Cómo Berkeley Lab ayudó a desarrollar una de las plataformas de monitoreo de seguridad de código abierto más populares del mundo – Centro de noticias
6 min readCuando Vern Paxson era estudiante de posgrado en el Grupo de Investigación de Redes del Laboratorio Nacional Lawrence Berkeley (Berkeley Lab) en la década de 1990, el término “ciberseguridad” no era muy conocido. Pero el software ahora conocido como Zeek, que Paxson desarrolló en Berkeley Lab basándose en su investigación general sobre el tráfico de Internet, se ha convertido en una de las plataformas de control de seguridad de código abierto más populares del mundo. En octubre de 2022 Microsoft Corporación anunció Integrar Zeek en el sistema operativo Windows, donde ayudará a los equipos de seguridad a obtener una mejor visibilidad de sus redes y responder de manera más efectiva a los ataques. “Este es un éxito de transferencia de tecnología increíble para Berkeley Lab”, dijo Greg Bell, ex director de la división Energy Sciences Network and Scientific Networking de Berkeley Lab y cofundador de corelight, inc.la compañía detrás de Zeek.
La mayoría de los productos de ciberseguridad tienen como objetivo evitar que la actividad maliciosa ingrese a una red o computadora, filtrando el tráfico con un firewall o bloqueando archivos maliciosos con software antivirus. El software antivirus, por ejemplo, “analiza los archivos que ingresan a su computadora para ver si son maliciosos”, dice Jay Krous, gerente de ciberseguridad en Berkeley Lab. “Pero si no sabe que un archivo es malicioso cuando llega, ha perdido su oportunidad”, agrega. Zeek, por otro lado, monitorea el tráfico de la red y registra y almacena los detalles del tráfico en un formato condensado. Lo hace sin interferir con el tráfico de la red, un requisito cuando se mueven grandes conjuntos de datos creados por proyectos científicos del Departamento de Energía de EE. UU. (DOE). Los equipos de seguridad pueden usar los datos de Zeek para investigar posibles ataques y comprender lo que sucede en la red, tanto en tiempo real como posteriormente.
Ahora buscando fortalecer sus propios sistemas de seguridad con una herramienta robusta y dinámica, Microsoft está adaptando Zeek directamente en un producto de seguridad de punto final que se incluye con todas las versiones de Windows. Y eso representa un cambio de paradigma. Zeek tiene un historial comprobado de monitoreo de redes, pero las estaciones de trabajo de los clientes individuales, o puntos finales, son igualmente susceptibles a la actividad maliciosa. “El equipo de Zeek se dio cuenta de que los profesionales de ciberseguridad necesitaban monitorear no solo la red, sino también las computadoras individuales”, explica Krous. “Si tiene una versión de Zeek que monitorea el interior de la computadora y una versión de Zeek que monitorea la red, eso permite un monitoreo más efectivo de la actividad maliciosa”.
Paxson dice: “Es sorprendente que esta herramienta, que durante la mayor parte de su historia se ha asociado fuertemente con la comprensión del tráfico de red, ahora sea una herramienta de punto final. La integración de Microsoft extiende las capacidades de monitoreo de Zeek a una gran cantidad de puntos finales que no están en la red corporativa. Además, Microsoft está trayendo optimizaciones a Zeek, necesarias para que el software se ejecute de manera efectiva en Windows, a la comunidad de código abierto. “Zeek fue increíble hace 25 años y sigue siendo increíble hoy. Es bueno ver que Microsoft reconoce el valor del enfoque que Paxson ha creado con Zeek”, dice Krous.
Orígenes del Laboratorio Zeek de Berkeley
El entorno de investigación no clasificado de Berkeley Lab proporcionó un entorno único para que Zeek operara. La red abierta y de alto rendimiento de The Lab proporcionó visibilidad de los ataques. Y debido a la cartera científica diversa del laboratorio, el tráfico de red de todo el mundo ingresa a la red del laboratorio, donde puede registrarse. Cuando se descubrió que registrar el tráfico de Internet con fines de investigación ayudaba a comprender los ataques en el laboratorio, Paxson se sintió inspirado. Luego desarrolló un sistema diseñado a la medida para analizar la actividad de la red para buscar comportamientos maliciosos y producir un registro detallado para uso futuro.
En 1996, poco después de que Paxson desarrollara el software, Berkeley Lab lo puso en producción las 24 horas del día, los 7 días de la semana para uso de seguridad interna. Pero un despliegue a gran escala seguía siendo difícil. Debido a que fue desarrollado por y para usuarios expertos, Zeek no tenía una interfaz fácil de usar ni documentación en ese momento. Con el apoyo del Instituto Internacional de Ciencias de la Computación (ICSI), el DOE y la Fundación Nacional de Ciencias, Paxson y sus colaboradores comenzaron a desarrollar la herramienta para un uso más amplio. Divulgaron el software a la Oficina de Propiedad Intelectual de Berkeley Lab en 2005, después de lo cual el software con derechos de autor generalmente se lanzó bajo una licencia de software de código abierto. En 2013, ICSI brindó apoyo al equipo para fundar la empresa que eventualmente se convirtió en Corelight, Inc. rendimiento y usabilidad. Ha despegado como un cohete desde entonces”, dice Paxson.
La adopción de puntos finales por parte de Microsoft marca una nueva forma de abordar los problemas de ciberseguridad asociados con una red global de clientes. Bell concluye: “Zeek ha tenido un viaje increíble a lo largo de los años. Fue creado por un estudiante graduado que trabajaba en el edificio 46A. A lo largo de los años, este software, y la perspectiva de seguridad centrada en los datos que representa, se ha convertido en un punto de referencia mundial. Es el viaje de un héroe improbable y un tremendo ejemplo del amplio impacto cultural de la ciencia del DOE.
# # #
Fundada en 1931 con la creencia de que los equipos se enfrentan mejor a los mayores desafíos científicos, Laboratorio Nacional Lawrence Berkeley y sus científicos han sido galardonados con 16 premios Nobel. En la actualidad, los investigadores de Berkeley Lab están desarrollando soluciones medioambientales y de energía sostenible, creando nuevos materiales útiles, ampliando los límites de la informática y explorando los misterios de la vida, la materia y el universo. Científicos de todo el mundo confían en las instalaciones del laboratorio para sus propios descubrimientos científicos. Berkeley Lab es un laboratorio nacional de programas múltiples, operado por la Universidad de California para la Oficina de Ciencias del Departamento de Energía de EE. UU.
La Oficina de Ciencias del DOE es el mayor partidario de la investigación en ciencias físicas básicas en los Estados Unidos y trabaja para abordar algunos de los desafíos más apremiantes de nuestro tiempo. Para mayor información por favor visite energía.gov/ciencia.
“Adicto a la televisión total. Experto en viajes. Gurú de Twitter. Evangelista de tocino. Creador galardonado. Aficionado al alcohol. Fanático de la música. Solucionador de problemas”.