cambiar a curso:   2019-20   2021-22


Grado en Ingeniería Informática


TRABAJOS FIN DE GRADO
curso: 2020-21

Threat Hunting en Active Directory


Tecnologías Específicas

Tecnologías de la Información
 


Descripcion y Objetivos

A día de hoy, los llamados test de intrusión, dentro del campo de hacking ético, se contratan y se realizan únicamente para satisfacer un requisito legal y llevar a cabo un estudio del cumplimiento normativo. Esto provoca dentro de la seguridad ofensiva en una evolución hacia un concepto nuevo denominado Red Team. Un ejercicio Red Team [2] consiste en la simulación real de un ataque con las denominadas amenazas persistentes avanzadas (APT, Advanced Persistent Threats) sobre la organización mediante la combinación de vectores de ataque, que permite a la empresa identificar su nivel de seguridad global, así como el nivel de prevención, protección y respuesta frente a amenazas dirigidas. Su objetivo es replicar las técnicas, tácticas y procedimientos (TTPs) de intrusión que podría ser utilizadas por un atacante real. Se comprueba el impacto real de negocio que provocaría un ataque dirigido a través del compromiso de los principales activos de la organización. Este tipo de ejercicios permite identificar el nivel de protección y respuesta de la organización frente a ataques dirigidos, y aumentar posteriormente las capacidades técnicas y de detección del equipo de defensa o Blue Team. En este tipo de ejercicios, el equipo atacante buscará crear un vector de ataque real mediante el estudio de un posible  ámbito de actuación que esté permitido en el contrato. 

El objetivo de este TFG es montar un entorno empresarial virtual basado en Active Directory de WIndows [2] y, a partir de él, realizar una sería de ataques o intrusiones para determinar cómo responde éste y cómo se detectan. Para tal fin, se usará la tecnología ELK Stack [3] (Elasticsearch, Logstash and Kibana) para monitorizar el sistema e identificar las amenazas (Threat Hunting)

 

 


Metodología y Competencias

Este TFG seguirá esta metodología:

- Lectura y aprendizaje Active Directory (AD) de Windows

- Despliegue del AD 

- Lectura y aprendizaje sobre ELK y despliegue de éste sobre la infraestrucutra AD

- Replicación de ataques sobre el AD y observar el comportamiento y la recopilación de información de ELK

- Escritura de la Memoria

Competencias:

[TI2] Capacidad para seleccionar, diseñar, desplegar, integrar, evaluar, construir, gestionar, explotar y mantener las tecnologías de hardware, software y redes, dentro de los parámetros de coste y calidad adecuados.

[TI7] Capacidad para comprender, aplicar y gestionar la garantía y seguridad de los sistemas informáticos.

 


Medios a utilizar

Los medios software a utilizar así como el material de lectura y aprendizaje está disponible por el profesor. Las herramientas a usar, son muchas de licencia GPL y para las de pago se dispone de licencias académicas. En cuanto al equipamiento hardware no se necesita ninguna máquina en concreto pero se dispone de infraestructura y equipamiento en el i3a, si fuera necesario.

 


Bibliografía

[1]Eduardo Arriols, CISO: El Red Team de la empresa, ed 0xWord

[2] Libro 0xWord: Hacking Windows, Ataques a Sistemas y Redes Microsoft

[3] ELK, https://www.elastic.co/es/what-is/elk-stack

 


Tutores


MARTINEZ MARTINEZ, JOSE LUIS
ROLDÁN GÓMEZ, JOSÉ
 

Alumno


LÓPEZ CORTÉS, IVÁN