Embed Size (px)
Citation preview
IMPLEMENTACION DE UN GESTOR DE SEGURIDAD DE LA INFORMACION Y
GESTION DE EVENTOS (SIEM)
JUAN DAVID PEDROZA ARANGO
UNIVERSIDAD DE SAN BUENAVENTURA MEDELLÍN
FACULTAD DE INGENIERÍAS
ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA
MEDELLÍN
2016
IMPLEMENTACION DE UN GESTOR DE SEGURIDAD DE LA INFORMACION Y
GESTION DE EVENTOS (SIEM)
JUAN DAVID PEDROZA ARANGO
Trabajo de grado presentado para optar al título de Especialista en Seguridad Informática
Asesor: Oscar Darío Marin Rivera, Especialista (Esp) en Seguridad Informática.
UNIVERSIDAD DE SAN BUENAVENTURA MEDELLÍN
FACULTAD DE INGENIERÍAS
ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA
MEDELLÍN
2016
Agradecimientos
Para la realización de este proyecto de grado agradezco al señor Oscar Darío Marin, el
cual fue mi asesor de grado por el conocimiento y experiencia aportados en la realización y
revisión de este trabajo. Agradecimientos también para el señor Diego Alejandro Soto,
coordinador de información y referencia de la biblioteca fray Arturo Calle de la Universidad San
Buenaventura sede Medellin, así mismo agradezco a la gerencia de TI de la compañía donde
laboro por permitirme desarrollar este proyecto con los activos de información de la compañía.
Tabla de contenido
Resumen ........................................................................................................................................ 8
1. Justificación ............................................................................................................................... 9
2. Planteamiento del Problema .................................................................................................... 10
3. Objetivos ................................................................................................................................. 13
3.1. Objetivo General .............................................................................................................. 13
3.2. Objetivos Específicos ....................................................................................................... 14
4. Marco referencial .................................................................................................................... 15
4.1 Marco teórico .................................................................................................................... 15
4.1.1 Capacidades de un SIEM ............................................................................................ 16
4.1.2. Beneficios de un SIEM .............................................................................................. 19
4.1.3 Razones para utilizar un SIEM ................................................................................... 21
4.1.4 SIEM y administración de logs ................................................................................... 22
4.1.5 Características de un administrador de logs ............................................................... 22
4.1.6 Comparativo entre SIEM vs Sistema de administración de log (Log Managment) ... 24
4.1.7 Casos de uso de SIEM y administración de logs ........................................................ 25
4.1.8 Requerimientos de cumplimiento para los logs en SIEM y en sistemas de
administración de logs ......................................................................................................... 25
4.1.9 Diseñando la solución de Administración de logs y SIEM ........................................ 27
4.1.9.1 Escudo SIEM ...................................................................................................... 27
4.1.9.2 Administración de logs como inicio ................................................................... 28
4.1.9.3 Escenario emergente ........................................................................................... 28
4.1.9.4 SIEM como inicio ............................................................................................... 29
4.1.10 Importancia de un SIEM para la seguridad informática ........................................... 30
4.1.10.1 Taxonomía de un ataque ................................................................................... 30
4.1.11 Controles críticos y la relación con un SIEM ........................................................... 34
4.1.12 Vision general de OSSIM ......................................................................................... 36
4.1.12.1 Concepto ........................................................................................................... 36
4.1.12.2 Arquitectura de OSSIM ..................................................................................... 37
4.1.12.3 Software open source en la arquitectura de OSSIM ......................................... 39
4.1.12.4 Funcionalidad de OSSIM .................................................................................. 41
4.2 Marco contextual ............................................................................................................... 47
5. Diseño metodológico preliminar ............................................................................................. 48
5.1 Fases para implementación de SIEM ........................................................................... 49
5.1.1 Definición del alcance del SIEM ................................................................................ 49
5.1.2 Definición de requerimientos ...................................................................................... 49
5.1.3 Identificación de activos que participaran en el piloto ............................................... 50
5.1.4 Sincronización de relojes de tiempo ........................................................................... 51
5.1.5 Definición de política de administración de logs ........................................................ 52
5.1.6 Configuración de previas ( port mirroring en switch) ................................................ 52
5.1.7 Despliegue de OSSIM ................................................................................................ 54
5.1.8 Configuración de OSSIM ........................................................................................... 59
5.1.9 Configuración de Suricata IDS ................................................................................... 60
5.1.10 Realizar evaluación de vulnerabilidades ................................................................... 61
5.1.11 Instalación y configuración de OSSEC en servidor Linux y Windows Server ........ 62
5.1.12 Revisión y monitoreo de eventos .............................................................................. 63
5.1.13 Evaluación de la implementación ............................................................................. 64
5.1.14 Cierre y aceptación ................................................................................................... 64
6. Cronograma fase 1 .................................................................................................................. 65
Cronograma Fase 2 ................................................................................................................. 66
7. Conclusiones ........................................................................................................................... 67
8. Referencias .............................................................................................................................. 68
Glosario ....................................................................................................................................... 69
Lista de tablas
Tabla 1. Comparativo SIEM vs Log managment ........................................................................ 24
Tabla 2. Controles críticos y relación con un SIEM ................................................................... 34
Lista de graficas
Gráfica 1. Administrador de logs en frente del SIEM"Escudo SIEM" ....................................... 27
Gráfica 2. Administración de logs como inicio ......................................................................... 28
Gráfica 3. Escenario emergente .................................................................................................. 29
Gráfica 4. SIEM como inicio ...................................................................................................... 29
Gráfica 5. Taxonomía de un ataque informático sin un SIEM ................................................... 30
Gráfica 6. Taxonomía de un ataque informático con un SIEM .................................................. 32
Gráfica 7. Arquitectura de OSSIM .............................................................................................. 37
Gráfica 8. Funciones del componente" Servidor" en OSSIM ..................................................... 38
Gráfica 9. Funciones del Framework .......................................................................................... 38
Gráfica 10. Función de la base de datos en un SIEM ................................................................ 39
Gráfica 11. Funcionalidades de OSSIM ...................................................................................... 41
Gráfica 12. Configuración port mirroring - paso 1 ..................................................................... 53
Gráfica 13. Configuración port mirroring - paso 2. .................................................................... 53
Gráfica 14. Configuración port mirroring - paso 3. .................................................................... 54
Gráfica 15. Instalación de OSSIM .............................................................................................. 55
Gráfica 16. Instalación OSSIM - ubicación ................................................................................ 55
Gráfica 17. Instalación OSSIM - juego de caracteres. ................................................................ 56
Gráfica 18. Instalación OSSIM - tipo de teclado. ....................................................................... 57
Gráfica 19. Instalación OSSIM - configuración de red. .............................................................. 57
Gráfica 20. Instalación OSSIM – contraseñas. ........................................................................... 58
Gráfica 21. Instalación OSSIM - configuración reloj. ................................................................ 58
Gráfica 22. Instalación OSSIM - Configuración de Alienvault. ................................................ 59
Gráfica 23. Instalación OSSIM - creación cuenta admin. ........................................................... 60
Gráfica 24. Instalación OSSIM - configuración plugins. ............................................................ 61
Gráfica 25. Configuración OSSIM - descubrimiento de red. ...................................................... 61
8
Resumen
Este trabajo identifica la aplicación y funciones de un gestor de seguridad de la
información y gestor de eventos (SIEM) en un ámbito empresarial, evaluando aspectos tales como
los beneficios, componentes, capacidades y características de esté, asi mismo describe los
aspectos para diseñar dicha solución y explora la taxonomía de un ataque informático y el papel
del SIEM para la prevención e identificación de amenazas en la red.
Palabras clave: Investigación, siem, gestor, eventos, seguridad, información, incidentes,
amenazas.
Abstract
The abstract identifies the essence of the text, briefly identifying the purpose and
methodology, as well as the results and conclusions (extension 100-250 words).
This project identify application and features of a security information and event
management products (SIEM) in a business environment, reviewing aspect such as benefits,
components, capabilities and features. It also describes aspects to design a siem solution, explore
taxonomy of a cyberattacks, the role of siem solutions for prevention and identification of network
threats.
Keywords: Investigation, siem, management, events, security, information, incidents, threats,
cyberattack.
