Los piratas informáticos utilizan cada vez técnicas más complejas para ocultar sus amenazas y lograr infectar prácticamente cualquier sistema pasando inadvertidos. Las amenazas se esconden siempre donde menos lo esperamos y, por ello, especialmente en el sector empresarial, es muy importante contar con medidas de seguridad avanzadas capaces de detectar cualquier amenaza que pueda esconderse en la red, como es el caso de OSSEC Wazuh.
OSSEC Wazuh es un fork creado del proyecto original OSSEC justo antes de que este fuera comprado por Trend Micro en 2009. Esta herramienta, totalmente gratuita y de código abierto, es capaz de detectar intrusos a nivel de red (HIDS) y cuenta con un gran número de análisis en tiempo real para encontrar indicios de malware o rootkits en sistemas Windows, además de otras muchas funciones.
Wazuh se centra, además de en mantener OSSEC como una plataforma libre, en implementar una serie de módulos de seguridad adicionales, como una serie de reglas para cumplir con las normas de seguridad más estrictas, compatibilidad con JSON para unirlo a distintas herramientas de log, RESTful, para tener el control total sobre la instalación de Wazuh a través de HTTP, paquetes pre-compilados y contenedores Docker, entre otros.
Hace algunas horas, los responsables de esta herramienta de seguridad han lanzado una nueva versión, OSSEC Wazuh 2.0, la cual llega con un gran número de mejoras y novedades como las que vamos a ver a continuación.
Novedades del nuevo OSSEC Wazuh 2.0
Una de las novedades de esta nueva versión es la introducción de un nuevo administrador de módulos que nos va a permitir administrar mucho más fácilmente los complementos de nuestra herramienta de seguridad. Además, también se ha incluido un nuevo módulo de seguridad, OpenSCAP, así como una lista de regla, alertas y una página dedicada a la información generada por este módulo.
Otra de las novedades incluidas se centra en el funcionamiento de la herramienta, que ha mejorado todo su motor multithread para ser capaz de ofrecer tanto una detección como una mitigación mucho más eficaces.
Otras novedades incluidas en esta nueva versión del monitor de seguridad son:
- Una nueva opción para reiniciar automáticamente todos los agentes.
- Configuración y registro dinámicos.
- GeoIP para ayudar en la mitigación de amenazas.
- Compatibilidad con claves de registro de 64 bits.
- Soporte para formato de datos FIM.
- Nuevas funciones para decodificar archivos.
- Varias mejoras a la hora de configurar y habilitar las conexiones TLS/SSL.
Además, se han modificado (actualizado) prácticamente todas las características incluidas en la versión anterior, así como solucionado un gran número de fallos y vulnerabilidades encontrados durante las auditorías de la seguridad de la última versión, aunque ninguna de ellas realmente grave que pudiera comprometer a los usuarios.
La lista completa con todos los cambios de esta herramienta podemos encontrarla en su página oficial de GitHub. Como podemos ver una gran herramienta (aunque demasiado compleja para un usuario medio) para protegernos en tiempo real de prácticamente cualquier amenaza, tanto conocida como desconocida. Además, la llegada del nuevo OSSEC Wazuh 2.0 era realmente necesaria tras haber pasado 6 meses sin ninguna otra actualización si de verdad pretenden seguir creciendo y ser una alternativa de peso a OSSEC.
¿Qué te parece esta herramienta?