Con este titulo más parecido a un capitulo de Harry Potter, os presento el Orquestador para Linux Container (LXD). Ver enlace.


OpenStack / LXD + JujuCharms (https://jujucharms.com/)

Como si por arte de "Magia" se tratase, "conjure-up" es la forma más rápida (dependerá de tus recursos principalmente el disco duro SSD) de crear un cluster Kubernetes perfectamente configurado y listo para trabajar.

Limitaciones

Si deseas trabajar "localmente" en un Host, se presentan ciertas limitaciones técnicas a la hora de utilizar conjure-up, o incluso "juju".


  1. La instalación local solamente contempla trabajar con un "equipo físico (hardware)", aunque la herramienta juju permite trabajar con múltiples proveedores de Cloud (Azure, Google Cloud , AWS) será utilizando LXD localmente cuando más partido se le puede sacar a estar herramienta.
  2. Networking, se debe diseñar muy bien inicialmente todo lo necesario para la comunicación entre los contenedores, así como la publicación de los recursos. Si trabajas con un cluster Kubernetes ya tendrás cierta experiencia en ello. No obstante, hay que realizar un buen planteamiento de networking antes de comenzar. Sobre todo con el objetivo de la publicación de los recursos.
Esas son las principales "limitaciones", puesto que si deseamos disponer de múltiples Host (bare metal / hardware) la opción de utilizar conjure-up "localmente" no contempla de momento la capacidad de "clustering" que trae LXD 3.0. Por lo que el diseño de networkin inicial será fundamental para ser capaz de comunicar varios Host (Hardware / VM) entre si, y las APP contenidas en LXD. Un ejemplo claro, es desplegar todo un cluster Kubernetes en un Host (localhost) y luego querer ampliar la capacidad del cluster añadiendo "Worker / Nodos al cluster" en otros Host para alta disponibilidad y recursos. Esto requiere de un diseño de la red (previo al despliegue) y "tunning" a nivel de networking para lograrlo. Puesto que la herramienta de momento (como he comentado anteriormente) no contempla la capacidad de utilizar la funcionalidad nativa de clustering.

Cómo parece lógico, la opción de utilizar LXD, es evitar utilizar HyperV/VMWare en tus servidores locales, creando tu propia Cloud con los recursos hardware directamente con LXD, que por otro lado, mejoran los resultados al trabajar con lo que denominan pure-container hypervisor [info].

Por tanto, si quieres trabajar en producción con LXD + juju como orquestador, te recomiendo:


  • Una Host con al menos 128GB RAM, 4 CPUS, disco duro SSD local + cabina (storage) con direct attach de tipo SSD, 
  • Un según Host de igual capacidad conectado a la cabina storage (direct Attach)


Con esto montar dos "cluster locales kuebernetes" y utilizar la capacidad de federación entre cluster de kubernetes, que permitirá repartir y balancear los recursos entre los cluster federados. [info]

Ventajas

No todo iban a ser limitaciones, para el área DevOps y el ciclo de CI/CD Integración continua) todo son ventajas:
  1. Montar un cluster Kubernetes rápidamente totalmente operativo.
  2. Desplegar Jenkins (integración continua) y Sonar (Auditoria de Código)
  3. Y Probar las aplicaciones en un entorno igual al de producción en los principales Proveedores de Cloud.
Happy Hacking !!! DevOps ! :)




Cuando eres un Tier1/L2 SOC Security Analyst disponer de la mejor herramienta para la toma de decisiones es fundamental con objeto de "responde" ante una Amenaza de la mejor forma y lo más rápido posible.

En nuestro Centro de Inteligencia y Operaciones de Seguridad, denominado SSIC por la siglas (SVT Security Intelligence & Operations Center) es nuestra prioridad conseguir herramientas que permitan a nuestros analistas L1 / L2 disponer de la mejor información en el menor tiempo posible, permitiendo decisiones / acciones inmediatas.

Os presento, cymon-analyzer, es un plugins (analizador) desarrollado para el motor Cortex del proyecto [TheHive-Project]

Descripción

cymon-analyzer permite analizar información sobre la reputación IP en un "Incidente / Alerta" de seguridad en el servicio cymon.io (Open Threat Intelligence) de forma automática, para ello se utiliza la API que nos proporciona este servicio.

