseable tener un arsenal de herramientas para la gestión y el análisis de registros, de modo que los equipos azules puedan identificar fácilmente cualquier problema de seguridad. La buena noticia es que hemos encontrado las herramientas adecuadas para exactamente eso:
Splunk
Como mencionamos antes, Splunk es una de las mejores empresas de ciberseguridad que existen. Ofrece servicios de gestión de registros y proporciona software que fusiona e indexa todos y cada uno de los datos de registros y máquinas. También te brinda la capacidad de recopilar, almacenar, indexar, buscar, correlacionar, analizar e informar sobre cualquier dato generado por máquina para detectar y solucionar problemas de seguridad.
Loggly
Es un software de análisis y administración de registros basado en la nube que brinda la capacidad de recopilar registros de tu infraestructura, rastrear su actividad y analizar tendencias.
Loggly es fácil de usar y es un servicio administrado, por lo que no solo está dedicado a los equipos azules: el servicio al cliente y la administración de productos también pueden encontrar un gran uso en él, para recopilar y analizar de una gran cantidad de fuentes y monitorizar proactivamente los registros, y realizar diagnósticos y solucionar problemas con él.
Fluentd
Es un recopilador de datos de código abierto para una capa de registro unificada. Con Fluentd podrás unificar la recopilación y el uso de datos para mejorar tu comprensión de los datos. Con más de 500 complementos que conectan Fluentd con muchas fuentes y salidas, te beneficiarás de un mejor uso informado de tus registros.
Sumo Logic
Bastante conocido, Sumo Logic es un servicio de análisis de seguridad y gestión de registros. Basado en la nube, proporciona información en tiempo real al aprovechar los datos generados por máquinas, de forma similar a Splunk.
Los análisis en tiempo real ayudan a identificar y resolver posibles ataques cibernéticos, y sus algoritmos de aprendizaje automático te alertarán en caso de un evento de seguridad significativo.
Emulación del adversario
Si bien es importante tanto para los equipos rojos como para los azules, la emulación del adversario es una técnica defensiva en sí misma.
Tomando prestada la metodología de «estar en el lugar de los atacantes» de los equipos rojos, los equipos azules usan ejercicios y herramientas que simulan un ataque cibernético sofisticado de la manera más realista posible, para comprender la superficie de ataque de una organización y descubrir cualquier agujero de seguridad y vulnerabilidad en sus defensas.
La emulación adversaria proporciona a los equipos azules datos procesables que les ayudan a descubrir y resolver vulnerabilidades y problemas de seguridad. También les permite evaluar la efectividad de los controles de seguridad, las soluciones y sus capacidades para detectar y prevenir comportamientos sospechosos y atacantes maliciosos. Veamos algunos de nuestros simuladores de adversarios favoritos:
APTSimulator
Es una herramienta de emulación adversaria, pero que está diseñada teniendo en cuenta la simplicidad. La instalación y puesta en marcha lleva aproximadamente un minuto, y cualquiera puede leerlo, modificarlo o ampliarlo. Este script por lotes de Windows utiliza diferentes herramientas y archivos de salida para hacer que un sistema parezca comprometido.
DumpsterFire
Es una herramienta multiplataforma diseñada para crear eventos de seguridad repetibles y distribuidos. Los equipos azules pueden personalizar cadenas de eventos y simular escenarios de ciberseguridad realistas para solidificar su mapeo de alertas.
Caldera
Construido sobre el marco MITRE ATT&CK, Caldera es un marco de emulación de adversario automatizado que te permite ejecutar fácilmente ejercicios de simulación e incumplimiento, e incluso puede ayudar con la respuesta automatizada a incidentes. Si bien a menudo se usa como una herramienta del equipo rojo, como mencionamos, muchas herramientas ofensivas también se pueden utilizar para los equipos azules. Caldera no es una excepción.
Kit de herramientas de capacitación del equipo azul
¿No te encanta cuando el nombre de una herramienta es tan sencillo que ni siquiera necesita una explicación? Pero Blue Team Training Toolkit merece una introducción y una explicación. BT3, como se le llama comúnmente, es un software de capacitación en seguridad defensiva que te permite crear escenarios de ataque realistas con IoC y técnicas de evasión específicas.