9
1. Justificación
En la seguridad informática una de las actividades de vital importancia es la revisión y
entendimiento de los registros de sucesos que proporcionan las aplicaciones, la infraestructura
tecnológica y los servicios de T.I.
Analizar estos registros en ocasiones llega a ser una labor que demanda mucho tiempo por parte
de los encargados de la seguridad de la información y en ocasiones no llega a ser valiosa para
entender de forma global y detallada los sucesos.
Es cuando se necesita de una herramienta capaz de recolectar estos logs y correlacionarlos para
entender detalladamente los sucesos y clasificar cuales pueden ser potenciales amenazas, así
como brindar una herramienta para análisis en tiempo real de alertas de seguridad que se generen
en los elementos de red y aplicaciones.
Las capacidades o características que ofrece un SIEM son recolección, análisis, presentación de
información tomada de dispositivos de seguridad y de red, almacena en bases de datos
normalizadas para facilitar la búsqueda, aplicaciones para el manejo de identidades y acceso,
herramientas para análisis de vulnerabilidades, monitoreo de dispositivos de red y servidores y
gestión de respuesta a incidentes.
10
2. Planteamiento del Problema
La compañía donde se encuentra implementado el SIEM es la Agencia de Aduanas Mario
Londoño, una compañía dedicada al comercio exterior y logística internacional con más de 75
años de experiencia en el mercado, esta cuenta con 12 oficinas a nivel nacional
Existe una cantidad de equipos de infraestructura tecnológica para soportar y apoyar la operación
del negocio, donde hay equipos de misión crítica tales como servidores para virtualización,
servidores de aplicaciones, motores de bases de datos, servidores de Backup de equipos, entre
otros. También se tiene servidores físicos dedicados a funciones de controlador de dominio y
dispositivos de seguridad informática tipo appliance tales como UTM con características de
filtrado web, firewall, IDS y WIDS.
Para el administrador de la infraestructura es importante monitorear constantemente los eventos
de los servidores y equipos de comunicación para conocer los sucesos que se registran en las
bitácoras de los sistemas operativos y servidores con el fin de validar eventos de aplicaciones,
acceso a los servidores, disponibilidad y detección de intrusos.
La compañía cuenta con una estrategia para la gestión de riesgos de TI la cual proporciona una
matriz de riesgos en la cual se ha trabajado para controlarlos y mitigarlos, evitando que se
materialicen amenazas.
Así mismo se cuenta con una política de seguridad de la información en cumplimiento de la
norma BASC (Business Alliance for Secure Commerce) la cual es una alianza empresarial
internacional que promueve el comercio seguro en cooperación con gobiernos y organismos
internacionales, constituida como una organización sin ánimo de lucro, con la denominación
WORLD BASC ORGANIZATION, bajo las leyes del estado de Delaware, Estados Unidos.
11
Con la ley 1273 de 2009 “ Ley de delitos informáticos” la cual modifica el código penal
colombiano y crea un nuevo bien jurídico tutelado, denominado “De la Protección de la
información y de los datos” y se preservan integralmente los sistemas que utilicen las tecnologías
de la información y las comunicaciones”, es necesario garantizar la protección de la información
y realizar una correcta administración de los incidentes para en caso de ser necesario obtener la
evidencia suficiente y concreta para abrir procesos penales, dicha ley decreta artículos
importantes que se deben considerar tales como:
- ACCESO ABUSIVO A UN SISTEMA INFORMÁTICO. El que, sin autorización o por fuera
de lo acordado, acceda en todo o en parte a un sistema informático
- INTERCEPTACIÓN DE DATOS INFORMÁTICOS. El que, sin orden judicial previa
intercepte datos informáticos en su origen, destino o en el interior de un sistema informático.
- DAÑO INFORMÁTICO. El que, sin estar facultado para ello, destruya, dañe, borre, deteriore,
altere o suprima datos informáticos.
- USO DE SOFTWARE MALICIOSO. El que, sin estar facultado para ello, produzca, trafique,
adquiera, distribuya, venda, envíe, introduzca o extraiga del territorio nacional software malicioso
u otros programas de computación de efectos dañinos.
- VIOLACIÓN DE DATOS PERSONALES. El que, sin estar facultado para ello, con provecho
propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda, intercambie, envíe, compre,
intercepte, divulgue, modifique o emplee códigos personales, datos personales contenidos en
ficheros, archivos, bases de datos o medios semejantes
- HURTO POR MEDIOS INFORMÁTICOS Y SEMEJANTES. El que, superando medidas de
seguridad informáticas, realice la conducta señalada en el artículo 239 manipulando un sistema
informático, una red de sistema electrónico, telemático u otro medio semejante.
12
- TRANSFERENCIA NO CONSENTIDA DE ACTIVOS. El que, con ánimo de lucro y
valiéndose de alguna manipulación informática o artificio semejante, consiga la transferencia no
consentida de cualquier activo en perjuicio de un tercero.
Dichos artículos descritos conforman los aspectos legales que se consideran que este proyecto
apoya y busca salvaguardar, ya que se trata de una herramienta para la gestión de eventos de
seguridad de la información, cuya información que OSSIM almacena puede servir como material
probatorio en caso de inicial un proceso penal por una violación a los artículos mencionados.
En la compañía han pasado eventos de seguridad que comprometieron la disponibilidad de
algunos servicios, debido a esto es la finalidad de este proyecto de grado, porque se ha
identificado la necesidad de un sistema de gestión de eventos de seguridad cuya finalidad será
una identificación oportuna de amenazas, minimizando futuros incidentes que afecten la
operación del negocio.
13
3. Objetivos
3.1. Objetivo General
Implementar, administrar y evaluar un sistema de administración de la seguridad de la
información y gestor de eventos en la compañía con el fin de identificar, analizar, tratar, escalar,
recolectar comunicar, administrar y controlar todo tipo de activos de información que sea
susceptible de amenazas de seguridad y que puedan convertirse en un evento de seguridad y que
logre alterar cualquiera de los tres principios de la seguridad de la información; Confidencialidad,
integridad y disponibilidad, así como tener una trazabilidad de cualquier evento de seguridad con
el fin de aplicar acciones correctivas y dar cumplimiento a la norma BASC que se basa en la
Norma ISO27001 en cuanto a la gestión de incidentes de seguridad de la información, utilizando
un sistema de gestión de seguridad de la información y eventos (SIEM), el cual ayudara para una
mejor administración y notificación de eventos de seguridad de la información.
14
3.2. Objetivos Específicos
Operar OSSIM como sistema de administración de seguridad de la información y gestión
de eventos.
Identificar el número de amenazas a las que se expone diariamente los activos de
información de la compañía con el fin de generar planes de acción para mitigarlas.
Consolidar el tiempo de disponibilidad e indisponibilidad de los activos de información
con el fin de evaluar los acuerdos de niveles de servicio de la compañía.
Generar reportes y métricas en relación al número de incidentes y la gravedad de estos.
Elaborar un análisis de vulnerabilidades de los servidores de la compañía para controlar y
mitigar el riesgo que presentan estos a la seguridad informática de la empresa.
Recolectar cifras para proponer un comité de respuesta de incidentes de seguridad.
Nota: la métrica e indicadores para estos objetivos se tiene contemplado desarrollar durante la
fase de implementación y evaluación final del proyecto (Fase 2), estos indicadores buscan medir
la efectividad de la solución.
15
4. Marco referencial
4.1 Marco teórico
En los últimos años, los dispositivos de seguimiento y control a cargo de la supervisión de los
procesos críticos de infraestructuras de tecnologías de la información, han sido víctimas de
ataques cibernéticos. Para hacer frente a tal amenaza, las organizaciones que prestan servicios
críticos se están centrando cada vez más en la protección de sus infraestructuras de red. Los
gestores de la seguridad de la Información y gestión de Eventos (SIEM) ayudan a la protección
de la red mediante la realización de correlación centralizada de informes de activos de red que se
obtienen de los sistemas de prevención y detección de intrusos, sistemas de antivirus, sistemas de
administración unificada de amenazas (UTMs) entre otros.
