¿Qué es osquery?

| Última modificación: 19 de abril de 2024 | Tiempo de Lectura: 3 minutos

Algunos de nuestros reconocimientos:

Premios KeepCoding

¿Quieres aprender qué es osquery y para qué se utiliza este software en ciberseguridad?

La defensa en ciberseguridad, usualmente, se suele dividir en capas, las cuales corresponden a cada uno de los elementos que, a grandes rasgos, componen un sistema. Ahora bien, cabe aclarar que cada una de estas capas se puede dividir en varios subcomponentes. No obstante, al hablar de medidas de protección, estas se concentran en las siguientes partes de un sistema informático:

  • La nube.
  • La red.
  • El dispositivo.
  • La aplicación.
  • Los datos.

Para cada una de estas capas existen medidas de seguridad especiales. Para la nube, por ejemplo, existe el hardening; para los dispositivos, existen los antivirus y los EDR; para las aplicaciones, existen las actualizaciones y los parches de seguridad; para los datos, existen los algoritmos criptográficos que los protegen de amenazas.

Ahora bien, al hablar de seguridad de redes, existe una gran diversidad de herramientas, que se pueden utilizar en conjunto para ofrecer un mayor nivel de seguridad. En estos casos, en particular, se utilizan softwares o dispositivos de seguridad, como son los firewalls y los IDS/IPS.

Los firewalls son dispositivos de red que permiten monitorizar todo el tráfico y filtrar algunas amenazas. Los IDS/IPS (Intrusion Detection/Prevention Systems) analizan el comportamiento de la red a partir de reglas programables, lo cual sirve para automatizar la respuesta ante las amenazas conocidas.

En este post, hablaremos sobre un software que se utiliza, especialmente, para seguridad de redes, pero que no se cataloga como un firewall o un IDS/IPS. Por el contrario, sirve para complementar a estos dos. A continuación, te explicaremos qué es osquery y para qué se utiliza en ciberseguridad.

¿Qué es osquery?

🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴

Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada

👉 Prueba gratis el Bootcamp en Ciberseguridad por una semana

Osquery es un software de código libre desarrollado por Facebook (actualmente, llamado Meta) que, como su nombre sugiere, permite enviarle peticiones a los sistemas operativos conectados a una red, con el fin de obtener información valiosa sobre ellos. Es decir, por medio de estas peticiones es posible detectar y analizar todos los dispositivos que se encuentren conectados a una red interna. Por lo tanto, es un software de alta capacidad que permite hallar vulnerabilidades en dichos dispositivos.

Osquery permite, entonces, realizar una especie de escaneo acerca de la tecnología y las condiciones de los dispositivos que están conectados (de manera directa o remota) a la red. Así, se pueden detectar ciberatacantes, así como fallos de seguridad presentes en dichos dispositivos, que pongan en peligro a los demás. Algunas de estas vulnerabilidades pueden estar relacionadas con versiones desactualizadas o la ausencia de parches de seguridad existentes.

Al aprender qué es osquery, encontrarás que su principal desventaja radica en que se basa en reglas preexistentes para detectar anomalías en los dispositivos analizados. En otras palabras, solamente permiten encontrar fallas conocidas, que no representan el mismo nivel de riesgo que las vulnerabilidades de día cero.

Otras medidas de ciberseguridad

Ya hemos visto qué es osquery, por qué se usa en ciberseguridad y, también, cuáles son sus limitaciones. Como hemos dicho en la introducción, la seguridad de las redes depende de que se apliquen varias medidas y técnicas, que se articulan de manera organizada entre sí. Por eso, a continuación, mencionaremos algunas de las medidas más importantes:

  • HIDS: los Host-based Intrusion Detection Systems permiten utilizar los dispositivos de los usuarios como IDS, es decir, como sistemas de recolección de información acerca de intrusos y amenazas.
  • NIDS: los Network-based Intrusion Detection Systems se instalan al nivel de la red y permiten analizar todo el tráfico en búsqueda de anomalías para generar alertas y enviarlas a una localización centralizada.
  • Inteligencia Artificial: todas las herramientas que hemos visto anteriormente necesitan reglas programadas preestablecidas, con el fin de detectar amenazas preexistentes. Ahora bien, si se desea darle un tratamiento automatizado a las amenazas de día cero, es necesario implementar medidas avanzadas. Para ello, se usa la inteligencia artificial, que aprende desde cero cuál es el estado normal de una red con el objetivo de diagnosticar anomalías.

¿Cómo aprender más?

Tras leer este artículo ya sabes qué es osquery y cuál es su función en el mundo de la seguridad informática. Ahora, si quieres ir un paso más allá y aprender más sobre técnicas y tácticas de Blue Team, el Ciberseguridad Full Stack Bootcamp es perfecto para ti. Con la guía de esta formación intensiva e íntegra podrás convertirte en un experto del mundillo en pocos meses. ¿Quieres impulsar tu vida y potenciar tu carrera IT? ¡Entra ahora para solicitar más información!

Carlos Cilleruelo

CEO and co-founder of Byron Labs & Coordinador del Bootcamp en Ciberseguridad.

Posts más leídos

¡CONVOCATORIA ABIERTA!

Ciberseguridad

Full Stack Bootcamp

Clases en Directo | Profesores en Activo | Temario 100% actualizado