martes, 10 de noviembre de 2009

Control Total con OSSIM

En ocasiones, frente a la necesidad de ver o saber que pasa ante algún evento determinado y sobre todo cuando algo no esta funcionando normalmente, ocurre que no podemos determinar donde está el problema, hasta que en el mejor de los casos desaparece solo.

Planteando el tema de esta manera podemos decir que no tenemos suficiente visibilidad de la red.

El crecimiento de las redes y en conjunto de las tecnologías de firewall, IPSs, endpoint security, proxys entre otras, trajo la complejidad de su gestión sumada a la del tratamiento de logs sin olvidarse del aumento de las amenazas.

Hoy día contamos con muchas herramientas de gestión que facilitan nuestra tarea, pero encontrar una herramienta que pueda aportar la información necesaria para resolver la carencia de visibilidad no es tarea fácil.

No importa cuan bueno sea un dispositivo individual, si no es gestionado y sus eventos correlacionados con otros, cada dispositivo puede ser evadido de forma individual, y la capacidad de seguridad total de un sistema no superará el eslabón más débil.

Hasta el momento la solución parece venir de la mano de los sistemas de manejo de información y eventos (SIEM) por sus siglas en ingles, concentradores de logs para el posterior proceso y la correlación de los mismos.

La razón más convincente para buscar una herramienta de SIEM desde el punto de vista operativo es reducir el número eventos de seguridad en un día determinado a una lista manejable, que permita acciones concretas, y para automatizar el análisis de tal manera que tanto ataques reales como intrusos puedan ser identificados rápidamente.

No importa lo bueno que sea un ingeniero de seguridad, no podrá manejar miles de eventos por día el solo.

Pero aún así, nos siguen faltando elementos para llegar a tener real visibilidad de la red, no nos alcanza con tomar logs y correlacionarlos. Debemos ser proactivos y no reactivos, a pesar de funcionar en tiempo real, debemos adelantarnos al los posibles acontecimientos.

Hace ya algún tiempo venimos investigando diferentes tecnologías, y encontramos como resultando que sin dudas la respuesta a la problemática planteada esta dada en plataformas de SIEM tales como OSSIM: http://www.alienvault.com/

OSSIM nos permitirá

  • Identificar nuestros equipos en los distintos segmentos de red y
  • Definirlos como activos para darles un valor desde el punto de vista del riesgo de compromiso ante ataques.
  • Poder determinar niveles de seguridad
  • Tomar log de múltiples plataformas y correlacionarlos
  • Permitiendo reducir falsos positivos.
  • Guardar dichos log en su formato original y en un formato común
  • Definir perfiles de host.
  • Estadísticas de uso de red.
  • Inventariado de dispositivos.
  • Determinar el estado de nuestra red desde su disponibilidad
  • Actuar como IPSs a nivel de red y de hosts
  • Scanner de vulnerabilidades, que nos permitirá comparar el estado de nuestros activos, aportando al información necesaria para actuar en forma proactiva, y compararlos con lo detectado por los IPSs, permitiendo saber si somos o no susceptibles de ser vulnerados.
  • Gestionar tickets
  • Realizar reportes
En síntesis una suit de herramientas trabajando en conjunto para mostrarnos que fue lo qué paso, qué esté pasando, y que podría pasar si no tomamos medidas preventivas.

Ing. Carlos Liteplo
Director de Ingeniería

1 comentario:

Pendragon dijo...

Hola, quería saber cuales son los requisitos para tomar el combat training, y mas informacion sobre estos. Gracias