Hoy en día los ataques a organizaciones son cada vez más sofisticados y disuasivos a la detección
por parte de dispositivos IDS/IPS convencionales. Los indicios de posibles actividades maliciosas
pueden ser difíciles de detectar y pueden llegar a pasar desapercibidas. Se hace necesario por
tanto revisar y correlacionar los eventos de varios dispositivos de red para encadenar y entender
una serie de sucesos que nos lleven a la posibilidad real de detectar una posible intrusión en
nuestros sistemas.
Aquí es donde entra en juego una solución SIEM, está nos ayuda a detectar y tener trazabilidad
de posibles ataques y no perdernos entre los innumerables logs y alertas de nuestros sistemas.
Las soluciones SIEM son una combinación de las categorías de productos formalmente dispares
SIM (security information management) and SEM (security event manager). La tecnología SIEM
proporciona un análisis en tiempo real de las alertas de seguridad generadas por el hardware y
16
software de red. Las soluciones SIEM pueden presentarse como software, appliance ó como
servicio y también son utilizados para almacenar datos de seguridad y generar reportes para fines
de complimiento.
Las siglas SEM, SIM y SIEM se han utilizado indistintamente, aunque hay diferencias en el
significado y las capacidades del producto. El segmento de gestión de la seguridad que se ocupa
del monitoreo en tiempo real, correlación de eventos, notificaciones y vistas de la consola que
comúnmente se conoce como Gestión de Eventos de Seguridad (SEM). La segunda área ofrece
almacenamiento a largo plazo, el análisis y la comunicación de los datos de registro, y se conoce
como Gestión de Seguridad de la Información (SIM).
El término Información de Seguridad y Gestión de Eventos (SIEM), acuñado por Mark Nicolett
y Amrit Williams, de Gartner, en 2005, describe las capacidades de los productos de recopilación,
análisis y presentación de información de la red y los dispositivos de seguridad, las aplicaciones
de gestión de identidades y accesos, gestión de vulnerabilidades y los instrumentos de política de
cumplimiento, sistema operativo, base de datos y registros de aplicaciones. Un punto clave es
monitorear y ayudar a controlar los privilegios de usuario y de servicio, servicios de AD y otros
cambios de configuración del sistema, así como el abastecimiento de auditoría de registro,
revisión, y respuesta a incidentes. (Amrit, 2007)
4.1.1 Capacidades de un SIEM
Colección de datos - En un caso de uso típico, una solución SIEM debe ser capaz de tocar
cualquier número de diferentes sistemas:
firewalls, servidores proxy, bases de datos, detección y prevención de intrusiones, sistemas
operativos (OSS), enrutadores, switch, sistemas de control de acceso, etc. Algunos de estos
pueden compartir funciones de registro y alertas similares, pero con frecuencia, hay una variación
17
significativa en el formato, el protocolo y la información proporcionada. La recolección de datos
ocurre en un número de maneras, a menudo depende de la solución y el sistema final.
Algunos sistemas pueden ser capaces de conectarse directamente con el SIEM, utilizando un
protocolo estándar, mientras que otros pueden utilizar un protocolo o una API, que requiere que
la solución SIEM entienda el protocolo / API o que se añada una aplicación de tercero, otros
sistemas finales simplemente escriben un archivo de registro de texto plano que el SIEM o un
agente recuperará periódicamente.
La solución SIEM que se encuentra implementada en la empresa tiene la capacidad de recolectar
logs de diferentes sistemas por medio de agentes y utilizando protocolos de transporte como
SYSLOG, dichos logs se almacenaran en una base de datos normalizada en el servidor SIEM.
Agregación de datos: Una vez que la solución SIEM recoge la información de sus diversas
fuentes, esta combina los datos en un solo almacén de datos, facilitando la correlación junto con
otras funciones de SEM, las funciones forenses y de presentación de informes de SIM. La
agregación puede parecer sencilla, pero presenta una serie de retos y consideraciones, la
arquitectura debe ser considerada también, dependiendo del tamaño y la huella física de una
empresa, la cantidad de datos que se recoge, y la infraestructura de TI, la acumulación puede
hacerse de forma centralizada o en sistemas distribuidos.
Basado en lo anterior para el MARIO LONDOÑO se agregarán datos de acuerdo al alcance
definido y la acumulación de estos se realizará de forma centralizada en el mismo sistema SIEM.
Normalización de datos: La normalización es el proceso de resolución de diferentes
representaciones de los mismos tipos de datos en un formato similar, en una base de datos común.
Las soluciones SIEM extraen información de un gran número de dispositivos y mientras estos
dispositivos suelen recopilar la misma información (por ejemplo, la fuente y la dirección de red
de destino, tipo de protocolo, el tiempo, fecha) esto es reportado a menudo en diferentes formatos.
El proceso de normalización extrae información común y la expresa en un formato coherente, lo
que permite una comparación directa de diferentes eventos. Por ejemplo, una vez normalizado,
un evento registrado de un UTM Sophos, el cual es el que se maneja en MARIO LONDOÑO,
18
tendrá el mismo aspecto como uno de un firewall de Check Point ® y cualquier información
propietaria se habrá desechado.
Correlación de eventos: Correlación de eventos es la función de vincular múltiples eventos de
seguridad o alertas, por lo general dentro de un mismo tiempo y a través de múltiples sistemas,
para identificar la actividad anómala que no sería evidente en un evento individual. Para lograr
esto, la solución SIEM debe tener reglas que le indica al motor de correlación sobre los tipos de
eventos que debe tratar de correlacionar y las condiciones que justifican una alerta.
La mayoría de las soluciones han preestablecido los conjuntos de normas, pero con frecuencia se
requiere el ajuste de estas normas preexistentes, como es la creación de reglas personalizadas
adaptadas al entorno.
En el caso de la solución SIEM para MARIO LONDOÑO esta tiene la funcionalidad de
correlación de eventos ya que esto es vital para asociar los diferentes eventos que suceden e
identificar las situaciones fuera de lo normal que puedan comprometer la seguridad de la
compañía.
Alertas: el análisis automatizado de eventos correlacionados y la producción de alertas, para
notificar a los destinatarios de los problemas inmediatamente. Una alerta puede ser un tablero de
instrumentos, o enviarse a través de canales de terceros, tales como el correo electrónico.
Esta Funcionalidad está disponible con la solución, ya que es importante para la rápida atención
frente a eventos de seguridad.
Reportes: La función de informes es a menudo el foco central del cumplimiento (compliance).
Es fundamental para el SIEM para que los procesos de definición, la generación y exportación de
informes que sea tan versátil y fácil de usar como sea posible.
Los informes personalizados y plantillas de informes serán soportados por la solución
implementada, permitiendo diferentes tipos de reportes según la política de cumplimiento.
19
Forense: La capacidad de buscar datos de registro y alertas para los indicadores de las actividades
maliciosas o de otras actividades anómala es la función forense del SIEM. La función forense que
es apoyada por los procesos de correlación de eventos y de normalización, requiere capacidades
de consulta altamente personalizables y detalladas y acceso a los archivos de registro bruto u
originales y datos históricos. Trabajando en conjunto, estas tecnologías pueden mejorar en gran
medida las capacidades de investigación de los analistas de seguridad, así como la recopilación
de datos, tecnologías de agregación y correlación, mejoran su capacidad para detectar y responder
a eventos en tiempo real.
Consola de administración central: Aunque no es una capacidad específica o tecnología, una
consola de administración central o tablero de mando es uno de los componentes más críticos de
una solución SIEM.
Es la interfaz principal para monitorear en tiempo real eventos y para realizar análisis, generación
de informes y la manipulación de los datos de registro almacenados. (Dimitriadis, Chamurovski,
Kaitano, & Vael, 2010, págs. 5-6)
4.1.2. Beneficios de un SIEM
Los beneficios de negocio derivados de la propia implementación de la solución SIEM para
MARIO LONDOÑO incluyen:
Mayor valor de la inversión en seguridad de la tecnología-SIEM permite un uso más eficaz
del registro de seguridad e información de eventos, lo que permite al equipo de seguridad
darse cuenta de todo el potencial de los sistemas de seguridad.
Reportes eficientes: Desarrollo y entrega de informes completos y eficientes a la gerencia
de TI, esto puede ser casi un trabajo a tiempo completo para un administrador de
seguridad. Mediante el soporte a una amplia gama de sistemas y facilitar la mayor parte
del proceso de recopilación y notificación de registro a través de herramientas
20
automatizadas y plantillas de informes, una solución SIEM, puede reducir una tarea que
antes llevaba días a una cuestión de horas, liberando al administrador de seguridad para
centrarse mejor en prioridades y responsabilidades.
