¿Qué es Zeek y para qué se utiliza este framework en ciberseguridad?
La seguridad de las redes depende, en buena manera, de los dispositivos y los softwares que se utilizan con el fin de protegerlas. Estas herramientas permiten monitorear el tráfico de la red e, incluso, eliminar amenazas de manera automática. De hecho, los IDS/IPS (Intrusion Detection/Protection System) cumplen precisamente con esta función.
IDS/IPS
Los IDS (Intrusion Detection Systems) se enfocan en la detección y generación de alertas cuando se presentan anomalías en el tráfico de una red o un dispositivo en particular. Los IPS (Intrusion Protection/Prevention Systems), adicionalmente, tienen la capacidad de eliminar ciertas amenazas de manera automática. Ahora bien, lo recomendable es usar ambos combinados, si el sistema a proteger lo permite.
Existen dos tipos de IPS/IDS, conocidos como HIDS y NIDS. En este post, hablaremos sobre un software que entra dentro de la segunda categoría, pero antes, veremos brevemente de qué tratan estos dos tipos de IDS/IPS.
- HIDS o Host-based Intrusion Detection System: es un software que se instala directamente en el dispositivo que se desea proteger. De este modo, dicho ordenador o servidor se convierte en el propio IDS/IPS, procesa datos y los envía a una central.
- NIDS o Network-based Intrusion Detection System: es un software o hardware que se instala al nivel de la red con el fin de analizar y filtrar todo el tráfico que se gestione.
Ahora que conoces estos conceptos, veremos un framework para monitorear la red, que cabe dentro del segundo tipo de IPS/IDS que acabamos de describir. A continuación, te explicaremos qué es Zeek y por qué se utiliza en ciberseguridad.
¿Qué es Zeek?
Zeek es un framework de código abierto u open source que se utiliza para el análisis y la búsqueda activa de amenazas para una red. Sus herramientas de monitorización permiten que este framework se use como NIDS (Network-based Intrusion Detection System). El principal propósito de Zeek es filtrar el tráfico de la red y generar logs que describan todo lo que ocurre en ella.
Adicionalmente, Zeek se reconoce porque le permite al Blue Team (el encargado de la defensa de un sistema) hacer una cacería de amenazas para la red. Esto quiere decir que Zeek hace posible ir un paso por delante de los atacantes y bloquearlos antes de que estos alcancen a interactuar con la red. Por esta razón, se puede afirmar que Zeek es un framework que se puede utilizar como NIDS, pero que va más allá de dicho concepto.
¿Qué es el threat hunting?
🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴
Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada
👉 Prueba gratis el Bootcamp en Ciberseguridad por una semanaYa hemos visto qué es Zeek y para qué se utiliza en ciberseguridad. Ahora, hablaremos sobre una de las características que diferencia a este framework de otras herramientas similares para la seguridad de las redes: la cacería de amenazas.
El threat hunting o cacería de amenazas es una tarea del Blue Team que consiste en detectar amenazas potenciales para el sistema, antes de que se materialice cualquier ataque proveniente de ellas. Por ejemplo, el threat hunting incluye detectar páginas web y direcciones IP maliciosas, identificar servidores sospechosos y hacer ciberinteligencia en la dark net, entre otras funciones.
Este conjunto de prácticas forman parte de una estrategia de defensa proactiva que busca evitar los incidentes y las brechas de seguridad. Por esta razón, aplicarlas representa una inversión que termina por ahorrarle tiempo y dinero a las compañías e individuos.
¿Cómo aprender más?
Si quieres aprender más sobre qué es Zeek y más herramientas similares, en KeepCoding encontrarás la formación íntegra e intensiva ideal para ti. Accede ahora a nuestro Ciberseguridad Full Stack Bootcamp y especialízate en tan solo 7 meses. ¡No sigas esperando para transformar tu futuro y solicita ya más información!