Desde nuestro SSIC se ha desarrollo un modulo para Cortex, que permite analizar rápidamente y comprobar si la IP detectada como "potencialmente peligrosa" (observable / evidencia) esta listada en "lista negras" por mala reputación [Malware, Spam, Phishing, blacklist, Actividad Maliciosa, etc].

cymon-analyzer | Working in TheHive Platform | Captura pantalla del analyzer en funcionamiento.
De forma automática, un analista puede comprobar y obtener información desde múltiples IP / Observables con un solo click. Se puede ejecutar el Analyzer, y el motor [Cortex] a través del Analizador se encarga de consultar "IP por IP" al servicio cymon.io devolviendo la información en forma de etiqueta e Informe.

Full Report | Informe resultante cymon-analyzers

TheHive-Project es una plataforma de gestión de Incidentes de Seguridad relativamente nueva, que proporciona la herramienta que un SOC/CERT necesita.

Es una herramienta desarrollada por expertos en Seguridad para equipos de Seguridad. En nuestro centro (SSIC) es nuestra herramienta principal de trabajo, y sus capacidades de integración son espectaculares, no solo gracias a la comunidad que cada día desarrolla más "Analyzer" incrementando el valor de la herramienta y sus capacidades, sino también debido a la capacidad de integración que proporciona la API de la plataforma.

Si estáis interesados, podéis conseguir el analyzer en nuestra cuenta de GitHUB | ST2Labs

Repositorio: cymon-analyzer

Enlaces de Interés



SSIC / SVT Security Intelligence Center

 



Grandes profesionales de toda España unidos con los mismos objetivos: concienciar y enseñar.

Durante los días 16 y 17 de septiembre ha tenido lugar Qurtuba. Congreso de seguridad celebrado en la ciudad de Córdoba que atrae a centenares de interesados en ciberseguridad.


Entre los organizadores encontramos a Miguel Ángel Arroyo y Edu Sánchez. Dos profesionales dedicados a la seguridad y la enseñanza cuya pasión es aprender y compartir. Así nos lo trasmiten en cada evento de seguridad organizado por ellos mismos o a los que asisten, no solo en Córdoba, sino en toda España. Como fue el celebrado el día previo a Qurtuba, "Hack&Beers".


Un total de 13 ponentes y diversos talleres se han desarrollado durante estos días.


Introducción

A continuación, un breve resumen de las ponencias más destacadas.

Josep Bardallo, executive manager en Svt Cloud.
“Seguridad en entornos hospitalarios & iOT”.

 
Nos destaca la gran cantidad de iOT utilizados en hospitales e instituciones sanitarias pensados para salvar vidas y avanzar en resultados de pacientes, cuya labor cumplen muy bien, pero… ¿Qué pasa con la seguridad de estos aparatos?... Los fabricantes se olvidan de ella, olvidando que todos están conectados de una manera u otra a Internet y, por lo tanto, disponibles para los cibercriminales.






Con una simple búsqueda de cámaras de vigilancia a través de Shodan nos “cuela” en centros de educación y centros penitenciarios entre otros lugares, donde han olvidado, una vez más la seguridad dejando la configuración por defecto del fabricante.


Daniel Medianero “Marketing Service Manager” en s21sec.
“Hackeando las emociones: una nueva visión de la ingeniería soial”.

 


Daniel nos invita a analizar el comportamiento de los seres humanos, de nosotros mismos, la importancia del lenguaje no verbal y de toda la información que nos trasmite, que, en muchas ocasiones, por desconocimiento, no le prestamos la atención que deberíamos.




Con ejemplos de la vida cotidiana, o televisivos, nos enseña desde quién está intentando establecer un simple “coqueteo” a quién pretende dejar claro que es “su territorio”, su poder en ese momento o sobre la situación.

Y lo que es más importante, la fuerza que tienen estas técnicas para el atacante, siendo utilizadas para elegir a la víctima que considera más vulnerable o fácil de "manejar". 



Del último de los ponentes que os hablaremos es Francisco J Rodríguez, miembro de INCIBE con su conferencia “Is it a game or is it real?”




Al igual que Josep Bardallo, Francisco Rodríguez nos trasmite como iOT se encuentra cada vez más extendido y más desarrollado, pero, no más seguro.

Es decir, cada vez son más los aparatos dentro de un hogar que se encuentran conectados, expuestos (teléfono, tablet, luces, frigorífico… ¡hasta el WC!)



¿De verdad creemos que estamos a salvo? Grandes empresas se han visto afectadas por ataques de cibercriminales ¿Qué nos hace pensar que los siguientes no podemos ser nosotros?
Nos hace reflexionar sobre si esto es necesario ya que, por ganar en comodidad, exponemos nuestra seguridad, nuestra vida privada.