Reducción de capital y costos operacionales: Herramientas convergentes tales como SEM,
SIM, sistemas de análisis y administración de logs y sistemas de monitoreo de actividad
en bases de datos, todo en una misma solución, permitiendo a la compañía ahorrar en
tiempo y dinero. Los costos de compra y mantenimiento asociados con muchos sistemas
de monitoreo y análisis pueden ser reducidos teniendo una única solución SIEM.
Reducción del riesgo de incumplimiento de los sistemas - SIEM proporcionara a la
empresa informes detallados. Durante una auditoría o investigación, la empresa tendrá la
información necesaria para demostrar el cumplimiento o la debida diligencia.
Amplio apoyo de la organización para obtener información - Un sistema de seguridad
SIEM eficaz implica una amplia base de actores que deben trabajar juntos, con frecuencia
en equipos multi-funcionales, para evaluar los eventos, crear informes y tomar acciones
para abordar los incidentes señalados por el sistema SIEM. Estas actividades pueden
ayudar a derribar los silos organizacionales y crear una cultura más amplia y más
coherente de la seguridad y la gestión global de riesgos.
Detección temprana de incidentes de seguridad - una adecuada solución SIEM
proporciona a los analistas de seguridad con un conjunto de herramientas que pueden
mejorar en gran medida su eficacia. Un equipo de seguridad más eficaz tiene una mayor
probabilidad de interceptar y abordar los eventos de seguridad en sus primeras etapas
antes de que puedan afectar significativamente a la empresa. (Dimitriadis, Chamurovski,
Kaitano, & Vael, 2010, pág. 7)
21
4.1.3 Razones para utilizar un SIEM
En una estrategia de defensa en profundidad, las mejores prácticas de la industria utilizan varios
dispositivos (Firewalls, IDS, AV, AAA, VPN, LDAP/NDS/NIS/X.509, logs de sistemas
operativos) los cuales fácilmente arrojan cientos de miles de eventos por día, en algunos casos
millones de eventos. (Swift, 2006, pág. 6)
Actualmente en el mercado de la seguridad existen diversas soluciones globales SIEM que
ofrecen una gestión central para estas dos características. Algunos productos caen más en una u
otra área del SIM o el SEM, y otros afirman que son capaces de ofrecer ambas bondades con
"demasiada ligereza". Lo mejor es enumerar las necesidades y evaluar algunos de estos u otros
productos antes de implantarlo en la empresa MARIO LONDOÑO:
* Alert Logic - Log Manager
* AlienVault - OSSIM
* ArcSight - ArcSight Enterprise Security Manager
* Cisco - Security MARS
* Enterasys - DSCC
* IBM - Tivoli Security Information and Event Manager
* NetIQ - Security Manager
* NitroView - ESM
* Q1 Labs - QRadar SIEM
* RSA Security - RSA enVision Platform
* Tenable - Tenable's Security Center 3.4 con Log Correlation Engine 3.2
* TriGeo Network Security - TriGeo SIM
22
En definitiva, las herramientas o soluciones SIEM ayudarán a identificar y responder a ataques
que podrían pasar desapercibidos por los IDS y sistemas de antivirus convencionales. Además,
ayuda a administrar y archivar logs más fácilmente y a generar valiosos informes. No
solucionara todos los problemas de seguridad, pero se tratan de métodos efectivos para
una "defensa en profundidad"
4.1.4 SIEM y administración de logs
La tecnología de SIEM existe desde finalizando los años 90, en los días recientes los SIEM se
han unido a las tecnologías de administración de logs las cuales se enfocan en la colección de una
gran variedad de logs para múltiples propósitos, desde respuesta a incidentes de seguridad hasta
respuesta al cumplimiento de normas, administración de sistemas y solución de problemas de
aplicaciones.
La administración de logs incluye la recopilación de registros integral, agregación, retención del
registro original (bruto, sin modificar); análisis de texto de logs, presentación (en su mayoría en
forma de búsqueda, también en informes), flujos de trabajo y contenido relacionados. Con la
administración de logs, los casos de uso son amplios y cubren todos los posibles usos de los datos
de registro a través de IT e incluso más allá. (Chuvakin, 2010, pág. 2)
4.1.5 Características de un administrador de logs
Colección de datos de logs: Esto cubre poder recoger todos los registros utilizando
métodos basados en agentes o sin agentes, o una combinación de los dos.
Retención eficiente: Si bien la recolección y almacenamiento de datos de registro no
suena como un gran reto de ingeniería, ser capaz de recoger gigabytes e incluso terabytes
de datos de registro eficientemente y retenerlos mientras se provee búsquedas y acceso
rápido no es trivial. Dado que muchas regulaciones indican términos específicos para la
23
retención de datos de registro (durante muchos años), esta función es crítica para un
sistema de administración de logs.
Búsquedas: La búsqueda es la principal forma de acceso a la información en todos los
logs, incluyendo los logs de aplicaciones personalizadas. Buscar es indispensable para la
investigación de registros, análisis forense de registros y la búsqueda de fallos durante el
uso de logs de aplicación para la solución de problemas.
Indexación: La indexación de logs es un componente clave de un sistema de gestión de
registros. La tecnología de indexación crea una estructura de datos llamada índice, que
permite búsqueda rápida de tipo palabra clave o tipo booleano a través de todo el
almacenamiento de logs.
Reportes: Los reportes y reportes programados cubren todos los datos recolectados por
el producto de gestión de logs y es similar a los reportes del SIEM. La fortaleza de los
reportes sea para razones de seguridad, regulaciones u operación puede hacer o deshacer
la solución de gestión de logs. La presentación de reportes debe ser rápida, personalizable
y fácil de usar para una amplia gama de propósitos.
24
4.1.6 Comparativo entre SIEM vs Sistema de administración de log (Log Managment)
En la tabla a continuación se muestras las áreas claves de funcionalidad y se explica como SIEM
y Log managment son diferentes:
Tabla 1. Comparativo SIEM vs Log managment
Área Funcional
Sistema de administración de
seguridad de la información y
eventos (SIEM)
Sistema de administración de logs (Log
Managment)
Colección de logs
Colecta logs de eventos relevantes
de seguridad
Colecta todos los logs, incluyendo logs de
operación y aplicaciones
Retención de logs
Retiene logs analizados
gramaticalmente y datos
normalizados
Retiene logs completos y analizados
gramaticalmente por largos periodos de
tiempo.
Reportes
Reportes enfocados en seguridad y
reportes en tiempo real
Reportes de usos ampliados y reportes
históricos.
Análisis
Correlación, puntuación de
amenazas, priorización de eventos Análisis de texto completo, etiquetado.
Alerta y
notificación
Informes avanzados enfocados en
seguridad Informes de todos los logs.
Otras
características
Administración de incidentes,
otros análisis de datos de
seguridad
Alta escalabilidad para recolección y
búsquedas
25
4.1.7 Casos de uso de SIEM y administración de logs
El primer escenario de uso es un tradicional SOC (Security Operations Center - Centro de
operación de seguridad), este típicamente hace un alto uso de las características del SIEM, tales
como vistas y correlación en tiempo real, habrán analistas 7x24 revisando alertas de seguridad
cuando estas aparezcan, este fue el caso de uso original desde que apareció el SIEM, esto aplica
para compañías grandes.
El segundo caso de uso es comúnmente llamado un pequeño SOC, en este caso el personal de
seguridad no utiliza vistas en tiempo real, se utiliza vistas retrasadas para validar problemas de
seguridad, el analista revisa las alertas y reportes cuando es necesario y no en tiempo real, a menos
que un evento suceda mientras se está con una sesión en el SIEM.