Con él, puedes crear sesiones de capacitación con patrones de comportamiento y tráfico asociados con malware, sin tener que ejecutar malware real y peligroso.
SIEM
Security Information and Event Management, o SIEM para abreviar, es un software que proporciona análisis en tiempo real de eventos de seguridad mediante la recopilación de datos de diferentes fuentes y realiza análisis basados en criterios específicos para detectar actividades sospechosas y ataques cibernéticos.
El proceso de las herramientas SIEM comienza con la recopilación de datos de dispositivos de red, servidores y muchas otras fuentes, normalizando y correlacionando los datos recopilados para que los datos puedan analizarse más a fondo para descubrir amenazas y brindar a las organizaciones visibilidad sobre incidentes e infracciones de seguridad.
Las soluciones y herramientas SIEM han sido imprescindibles para cualquier ecosistema de seguridad, pero a menudo no se usan correctamente (los equipos tienen dificultades para utilizar los datos SIEM para la respuesta a incidentes) o simplemente son demasiado costosas. Esta es la razón por la que, al igual que con toda esta colección de las mejores herramientas del equipo azul, nos enfocamos en soluciones SIEM de código abierto:
OSSIM
AlienVault nos trae su solución SIEM, llamada OSSIM. Uno de los SIEM de código abierto más utilizados, OSSIM proporciona recopilación y correlación de eventos. Algunas de sus capacidades incluyen el descubrimiento de activos, la evaluación de vulnerabilidades y la detección de intrusos, entre otras.
Elastic Stack
Es un grupo de productos de Elastic que toma datos de cualquier fuente y busca, analiza y visualiza esos datos en tiempo real. Anteriormente conocido como ELK Stack, significa Elasticsearch, Kibana, Beats y Logstash. Han descrito su servicio en unas pocas palabras simples: Analizar, enriquecer, anonimizar y más.
SIEMonster
SIEMonster es una solución de software de monitorización de seguridad asequible y apreciada que es, de hecho, una colección de las mejores herramientas de seguridad de código abierto disponibles, junto con sus propios desarrollos.
OSSEC
A juzgar por las afirmaciones de los creadores, OSSEC es el sistema de detección de intrusos en host más utilizado del mundo, o HIDS.
De código abierto y gratuito, OSSEC realiza análisis de registros, detección de rootkits, monitorización del registro de Windows y mucho más. Detecta y alerta sobre modificaciones no autorizadas del sistema de archivos y comportamiento malicioso, lo que lo convierte en una gran adición a tu conjunto de herramientas de equipo azul.
Detección y respuesta de punto final
Endpoint Detection and Response, o EDR para abreviar, son herramientas y soluciones que ayudan a los equipos azules y a los investigadores de seguridad a recopilar, documentar y almacenar datos provenientes de las actividades de los puntos finales para descubrir, analizar y mitigar las amenazas que se encuentran en dichos puntos finales.
Las herramientas EDR son una especie de novatos en los conjuntos de herramientas de ciberseguridad de los profesionales. A menudo se comparan con las soluciones avanzadas de protección contra amenazas en función de sus capacidades para detectar y proteger a las organizaciones contra las amenazas cibernéticas que tienen como objetivo penetrar los puntos finales y poner en peligro la seguridad de la organización.
A menudo utilizadas por los equipos SOC, las soluciones EDR también son excelentes adiciones a los kits de herramientas del equipo azul, y estas son nuestras mejores opciones:
Ettercap
Es bien conocida como una herramienta de seguridad de red de código abierto para ataques de intermediarios en LAN. Ettercap presenta detección de conexiones en vivo, filtrado de contenido y admite la disección activa y pasiva de muchos protocolos.
Escrito en C, también incluye muchas funciones para el análisis de red y host, como el filtrado de paquetes según el origen y el destino de IP, la dirección MAC, el uso de envenenamiento ARP para olfatear una LAN conmutada entre dos hosts y mucho más.
Wazuh
Wazuh es una plataforma de código abierto para la detección de amenazas, el control de la integridad y la respuesta a incidentes. Le permite recopilar, agregar, indexar y analizar datos y ofrece detección de intrusiones, detección de vulnerabilidades, seguridad en la nube y contenedores, todo en una sola plataforma.
EvenTracker
Para un producto dos en uno, tenemos EventTracker, que es tanto SIEM como EDR. EventTracker proporciona una arquitectura de seguridad adaptable que integra predicción, protección, detección y respuesta.
Proporciona todas estas capacidades en una herramienta unificada, lo que la hace rentable y práctica para hacer que la respuesta a incidentes y la detección y respuesta de puntos finales sean un proceso continuo.
Monitorización de seguridad de red
Las herramientas de monitorización de seguridad de la red monitorizan la actividad, el tráfico y los dispositivos de tu red para detectar y descubrir amenazas cibernéticas, vulnerabilidades de seguridad o simplemente cualquier actividad sospechosa. Estas herramientas recopilan y analizan indicadores de compromiso y brindan datos procesables y alertas a los analistas de seguridad y los equipos azules para responder adecuadamente a los incidentes de seguridad.
Estas herramientas ayudan a los equipos azules a obtener información en tiempo real sobre las actividades en la red y monitorizar y alertar continuamente antes de que ocurra un daño real, lo que les brinda la capacidad de remediar los problemas de seguridad de manera oportuna.
Existen muchas herramientas de monitorización de seguridad de red diferentes, con diferentes capacidades. Aquí hay una combinación de plataformas y soluciones con diferentes funcionalidades:
Zeek
Anteriormente conocido como Bro, Zeek es una plataforma de monitorización de seguridad de red de código abierto que se encuentra en una plataforma de hardware, software, virtual o en la nube y observa el tráfico de la red, interpreta lo que ve y crea registros de transacciones, contenido de archivos y resultados totalmente personalizados, lo cual es adecuado para el análisis manual.
Wireshark
Una de las herramientas de monitorización de seguridad de red más utilizadas, Wireshark es un nombre familiar. Wireshark realiza un análisis profundo de cientos de protocolos, captura en vivo y análisis fuera de línea, análisis de VoIP y captura archivos comprimidos con gzip y los descomprime.
Los datos en vivo se pueden leer desde Ethernet, IEEE 802.11, PPP/HDLC, ATM, Bluetooth, USB, Token Ring, Frame Relay, FDDI y otros.
RITA
Real Intelligence Threat Analysis, o RITA, es un marco de código abierto para el análisis del tráfico de red. Es compatible con la detección de balizas, la detección de túneles DNS y la verificación de listas negras.
Maltrail
Maltrail, un sistema de detección de tráfico malicioso, es una herramienta de código abierto que utiliza listas negras disponibles públicamente de rastros maliciosos y sospechosos, así como rastros estáticos compilados a partir de varios informes AV y listas personalizadas definidas por el usuario. Además, utiliza mecanismos heurísticos avanzados para ayudar a identificar amenazas de red desconocidas.
Detección de amenazas
La paciencia, el pensamiento crítico y la creatividad son los tres pilares de la detección eficaz de amenazas, o caza de amenazas, como también se le llama. La caza de amenazas es un proceso complicado, y con todos sus aspectos técnicos, uno que no se puede explicar fácilmente.
Mencionamos anteriormente que en ciberseguridad, prepararse para un ciberataque es la mejor postura posible, sin reflexionar sobre si sucederá. La detección de amenazas comienza exactamente en ese punto.
Al emplear técnicas y métodos tanto manuales como automatizados, los cazadores de amenazas son una valiosa adición a los equipos azules, ya que les permiten descubrir posibles amenazas en curso que ya han penetrado las defensas y los sistemas de seguridad. Dado que la búsqueda de amenazas es un tema amplio que cubre muchas metodologías y herramientas, nos hemos centrado en aquellas herramientas que encontramos fáciles de usar e integrar, para ayudar de manera efectiva en la detección de amenazas:
ThreatHunting
Es una aplicación de Splunk que contiene numerosos paneles y más de cien informes que te ayudarán a habilitar los indicadores de búsqueda, lo que te permitirá investigarlos más a fondo.
Yara
“La navaja suiza que busca patrones para los investigadores de malware”, Yara es, nos gustaría agregar, también para los trabajadores del equipo azul. Esta herramienta te ayudará a identificar y clasificar muestras de malware y crear descripciones de familias de malware, donde cada descripción consiste en un conjunto de cadenas y expresiones booleanas que determinan su lógica.