Francisco nos muestra como desde INCIBE estudian a los cibercriminales a través de HoneyPot, sistemas con vulnerabilidades expuestos en la red para obtener toda la información posible de cómo actúa el cibercriminal y poder combatirlo




Entre estos ponentes, se encuentran muchos otros, los cuales podéis ver en la programación
En el segundo día del congreso, se realizaron talleres sobre diferentes temas de concienciación, ingeniería social, análisis forense, etc

Cada uno de ellos con diferentes niveles destinados a todo el público que se está iniciando en estos caminos o el que ya lleva unos pasitos.

Además de conferencias y talleres, durante el congreso ha tenido lugar un CTF, "Capture The Flag" proporcionándole a los ganadores la entrada a cybercamp 2016. 

Sin duda alguna, es uno de los mejores congresos de seguridad informática en la ciudad de Córdoba donde desvirtualizas a profesionales y adquieres nuevos conocimientos.

A través de twitter pueden ver toda la actividad producida por este evento con el hastag #Q2k16 .
Si este año te lo has perdido, no dejes que se te escape la siguiente edición en @qutubacon nos mantiene informados.




Lucía Expósito Ortega
@LuciaExpositoOrt






































Cuando se reciben miles de ataques desde Internet, es necesario disponer de información que permita tomar decisiones de una forma ágil y rápida. En un CERT/SOC, es decir en un centro de operaciones de ciberseguridad, es primordial disponer de información sobre una posible amenaza para ejecutar acciones y/o medidas de prevención, protección y defensa.

Introducción

Por ejemplo, se detecta un tcp_scan en el IPS / Cortafuegos:

FortiAnalyzer - Event Manager - IPS
A priori no se sabe si es lícito o no, para resolver el misterio se puede consultar la información sobre la lista de direcciones IP origen, en alguna de las múltiples fuentes de información / blacklist (véase las principales fuentes de información sobre reputación y actividad de las IP en Internet):

The Top Cyber Threat Intelligence Feeds
Comprobar todas y cada una de ellas, puede ser un proceso lento y muy tedioso. Recientemente ha nacido un proyecto que unifica en solo portal toda la información sobre reputación, actividad maliciosa y comportamiento de las direcciones IP reportados por las múltiples fuentes de información con objeto de generar una base de datos de conocimiento única donde con una sola consulta se pueda conocer si una dirección IP esta considerada "una amenaza" real o sin embargo esta considerada como una amenza potencial.

Estoy hablando del proyecto http://cymon.io

Una consulta en la web, permite analizar la información de la dirección IP en múltiples fuentes de información, lo que permite ahorrar tiempo en dicho análisis. Este proyecto además cuenta con una API de desarrollo que permite automatizar el proceso.

Como ya se anunciaba en nuestro anterior artículo, el departamento MSOC (Monitoring & CyberSOC) de www.svtcloud.com ha desarrollado una herramienta [sIPi] que aprovecha esta API de consulta, para automatizar el proceso de obtención de información relacionada con una lista de direcciones IP. Se puede consultar 1000 direcciones IP/día, de forma totalmente gratuita.

[!] Simple IP Information Tools [SIPI]

sIPi (Simple IP Information Tools), así os como se ha bautizado a esta pequeña herramienta que en su versión 0.1, permite:

  • Analizar la reputación de la dirección IP [actividad malware, botnet, spam, dnsrbl, blacklist, etc] consultando las fuente Cymon.io
  • Nivel de exposición de las direcciones IP utilizando el motor SHODAN.io
  • Información de geolocalización básica de la IP utilizando IPInfo.io

Con esta utilidad se ha unificado en una sola herramienta la consulta de "IP Reputation data & IP Service exposure risk".

En esta primera versión 0.1, se puede analizar una sola IP o una lista de IP's, donde se puede consultar por una categoría [botnet, spam, malware, phishing, blacklist] o todas, así como añadir información sobre SHODAN.io o simplemente información sencilla de geolocalización.

Más información y ejemplos se pueden encontrar aquí:

// GET it NOW //
https://github.com/ST2Labs/SIPI



#ST2Labs
#SVTCloudSecurity

This tool is aimed for Incident Response Team and anyone what's want to know the behaviour of the "suspicious" IP Address. The tools do search looking for reputation info from a set of open threat intelligence sources. Information about this IP like malware activity, malicious activity, blacklist, spam and botnet activity.

IP Reputation Data & IP Risk Level Exposure