El tercer escenario es un SOC automatizado, en este la compañía configura el SIEM para alertas
basado en reglas y luego olvida esto hasta la alerta. El analista nunca inicia sesión en el SIEM a
menos que necesite investigar alertas, revisar reportes semanal o mensualmente o realizar otras
tareas. Este es el caso de uso que ciertas compañías pequeñas quieren y algunos productos de
SIEM pueden entregar, al menos no con una personalización extensiva. (Chuvakin, 2010, pág. 5)
4.1.8 Requerimientos de cumplimiento para los logs en SIEM y en sistemas de
administración de logs
PCI DSS (Payment Card Industry Data Security Standards)
Estándares de seguridad en datos para industrias de tarjetas de pago, aplica a compañías que
manejan transacciones con tarjetas de crédito, esto las obliga a almacenar detalles específicos,
retención de logs y procedimientos de revisión de logs diariamente.
Dado que el almacenamiento está presente en todos los requerimiento de PCI, existe un
requerimiento solo dedicado a almacenamiento y administración de logs, bajo este requerimiento,
el log para todos los componentes del sistema deben ser revisados al menos diariamente, además
26
PCI DSS indica que la organización debe asegurar la integridad de los logs implementando
"monitoreo de integridad de archivos" y software de detección de cambios en los logs, además
describe que los logs deben ser almacenados por al menos un año.
FISMA (Federal Information Security Management Act )
Enfatiza en la necesidad de cada agencia federal de desarrollar, documentar e implementar un
programa a nivel de la organización para asegurar los sistemas de información que soportan la
operación y activos. La NIST SP 800-53 "Controles de seguridad recomendados para sistemas de
información federales" describe los controles para la administración de logs incluyendo la
generación, revisión, protección y retención de registros para auditoria, además los pasos a seguir
en el evento de un fallo en la auditoria.
NIST 800-92 "Guía para administración de logs en seguridad computacional" fue creada para
simplificar las regulaciones FISMA, describe la necesidad de administración de logs en agencias
federales y las formas de establecer infraestructuras de administración de logs satisfactorias y
eficientes, incluyendo generación, análisis, almacenamiento y monitoreo. Discute la importancia
de analizar diferentes tipos de logs de orígenes diferentes y de claramente definir roles específicos
y responsabilidades de los equipos e individuos involucrados en la administración de logs.
HIPAA (The Health Insurance Portability and Accountability Act)
Ley de responsabilidad y portabilidad de seguros de salud: esboza las normas de seguridad
pertinentes para la información de salud, la NIST SP 800-66, detalla los requerimientos de
seguridad en la gestión de logs de información de salud protegida, en la sección 4.1 del NIST
800-66 describe la necesidad de revisión periódica de la actividad del sistema de información,
como los registros de auditoría, informes de acceso y los informes de seguimiento de incidentes
de seguridad. Así mismo, el artículo 4.22 específica que la documentación de las acciones y
actividades deben conservarse durante al menos seis años.
27
4.1.9 Diseñando la solución de Administración de logs y SIEM
Dadas las diferencias entre las tecnologías, muchas organizaciones han desplegado tanto SIEM y
administración de registros, o están considerando la mejora de una implementación existente de
una de las tecnologías con el otro.¿Cuales son algunos conjuntos de arquitecturas más comunes
de SIEM y gestión de logs?
4.1.9.1 Escudo SIEM
El escenario más común es llamado "Escudo SIEM". Muchas de las organizaciones que
implementaron soluciones SIEM intentan enviar demasiados datos a su SIEM, por tanto, lo
sobrecargan y posiblemente pierden datos y funcionalidad crítica. Ellas resuelven el problema
con la adquisición de una herramienta de gestión de logs, desplegándola “en frente" de la solución
SIEM.
Gráfica 1. Administrador de logs en frente del SIEM"Escudo SIEM"
En este caso, una herramienta de gestión de logs escalable se despliega delante del SIEM para
servir como un escudo y filtro, para proteger una herramienta SIEM menos escalable de los
grandes flujos de logs. Es común que sólo se envié la decima parte de los logs recibidos por el
"escudo de logs" a un SIEM que se esconde detrás de este. Al mismo tiempo, todos los eventos
28
recibidos se archivan en una herramienta de gestión de logs. Por ejemplo, si un volumen de
registros es igual a 40.000 mensajes de logs cada segundo, una herramienta SIEM recibirá sólo
4.000 mensajes por segundo.
4.1.9.2 Administración de logs como inicio
Otro escenario surge cuando la gestión de logs se desplegó por primero para crear una plataforma
de registro empresarial. SIEM es agregado como una de las aplicaciones de dicha plataforma.
Este escenario puede ser llamado "crecer hasta SIEM" y representa hasta el 50 por ciento de las
implementaciones de SIEM al dia de hoy. Este es el caso en el que la organización obtiene una
herramienta de gestión de logs y poco a poco se da cuenta de una necesidad-así como desarrollar
una habilidad para correlacionar, visualizar, monitorear y flujos de trabajo.
Gráfica 2. Administración de logs como inicio
.
4.1.9.3 Escenario emergente
En este escenario la solución de SIEM y de gestión de logs se despliegan uno junto al otro y al
mismo tiempo, ya que las compañías obtienen ambas al mismo tiempo y por lo general del mismo
fabricante, si una compañía se da cuenta de la necesidad de correlación, esta luego necesita
recolectar y almacenar todos los logs y tener la habilidad de realizar búsquedas eficientes y
análisis de datos en bruto.
29
Gráfica 3. Escenario emergente
4.1.9.4 SIEM como inicio
El último escenario comienza con el despliegue de un SIEM con administración de logs como
archivado. Este escenario surge cuando se compra un SIEM para el monitoreo de la seguridad y
luego con el tiempo se dan cuenta que falta algo. Como resultado se despliega una solución de
administración de logs para volcar todos los logs y realizar análisis de los logs en bruto que el
SIEM rechaza (no sabe cómo analizar, normalizar, clasificar, etc). Esto conduce a una ampliación
desde monitoreo de la seguridad hasta respuesta a incidentes y el cumplimiento de las
regulaciones PCI DSS. (Chuvakin, 2010, págs. 7 - 9)
Gráfica 4. SIEM como inicio
30
4.1.10 Importancia de un SIEM para la seguridad informática
El papel que juega un SIEM en la seguridad informática de una compañía es vital, a continuación,
se explica la importación de un SIEM como una medida preventiva y de contención al momento
de un ataque informático.
4.1.10.1 Taxonomía de un ataque
Par un mejor entendimiento del papel de un SIEM en la infraestructura de seguridad de una
compañía se explicará un ataque informático con y sin un SIEM
Ataque sin un SIEM
Gráfica 5. Taxonomía de un ataque informático sin un SIEM
31
Pasos básicos de un ataque evasivo
Fase de descubrimiento
1. El atacante escanea el firewall utilizando herramientas como NMAP, HPING, Firewalker
(herramienta para escaneo intrusivo de firewalls), para determinar qué dirección IP responde,
¿Cuáles puertos están abiertos? de una forma sigilosa para evitar ser detectado por sistemas
de detección/prevención de intrusos.
2. Utilizando técnicas de finger printing contra blancos encontrados, para determinar que
sistemas operativos se encuentran en los hosts descubiertos, ¿Que aplicaciones están
ejecutándose en los hosts?
Envió de ataques con evasión de IDS
En esta fase se envían ataques de vulnerabilidades conocidas tales como buffer overflow,
paquetes fragmentados (fragroute, nemesis) con patrones de evasión de firmas (admutate,
metasploit).
Comprometimiento del sistema
En esta fase ya han sido alcanzados los sistemas de información ocasionando lo siguiente:
Caídas del sistema
Denegaciones de servicio
Robo de datos
Instalación de sniffers
Instalación de backdoors o rootkits
32
Ataque con un SIEM
Gráfica 6. Taxonomía de un ataque informático con un SIEM
La siguiente figura ilustra la taxonomía de un ataque teniendo presente un SIEM y sus
componentes.
33
Fase de descubrimiento
El enrutador o cortafuegos envían eventos al SIEM, indicando que se está realizando un escaneo
de puertos y generando una alerta menor o de advertencia.
Finger Printing
EL IDS/IPS reporta escaneo de sistemas y otras coincidencias de firmas, la alerta es elevada a un
nivel alto, el equipo de seguridad es notificado (correo electrónico, sms, etc)
Envió de ataques con evasión
El corta fuegos reporta paquetes fragmentados, el IDS puede reportar ciertas firmas y el nivel de
alerta se eleva, si el IDS conoce el evento y el escaner de vulnerabilidades sabe que el evento
puede comprometer el sistema, la alerta es escalada a nivel crítico.
El equipo de seguridad es notificado de una alta probabilidad de amenaza y se generan las
respuestas automáticas tales como (reglas de control de acceso en el cortafuego, apagado de
sistemas, etc)
Comprometimiento del sistema
Bajo el peor escenario posible, la descarga del exploit será detectada por el IDS/IPS y el software
de antivirus. El equipo de seguridad es notificado de un evento crítico y las respuestas automáticas
son tomadas (reglas de control de acceso, apagado del sistema, etc).
Incluso si los eventos individuales tienen éxito en pasar por el cortafuego, evadir el IDS y software
de antivirus, el número total de paquetes en cuestión debería de generar una mayor amenaza. En
vez de haber pasado exitosamente, cada dispositivo está reportando en los eventos no
satisfactorios y alcanzados el nivel de amenaza de una alerta con una posición defensiva y
respuestas de un equipo de seguridad alertado. (Swift, 2006, págs. 11 - 12)
34
4.1.11 Controles críticos y la relación con un SIEM
La siguiente tabla explica los 15 controles más críticos en seguridad de la información y la forma
como se relacionan y puede ayudar un SIEM para alcanzar estos controles.
Tabla 2. Controles críticos y relación con un SIEM
Control Critico Relacion con herramientas del SIEM
Control Critico 1: Inventario de dispositivos
autorizados y no autorizados
SIEM debe ser utilizado como la base de datos de inventario de la información de
activos autorizado. Los SIEM pueden utilizar el conocimiento de la información de
activos (ubicación, las regulaciones que gobiernan, criticidad de datos y demas
para detectar y priorizar amenazas.
Control Critico 2: Inventario de software
autorizado y no autorizado
Como en el control 1, SIEM debe ser utilizado como la base de datos de
inventario de software autorizado para la correlación con la actividad de la red y
la aplicación.
Control Critico 3: Asegurar configuraciones
para hardware y software en portatiles,
estaciones de trabajo y servidores
Las vulnerabilidades conocidas siguen siendo una via exitosa para los exploits, si
una herramienta de escaneo automatico de dispositivos descubre un sistema de
red mal configurado durante un escaneo de enumeracion, esa mala configuracion
deberia ser reportada al SIEM, como un origen central para esas alertas, esto
ayuda a la solucion de incidentes asi como a mejorar la seguridad en general.
Control Critico 4: Asegurar configuraciones
para dispositivos de red como firewalls,
routers y switches
Como en el control 3, cualquier configuracion mala en dispositivos de red,
deberia ser reportada al siem para analisis consolidado.
Control Critico 5: Frontera de defensa
Violaciones de reglas de red como escaneos de enumeracion, deberian ser
reportados a un origen central (SIEM) para correlacionar con inventario
autorizado almacenado en el SIEM.
Control Critico 6: Mantenimiento, Vigilancia
y análisis de los registros de auditoría
Este control es basicamente sobre el SIEM, los cuales se utilizan para colectar y
centralizar logs criticos, el SIEM es el motor principal que puede analizar eventos
de logs cada vez que ocurren.
Control Critico 7: Seguridad de aplicaciones
de software
Con el resultado de un escaneo de enumeracion, las vulnerabilidades que son
descubiertas en aplicaciones de software deberian ser reportadas a un origen
central donde estas vulnerabilidades pueden ser correlacionadas con otros
eventos relacionados con un sistema en particular. Un SIEM es un buen lugar para
almacenar estos resultados y correlacionar la informacion con datos de red
capturas de logs para determinar que vulnerabilidades fueron explotadas en
tiempo real.
35
Control Critico Relacion con herramientas del SIEM
Control Critico 8: Uso controlado de
privilegios administrativos
Cuando los principios de este control no se siguen (como un administrador
ejecutando un navegador web o uso innecesario de cuentas de administrador),
un SIEM puede correlacionar los logs de acceso para detectar la violacion y
generar una alerta.
Control Critico 9: Acceso controlado basado
en lo que se necesita saber
un SIEM puede correlacionar la actividad del usuario con derechos de usuario y
roles para detectar violaciónes de la aplicación de privilegios, que es requerido
por este control.
Control Critico 10:Evaluacion de
vulnerabilidades y remediaciones de forma
continua
El SIEM puede correlacionar el contexto de vulnerabilidades con los sistemas
actuales para determinar que vulnerabilidades han sifo explotadas
Control Critico 11: Control y monitoreo de
cuentas
La actividad anormal de cuentas solo se puede detectar si se tiene una linea base
de lo que es una actividad normal, la linea base para conocer este control
deberia ser guardada en el SIEM y como futuros snapshots o lineas bases sean
grabados, estos puede ser comparados con la linea base aprovada en el SIEM.
Control Critico 12: Defensas contra malware
El malware que es descubierto deberia ser grabado acorde a este control. Las
herramientas centralizadas de anti-malware deberian reportar sus hallazgos al
SIEM, el cual correlaciona contra el datos del sistema y vulnerabilidades para
determinar cuales sistemas poseen grandes riesgos debido al malware
descubierto en ese sistema.
Control Critico 13: Control y limitacion de
puertos de red, protocolos y servicios.
Despues de una escaneo en la red, si un sistema esta ejecutando un puerto,
protocolo o servicio que no ha sido autorizado, este deberia reportarse a un
sistema centralizado, donde esta vulnerabilidad se pueda correlacionar con otros
eventos pertenecientes a un sistema en particular. Las compañias pueden utilizar
este control para determinar que puertos o servicios son necesarios para el
negocio, cuales no y que tipo de trafico y puerto se debe limitar.
Control Critico 14: Control de dispositivos
inalambricos
Malas configuracion e instrucciones de dispositivos inalambricos, deberian ser
reportadas a una base de datos central para propositos de manejo de incidentes,
un SIEM es un buen candidato para consolidar esta informacion y usarla para
correlacionar y detectar amenazas en la infraestructura inalambrica.
Control Critico 15: Prevencion de perdida
de datos
Como en el control 5, violaciones de reglas de perdida de datos como escaners,
tambien deberian ser reportadas al SIEM, el cual correlaciona eventos de perdida
de datos con inventario o activos de informacion, asi como otros sistemas y
actividad de usuarios para detectar jugaz de informacion sensible.
36
4.1.12 Vision general de OSSIM
Luego de evaluar los distintos fabricantes de soluciones SIEM, se definió que la solución OSSIM
de Alienvault la cual es con licencia open source y ofrece una variedad de componentes que se
pueden aprovechar de acuerdo a la infraestructura de MARIO LONDOÑO.
OSSIM ofrece un enfoque atractivo para el concepto de SIEM, como su nombre lo indica es open
source y por lo tanto libre de descargar, instalar, modificar y operar. La versión gratuita tiene
algunas limitaciones que implican el funcionamiento, almacenamiento y soporte; Sin embargo,
cuando se supera la versión gratuita, la versión profesional puede llenar las necesidades,
especialmente para lo que implementar su primer SIEM es muy recomendable esta herramienta.
Lo más probable es que una vez se vea toda lo que herramienta tiene por ofrecer se quedará con
él y finalmente se actualizara a la versión profesional.
4.1.12.1 Concepto
El concepto de OSSIM es simple, hay muchas herramientas open source disponibles para gestión
de seguridad, estas se unen en una solución para la operación de la seguridad, en lo más alto de
las herramientas Alienvault a adicionado una infraestructura robusta de colección, motor de
correlación, evaluación de riesgos, re portes y herramientas de administración que son muy
impresionantes. El resultado es una plataforma cohesiva que ofrece abstracción de datos y permite
al analista de seguridad monitorear millones de eventos y centrarse en unos cuantos que realmente
importan.
37
4.1.12.2 Arquitectura de OSSIM
Gráfica 7. Arquitectura de OSSIM
En la gráfica anterior se detalla la arquitectura de OSSIM y sus componentes funcionales, estos
son:
Servidor USM - Provee los servicios principales del SIEM y conectividad
Framework - Provee la configuración de componentes y una interfaz de usuario web.
Sensores - Provee los servicios de colección de información de host y redes.
Base de datos - Provee la función de almacenamiento para los componentes.
