“Implementación de una Herramienta SIM en la Red de la Universidad Técnica Particular de Loja”

Agenda ◄Problemática ◄SIM ◄SIM Software ◄OSSIM ◄Valoración de Riesgos ◄Correlación ◄Situación Actual ◄Implementación

Problemática ◄Gestión de Seguridad: Personas, procesos y tecnologías ◄Mecanismos y herramientas usadas por los administradores oNumerosas herramientas de seguridad: monitores de tráficos, escáner de vulnerabilidades, detectores de anomalías, IDS/IPS, Firewall, antivirus, etc. oDiversos entornos, plataformas y formatos oSaturación de eventos y falsas alarmas emitidas oDificultan tener una imagen clara de la seguridad de una Red

Security Information Management (SIM) (1/4) ◄Recoger, ordenar y correlacionar la información sobre el estado de la red, comportamiento sistemas, información de equipos, etc. ◄Automatiza la colección de eventos de sistemas y dispositivos de seguridad ◄Centralización, correlación y priorización de eventos oEstandariza eventos dando una visión clara de lo que ocurre en la red oReducción de tiempo en la detección de ataques y vulnerabilidades de la red oMinimiza cantidad de información a procesar

SIM (2/4) ◄Funcionalidad oAdministración de la infraestructura de red y de los activos de la organización oConfiguración centralizada y monitoreo de los componentes de la infraestructura de seguridad oAnálisis de la información reportada por los componentes de seguridad oPredicción y pronóstico de amenazas oColección y correlación de eventos

SIM (3/4) ◄Funcionalidad oDetecta, identifica y reporta eventos de seguridad oPermite el análisis forense de los eventos oPermite administrar y establecer políticas de seguridad oMonitoreo de ataques y respuestas en tiempo real oPlanificación de seguridad

SIM (4/4) Arquitectura

SIM Software ◄Comercial oArcSight ESM oCisco Works SIM oCisco MARS ◄Open Source oOSSIM

Open Source Security Information Management (OSSIM) (1/3) Ofrece un marco para centralizar, organizar y mejorar la capacidad de detección y visibilidad en el monitoreo de eventos de seguridad de la organización (

OSSIM (2/3) Componentes

OSSIM (3/3) Herramientas

Valoración de Riesgos CALM (Monitor del Nivel de Compromiso y Ataque) es Algoritmo de Valoración por Acumulación de Eventos. ◄Nivel de Compromiso: posibilidad de que una máquina se encuentre generando algún ataque o anomalía ◄Nivel de Ataque: posible riesgo debido a los ataques recibidos Risk = Metric/Threshold (Nivel A o C) Nivel de Riesgo:

Correlación ◄Algoritmo que mediante una operación de eventos de entrada (herramientas de seguridad) generan información de mayor valor, disminuyendo el número de falsos positivos y alertas, facilitando el análisis. ◄Suplen la sensibilidad, fiabilidad y visibilidad limitada de los detectores, monitores y escaners ◄ La correlación puede ser: oLógica: correlación de eventos oCruzada: correlación de eventos y vulnerabilidades oInventario: correlación de eventos, sistemas operativos y servicios

Análisis Situación Actual (1/3) ◄Políticas de seguridad ◄Esquema de Seguridad

◄Priorización de los Servicios oTipos de datos oMagnitud oImpacto financiero oImpacto a usuarios Análisis Situación Actual (2/3) ◄Análisis de tráfico

◄Las herramientas de seguridad con las que cuenta no son suficientes para tener un control total debido a la amplitud de la red y diversidad de servicios ◄Cuando se produce un incidente de seguridad, no se cuenta con información suficiente para determinar cómo, cuándo, de dónde y quién provocó dicho incidente. ◄No se posee información clasificada de los eventos detectados por los IDS´s. ◄No existe un método formal utilizado para detectar las vulnerabilidades que tienen los equipos. Análisis Situación Actual (3/3)

Implementación (1/2) Arquitectura de Monitoreo

Implementación (2/2) Inventario de Activos Inventario de Redes

Resultados (1/2)

Resultados (2/2) Después de la implementación de OSSIM OSSIM cuenta con varias herramientas de seguridad, que permite tener una mejor gestión de seguridad. Con los eventos almacenados por las distintas herramientas, se puede realizar un análisis forense de algún incidente de seguridad ocurrido. Teniendo evidencia de quién lo hizo, cómo, cuándo y de dónde se lo realizó. OSSIM centraliza, clasifica y prioriza los distintos eventos emitidos por las herramientas. Ayudando a realizar de forma ágil la administración de los eventos para la toma de decisiones. OSSIM cuenta con una herramienta llamada Nessus, que se encarga de escanear las vulnerabilidades, y así determinar un reporte del estado de riesgo del equipo.

Referencias [ 1] Corletti Estrada, Alejandro, “Auditoria, Evaluación, Test de Seguridad → metodología abierta ¿OSSTMM…? [2] OSSIM. OSSIM – Descripción. [En línea a 20 de junio de 2007]. [3] Asensio, Gonzalo, “Gestión de la Seguridad con OSSIM”. [5] Cisco. “Introducing Cisco Intrusion Detection System, Configuration and Operations Guide Version 2.2.2”. [6] Demuth, Thomas and Leitner, Achim, “Arp Spoofing and poisoning TRAFFIC TRICKS”.

Gracias por su atención María Paula Espinosa: Julia Pineda: Marco Sinche: