Seguretat defensiva amb eines obertes

No cal pagar llicències de sis xifres per tenir visibilitat sobre la seguretat de la infraestructura. Aquestes eines open source cobreixen des de la detecció d'intrusions fins a la resposta a incidents.

Wazuh

Què és: Plataforma SIEM + XDR + EDR unificada. El projecte open source de seguretat més complet disponible.

Funcions clau:

  • Detecció d'intrusions basada en regles i anomalies
  • Monitoratge d'integritat de fitxers (FIM)
  • Anàlisi de vulnerabilitats
  • Compliance (PCI DSS, GDPR, HIPAA)
  • Agents per a Windows, Linux, macOS
  • Integració amb Elastic Stack per a visualització
  • Resposta activa (bloqueig automàtic d'IPs, processos)

Ideal per a: qualsevol organització que vulgui un SIEM real sense cost de llicència.

Requisits: Servidor dedicat amb 8+ GB RAM per a l'indexador. Agents lleugers als endpoints.

Lloc web: wazuh.com

CrowdSec

Què és: IPS col·laboratiu — detecta comportaments maliciosos i comparteix intel·ligència d'amenaces amb la comunitat.

Funcions clau:

  • Detecció basada en escenaris (brute force, escaneig, exploits)
  • Llista de reputació d'IPs compartida entre tota la comunitat
  • Bouncers per a nginx, iptables, HAProxy, Cloudflare
  • Consola web centralitzada
  • Lleuger i fàcil d'instal·lar

Ideal per a: servidors exposats a Internet — afegeix una capa de protecció amb intel·ligència col·lectiva.

Requisits: Molt lleuger (~128 MB RAM). Go binari, sense dependències.

Lloc web: crowdsec.net

Security Onion

Què és: Distribució Linux completa per a monitoratge de seguretat de xarxa (NSM), caça d'amenaces i gestió de logs.

Funcions clau:

  • Suricata (IDS/IPS de xarxa)
  • Zeek (anàlisi de protocols)
  • Elastic Stack per a logs i dashboards
  • CyberChef integrat per a anàlisi
  • Playbooks per a resposta
  • PCAP complet per a anàlisi forense

Ideal per a: equips de seguretat que necessiten visibilitat completa del trànsit de xarxa.

Requisits: Servidor dedicat, 16+ GB RAM, interfície de xarxa dedicada per a captura.

Lloc web: securityonionsolutions.com

TheHive + Cortex

Què és: Plataforma de resposta a incidents (SIRP). TheHive gestiona casos i alertes, Cortex automatitza l'anàlisi.

Funcions clau:

  • Gestió de casos d'incidents
  • Alertes des de SIEM, IDS, correu
  • Observables (IPs, hashes, dominis) amb enriquiment automàtic via Cortex
  • Integració nativa amb MISP per a intel·ligència d'amenaces
  • Plantilles de resposta i tasques

Ideal per a: equips de resposta a incidents (CSIRT/SOC) que necessiten traçabilitat.

Requisits: Java, Elasticsearch/OpenSearch, Cassandra. 8+ GB RAM.

Lloc web: thehive-project.org

MISP

Què és: Plataforma d'intel·ligència d'amenaces per compartir indicadors de compromís (IOC).

Funcions clau:

  • Compartició d'IOCs entre organitzacions
  • Taxonomies i galàxies d'amenaces
  • Correlació automàtica d'esdeveniments
  • Feeds d'intel·ligència integrats
  • API per a integració amb SIEM/SOAR

Ideal per a: organitzacions que participen en comunitats de compartició d'intel·ligència.

Requisits: PHP, MySQL/MariaDB, Redis. 4+ GB RAM.

Lloc web: misp-project.org

Comparativa ràpida

Eina Funció Dificultat Ús principal RAM mínima
Wazuh SIEM/XDR/EDR Mitjana Monitoratge complet 8 GB
CrowdSec IPS col·laboratiu Baixa Protecció servidors 128 MB
Security Onion NSM complet Alta Anàlisi de xarxa 16 GB
TheHive Resposta incidents Mitjana Gestió de casos 8 GB
MISP Threat Intel Mitjana Compartició IOCs 4 GB