Servidor USM
Este componente "Servidor" es el componente central de OSSIM y realiza funciones claves de
SIEM tales como:
Correlación de eventos
Evaluación de riesgos y priorización
Inventario y administración de identidades
Alarmas y programaciones
38
Administración de políticas
Motor de reputación.
Gráfica 8. Funciones del componente" Servidor" en OSSIM
Framework
El framework administra los componentes de OSSIM y los conecta entre ellos, además provee la
interfaz web y administra las configuraciones de los componentes de OSSIM.
Gráfica 9. Funciones del Framework
Base de datos
Almacena los datos del inventario de activos, configuraciones, eventos del SIEM y datos
continuos tales como netflow y estado del almacenamiento.
39
Gráfica 10. Función de la base de datos en un SIEM
Sensores
Los sensores son los componentes de obtención de información de OSSIM, los agentes o sensores
colectan logs y eventos de dispositivos externos y componentes de monitoreo de OSSIM,
utilizando plugins para cada tipo de información que ellos colectan.
Colección de logs - Recolectar y recibir
Monitoreo de red - Monitoreo de trafico de red, Detección de intrusos en red, Detección de
activos, Detección de intrusos en host, Detección de intrusos en wireless.
4.1.12.3 Software open source en la arquitectura de OSSIM
Server/Framework
Nagios: es un software de monitoreo de dispositivos de red open source, es utilizado para
monitorear dispositivos de red y servicios y proveer alertas en el evento de indisponibilidad.
OCS Inventory: Provee la capacidad de administración de activos multiplataforma, esta
herramienta provee una forma automatizada de mantener un registro del software que se tiene
instalado en los hosts.
40
NFSen: Netflow es un poderoso artefacto de tráfico de red y es muy valorado en el proceso de
correlación, provee una interfaz gráfica web donde se presentar graficas del tráfico en la red.
Ntop: Herramienta de trafico de red, provee información invaluable acerca de tráfico en la red,
la cual puede ser utilizada para detectar trafico anormal o malicioso de forma proactiva.
Sensores
Snort: Es un IDS open source muy importante, una versión personalizada está integrado dentro
de OSSIM y provee alertas relacionadas con ataques en la red.
Suricata: Es un IDS alternativo a Snort, el cual es compatible totalmente con las reglas de snort,
uno de los principales beneficios de utilizar suricata en vez de snort, es que este el multi hilo
versus en procesamiento de un solo hilo como lo es snort.
P0f: Es una herramienta utilizada para fingerprinting pasivo de sistema operativo
(descubrimiento del tipo de sistema operativo y versión)
PADS: Sistema de detección de activos pasivo, es una herramienta que monitorea
silenciosamente tráfico de red y registra actividad de hosts y servicios en la red, estos datos
pueden ser monitoreados por OSSIM para analizar anomalías en la red.
Nmap: Herramienta utilizada para descubrimiento de host y enumeración de puertos abiertos en
los hosts de la red, asi como para descubrir sistemas operativos y versiones de los hosts.
OpenVAS: Es la versión con licencia GPL de Nessus, se utiliza para realizar escaneo de
vulnerabilidades de activos en la red, esta información es almacena en la base de datos de OSSIM.
OSSEC: Es un sistema de detección de intrusos basado en host (HIDS), esta herramienta provee
análisis de logs multiplataforma, chequeo de integridad de archivos, detección de rootkit,
monitoreo de políticas y monitoreo de alerta y respuestas en tiempo real, esta herramienta ayuda
a proteger a OSSIM a sí mismo.
Kismet: Es una herramienta para detección de intrusos en redes inalámbricas (WIDS), funciona
para detectar falsos AP
41
4.1.12.4 Funcionalidad de OSSIM
OSSIM es más que la suma de todas sus partes; una sinergia es creada por la forma como
AlienVault OSSIM a unido todas las partes, el siguiente diagrama muestra como todas estas partes
trabajan juntas.
Gráfica 11. Funcionalidades de OSSIM
Detectar
AlienVault define un detector como cualquier programa que escucha en la red, monitorea los
archivos o registros en busca de signos de ataques, y emite alertas en consecuencia. Hay
básicamente dos tipos de detectores: Modelo basado en patrón (firma) y basado en anomalía.
Detectores basados en patrón (firma)
Detectores basados en patrones de uso de una firma de un mal comportamiento conocido y alerta
cuando la actividad coincide con la firma.
42
La mayoría de los dispositivos de seguridad en su lugar hoy se basan en patrones (o en firmas
basadas). OSSIM viene con un par de IDS / HIDSs basado en patrones. Sin embargo, el verdadero
poder de OSSIM es en su capacidad de interactuar con muchos dispositivos externos (comerciales
y gratuitas) a través de un agente o la tecnología plug-in. Actualmente más de 2390 plug-ins están
disponibles para interactuar con casi toda la seguridad o aplicación disponible.
Detectores basados en anomalía
Detectores basados en anomalía tienen una línea de base conocida de buenos comportamientos y
alerta sobre anomalías o desviaciones con respecto a la línea de base. Los detectores de anomalía
son los únicos tipos de detector que puede identificar ataques de día cero. Detectores basados en
anomalía ofrecen un fuerte complemento a los detectores basados en patrones. Varios detectores
basados en anomalías se construyen en OSSIM.
Monitor
OSSIM utiliza monitores para proporcionar perspectiva sobre el tráfico de red y encontrar
rápidamente cambios en la red. Junto con detectores, OSSIM utiliza monitores para la correlación.
Hay tres tipos de monitores: Red, disponibilidad, y personalizados.
Monitor de red
Supervisión de la red se realiza mediante la creación de perfiles de uso y la realización de análisis
de sesión. La herramienta Ntop produce tres tipos de monitoreo:
Información de uso de red - Esta información se ocupa de estadísticas de la red como el
número de bytes transmitidos en un periodo de tiempo.
Información de actividad de servicios - Esta información se refiere a las estadísticas de
servicios como el pop, http, smtp, ssh, etc.
43
Monitoreo de sesiones en tiempo real - Esta información proporciona una imagen de
sesiones activas, en tiempo real, y que hosts se encuentran participando en los puertos. La
herramienta Ntop puede proporcionar esta información a través de sniffing ó datos de
flujo de red pueden ser importado de routers Cisco y otros dispositivos.
Monitoreo de disponibilidad
Monitoreo de disponibilidad se utiliza para detectar ataques de denegación de servicio (DoS) u
otras interrupciones de la red. La herramienta Nagios interactúa con un plug-in especial para
incluir estos datos en el proceso de correlación y presentarla al usuario según corresponda.
Monitoreo personalizado de sistemas
También puede personalizar un plug-in para detectar casi cualquier cosa que se necesite y luego
actuar en consecuencia. Por ejemplo, puede desencadenar un análisis de vulnerabilidades de un
host que usted sospecha que está comprometido y ajustar aún más la correlación, el riesgo, y las
propiedades de fiabilidad sobre la base de los resultados.
Escaner
Un análisis de vulnerabilidades de red es esencial para el proceso de correlación. Estas
exploraciones intentan de simular ataques y determinar si un dispositivo de red es vulnerable a
un ataque en particular. La herramienta OpenVAS se utiliza para realizar esta tarea, y los datos
se insertan en la base de datos y son usados por OSSIM.
Inventario
Una de las cuestiones fundamentales en materia de seguridad de la red es, ¿Qué se tienes? Es una
cuestión que a menudo se pasa por alto o no se toma en serio hasta que no haya un incidente. En
44
ese punto, ya es demasiado tarde y los equipos de operaciones de seguridad a continuación,
pierden un tiempo valioso tratando de localizar a los activos de base y la información de contacto
propietario / usuario. OSSIM emplea múltiples herramientas basadas en agentes y sin agentes
para proporcionar recopilación automatizada de inventario de activos. Luego, puede insertar o
ajustar la información en el servidor de forma manual.
Colección
El propósito de la infraestructura de recogida es capturar y normalizar toda información de
dispositivos de seguridad y proporcionarla al servidor para su procesamiento posterior. Esta
función es muy importante debido a los diferentes formatos de datos utilizados por los
proveedores de dispositivos de seguridad. Después de que los datos han sido recogidos y
normalizados, que puede ser utilizado en conjunción con otros datos procedentes de otras fuentes,
ahora en el mismo formato, para descubrir el tráfico potencialmente malicioso que proviene de la
red. Hay básicamente dos maneras de obtener información a partir de un dispositivo de seguridad:
pull o push.