HELK
Hunting ELK, o HELK para abreviar, es una plataforma de búsqueda de amenazas de código abierto que proporciona capacidades de análisis avanzadas, como lenguaje declarativo SQL, transmisión estructurada, aprendizaje automático a través de portátiles Jupyter y Apache Spark sobre ELK (ahora Elastic) Stack. Esta herramienta ayuda a mejorar las pruebas y el desarrollo de casos de uso de búsqueda de amenazas y habilita capacidades de ciencia de datos.
Defensa de la red
Una red es el objetivo favorito de un atacante y, a menudo, el principal objetivo de los ataques cibernéticos. Proteger la red con soluciones de defensa de red avanzadas y administradas es uno de los primeros pasos a seguir para fortalecer las defensas de seguridad y la postura de una organización.
Hay muchas herramientas y soluciones diferentes para ayudar en la defensa de la red: firewalls, sistemas de detección de intrusos (IDS), firewalls de aplicaciones web (WAF), herramientas de prevención de pérdida de datos (DLP), controles de aplicaciones, bloqueadores de spam, etc.
Para esta lista, hemos decidido centrarnos en los cortafuegos, los cortafuegos del sistema, los WAF y los IDS:
ModSecurity
ModSecurity, o ModSec, es un firewall de aplicaciones web de código abierto que ofrece control de acceso y monitorización de seguridad de aplicaciones en tiempo real, registro completo de tráfico HTTP, evaluación de seguridad pasiva continua, fortalecimiento de aplicaciones web y más.
Wallarm
Otra plataforma de seguridad que ofrece una serie de diferentes funcionalidades de seguridad, Wallarm, además de ser un WAF, puede realizar análisis de vulnerabilidades de aplicaciones, verificación de amenazas y pruebas de seguridad de aplicaciones. Esta plataforma también brinda protección automatizada contra los 10 principales riesgos de seguridad de aplicaciones web de OWASP, DDoS de aplicaciones, apropiación de cuentas y otras amenazas de seguridad de aplicaciones.
SNORT
Un sistema de detección y prevención de intrusiones en la red, es una herramienta de código abierto que ofrece análisis de tráfico en tiempo real y registro de paquetes. SNORT es uno de los sistemas de prevención de intrusiones más utilizados y ofrece análisis de protocolos, búsqueda de contenido y comparación.
Fortinet Security Fabric
Para ayudarte a hacer frente a la creciente superficie de ataque y las amenazas en el panorama de amenazas actual, Fortinet Security Fabric proporciona redes impulsadas por la seguridad, acceso a la red de confianza cero, seguridad dinámica en la nube y operaciones de seguridad impulsadas por IA. A menudo votada como una de las mejores soluciones de firewall que existen, Fabric es una plataforma líder de defensa de red automatizada.
pfSense
Un cortafuegos de sistema de código abierto muy apreciado, pfSense se basa en el sistema operativo FreeBSD. Su edición comunitaria gratuita ofrece no solo un firewall, sino también una tabla de estado, equilibrio de carga del servidor, traductor de direcciones de red, una VPN y mucho más.
CSF
ConfigServer Security & Firewall, o CSF, es otro cortafuegos del sistema, o más específicamente, un script de configuración de cortafuegos, así como una aplicación de detección de inicio de sesión/intrusión para servidores Linux que configura el cortafuegos de un servidor para denegar el acceso público a los servicios y solo permite ciertas conexiones, como consultar correos electrónicos o cargar sitios web. Este conjunto de secuencias de comandos proporciona una secuencia de comandos de firewall SPI iptables y un proceso Daemon que verifica las fallas de autenticación de inicio de sesión que complementan el CSF.
Conclusión
Navegar a través de las muchas herramientas, soluciones y recursos apropiados para los equipos azules y su operación puede ser abrumador, por lo que hemos compilado esta lista de las mejores herramientas para equipos azules con el mismo objetivo que tuvimos en mente al hacer nuestra lista de herramientas para equipos rojos: para mantener las cosas simples.
Ahora que te proporcionamos una hoja de trucos de las mejores herramientas, soluciones y marcos de seguridad ofensivos y defensivos del equipo azul disponibles, esperamos que hayas encontrado tus herramientas favoritas en esta lista, y que también hayas descubierto algunas nuevas que te ayudarán con tus necesidades de equipo azul de seguridad.