Seguretat defensiva amb eines obertes
No cal pagar llicències de sis xifres per tenir visibilitat sobre la seguretat de la infraestructura. Aquestes eines open source cobreixen des de la detecció d'intrusions fins a la resposta a incidents.
Wazuh
Què és: Plataforma SIEM + XDR + EDR unificada. El projecte open source de seguretat més complet disponible.
Funcions clau:
- Detecció d'intrusions basada en regles i anomalies
- Monitoratge d'integritat de fitxers (FIM)
- Anàlisi de vulnerabilitats
- Compliance (PCI DSS, GDPR, HIPAA)
- Agents per a Windows, Linux, macOS
- Integració amb Elastic Stack per a visualització
- Resposta activa (bloqueig automàtic d'IPs, processos)
Ideal per a: qualsevol organització que vulgui un SIEM real sense cost de llicència.
Requisits: Servidor dedicat amb 8+ GB RAM per a l'indexador. Agents lleugers als endpoints.
Lloc web: wazuh.com
CrowdSec
Què és: IPS col·laboratiu — detecta comportaments maliciosos i comparteix intel·ligència d'amenaces amb la comunitat.
Funcions clau:
- Detecció basada en escenaris (brute force, escaneig, exploits)
- Llista de reputació d'IPs compartida entre tota la comunitat
- Bouncers per a nginx, iptables, HAProxy, Cloudflare
- Consola web centralitzada
- Lleuger i fàcil d'instal·lar
Ideal per a: servidors exposats a Internet — afegeix una capa de protecció amb intel·ligència col·lectiva.
Requisits: Molt lleuger (~128 MB RAM). Go binari, sense dependències.
Lloc web: crowdsec.net
Security Onion
Què és: Distribució Linux completa per a monitoratge de seguretat de xarxa (NSM), caça d'amenaces i gestió de logs.
Funcions clau:
- Suricata (IDS/IPS de xarxa)
- Zeek (anàlisi de protocols)
- Elastic Stack per a logs i dashboards
- CyberChef integrat per a anàlisi
- Playbooks per a resposta
- PCAP complet per a anàlisi forense
Ideal per a: equips de seguretat que necessiten visibilitat completa del trànsit de xarxa.
Requisits: Servidor dedicat, 16+ GB RAM, interfície de xarxa dedicada per a captura.
Lloc web: securityonionsolutions.com
TheHive + Cortex
Què és: Plataforma de resposta a incidents (SIRP). TheHive gestiona casos i alertes, Cortex automatitza l'anàlisi.
Funcions clau:
- Gestió de casos d'incidents
- Alertes des de SIEM, IDS, correu
- Observables (IPs, hashes, dominis) amb enriquiment automàtic via Cortex
- Integració nativa amb MISP per a intel·ligència d'amenaces
- Plantilles de resposta i tasques
Ideal per a: equips de resposta a incidents (CSIRT/SOC) que necessiten traçabilitat.
Requisits: Java, Elasticsearch/OpenSearch, Cassandra. 8+ GB RAM.
Lloc web: thehive-project.org
MISP
Què és: Plataforma d'intel·ligència d'amenaces per compartir indicadors de compromís (IOC).
Funcions clau:
- Compartició d'IOCs entre organitzacions
- Taxonomies i galàxies d'amenaces
- Correlació automàtica d'esdeveniments
- Feeds d'intel·ligència integrats
- API per a integració amb SIEM/SOAR
Ideal per a: organitzacions que participen en comunitats de compartició d'intel·ligència.
Requisits: PHP, MySQL/MariaDB, Redis. 4+ GB RAM.
Lloc web: misp-project.org
Comparativa ràpida
| Eina | Funció | Dificultat | Ús principal | RAM mínima |
|---|---|---|---|---|
| Wazuh | SIEM/XDR/EDR | Mitjana | Monitoratge complet | 8 GB |
| CrowdSec | IPS col·laboratiu | Baixa | Protecció servidors | 128 MB |
| Security Onion | NSM complet | Alta | Anàlisi de xarxa | 16 GB |
| TheHive | Resposta incidents | Mitjana | Gestió de casos | 8 GB |
| MISP | Threat Intel | Mitjana | Compartició IOCs | 4 GB |