Priorización
Cuando los acontecimientos llegan al servidor, los niveles de prioridad están normalizados y se
coloca en un formato estándar de AlienVault de 0 a 5. El administrador puede ajustar estos valores
por defecto a través de una tabla de normalización política y una política de prioridades. Por
ejemplo, se puede dar una mayor prioridad a los eventos internos sobre los acontecimientos
externos.
Política de colección
Es posible establecer una política de priorización y recolección a nivel del sensor para filtrar y
consolidar los eventos antes de enviarlos al servidor OSSIM. Esta poderosa técnica permite que
45
el administrador de acelerar eventos y gestionar lo que de otro modo sería un alto flujo de eventos
en algunas redes.
Evaluación de riesgos
La evaluación de riesgos es el proceso de medición de riesgo y tratar de determinar lo que es
importante y qué no lo es. Esta evaluación de riesgos está destinado a ser un ayudante para el
proceso de toma de decisiones. OSSIM calcula un parámetro de riesgo para cada evento. Este
cálculo se basa en los siguientes tres parámetros:
Valor de los activos (¿Cuánto cuesta si es comprometido?)
La amenaza representada por el evento (¿Cuánto daño se puede hacer para el activo?)
La probabilidad que el evento ocurra (o dejar pasar factores de mitigación).
Correlación
El aspecto más importante de cualquier herramienta SIEM es el motor de correlación. El trabajo
del motor de correlación es reducir falsos positivos (falsas alarmas) y evitar falsos negativos
(donde intrusiones pasan desapercibidos). Esto es realmente donde sucede la magia. ". OSSIM
fue construido para proveer el “Contexto del ataque", para ello, se consideran cinco variables:
alertas, vulnerabilidades, el inventario, las anomalías y la red. OSSIM realiza tres tipos de
correlación, que se describen a continuación.
Correlación lógica
Correlación lógica se lleva a cabo a través de un conjunto de reglas predefinidas y personalizadas
que llevan a cabo lógica de Booleana en cualquier número de condiciones de eventos. Un árbol
de condiciones está construido en base a reglas. Como el evento se prueba contra el árbol de
condiciones, se aumenta la prioridad del evento cuando se cumplen las condiciones. Los eventos
46
adicionales pueden ser generados por el motor de correlación y de forma recursiva añadidos al
proceso de correlación.
Correlación de inventario
Correlación de inventario se lleva a cabo cuando las características de un activo se miden contra
una amenaza particular. Por ejemplo, si se detecta un gusano Blaster atacando a un servidor web
Apache, el evento puede ser descartado como un falso positivo.
Correlación cruzada
Correlación cruzada, realiza un control cruzado de datos del IDS y los datos de vulnerabilidades.
Esto permite el aumento de la prioridad de los eventos en función de si el activo es vulnerable a
lo que explota o no.
Respuesta
OSSIM es capaz de responder automáticamente a un evento dado o conjunto de eventos. Las
respuestas incluyen el envío de un correo electrónico o el envío de una directiva de cambio de
red, tales como ajustar una configuración de servidor de seguridad o interruptor. Cabe señalar que
este tipo de actividad debe ser bien pensada y representa un riesgo para las operaciones de red.
Gestión
Una vez que el ataque es detectado, recogido, evaluado su riesgo, correlacionado, y validado por
el analista como real, un ticket se puede generar para realizar un seguimiento del incidente hasta
la resolución.
Los tickets pueden ser generados a partir de varios lugares: Panel de Alarmas, Consola Forense,
y los paneles de control de riesgo. Cada entrada contiene información sobre el propietario del
incidente, los eventos contenidos en el incidente, el estado actual de los hechos, y la historia del
47
incidente. El ticket se almacena en una base de datos donde se puede buscar para análisis de
tendencias e informes se pueden extraer de esos datos.
Reportes
En ocasiones, un analista tendrá que elaborar informes para el análisis o la gestión. OSSIM
contiene un motor de informes robusto con muchos informes definidos y la posibilidad de
personalizar y crear informes con fines específicos.
Medidas
Los tableros de mando se proporcionan a los datos presentes visualmente de una manera que es
fácil de entender.
OSSIM viene con paneles de control estándar y se tiene la capacidad de crear personalizados. Los
tableros de mando existentes incluyen vistas ejecutivas, visitas de cumplimiento, vistas Mapa y
puntos de vista Diagrama de red. Cada analista puede seleccionar y trabajar con los paneles de
control que le permitan completar las tareas requeridas de manera más eficiente. Los tableros de
mando ofrecen diversos puntos de vista en los diferentes niveles de la organización.
4.2 Marco contextual
La implementación y configuración el SIEM se realizará en la ciudad de Medellín, en la oficina
principal de Agencia de Aduanas Mario Londoño S.I.A S.A., en un periodo comprendido entre
septiembre de 2015 a diciembre de 2015
Inicialmente se escogerá un conjunto de activos entre los cuales hay servidores, estaciones de
trabajo, elementos de red para una prueba piloto y posteriormente al finalizar este proyecto se
continuará con los demás activos.
48
5. Diseño metodológico preliminar
Este trabajo tiene como objetivo la evaluación de la implementación de un SIEM con licencia de
software libre en la empresa MARIO LONDOÑO, inicialmente en la primera fase se implementó
la solución para que el monitoreo y gestión de la infraestructura critica de la compañía,
posteriormente en etapas siguientes fuera del objetivo de este trabajo de grado se implementara
para la toda la infraestructura tecnológica de la compañía.
El tipo de investigación que se utilizara es de tipo aplicada y de enfoque cuantitativo ya que se
pretende identificar las amenazas y llevar un control de estas para conocer su objetivo, además se
utilizara en pro de solucionar una problemática que está presente en la compañía objeto del
proyecto.
El diseño metodológico consiste de dos partes, una metodología organizacional que se enfoca en
definir alcance, objetivos planteados y requerimientos de SIEM a implementar. La segunda parte
es una metodología técnica que consiste en el análisis y preparación de los activos y los
procedimientos para la recolección de datos, almacenamiento y procesamiento de los datos
utilizando el SIEM, esta metodología es basada en la norma ISO 27001 A.10.10 "Monitoreo"
cuyo objetivo es detectar las actividades de procesamiento de información no autorizadas.
Para la implementación del SIEM se debe comenzar con la identificación e inventario de los
sistemas de información ya sea sistemas operativos, productos de software o hardware que se
deseen colectar los logs para su posterior normalización y correlación en el SIEM, Las fases
metodológicas se definieron en base a las buenas prácticas de implementación de un SIEM
descritas en varios documentos y para garantizar que se cumplirán los objetivos planteados en
este proyecto estas son las fases:
49
5.1 Fases para implementación de SIEM
5.1.1 Definición del alcance del SIEM
Antes de comenzar con la implementación del SIEM es muy importante definir el alcance y
enfoque, el alcance es el conductor detrás del SIEM y puede ser relacionado a regulación,
seguridad u operaciones, este puede ser una combinación de los tres y debería enmarcan a toda la
compañía.
En el caso de la empresa MARIO LONDOÑO el alcance del SIEM será delimitado a la seguridad
de un grupo piloto de servidores que harán parte de la implementación y que se definieron
conjuntamente entre el coordinador de IT y el analista encargado de la seguridad informática,
estos servidores y elementos de red son:
Servidores Red Hat Enterprise Linux V6.4 que cumple funciones de servidores de
virtualización
Servidores Windows 2008 R2 Standard con funciones de directorio activo, servidor de
aplicaciones y bases de datos.
Appliance UTM Sophos
5.1.2 Definición de requerimientos
Para la implementación del SIEM, estos son los requerimientos de hardware, componentes y
recursos físicos y humanos.
Requerimientos de Hardware
El servidor donde se implementará el SIEM con todos sus componentes requiere
2 procesadores lógicos o físicos
Mínimo 4 GB de memoria RAM
Tarjeta de red de 1 Gbps
50
Mínimo 200 Gb de disco duro
5.1.3 Identificación de activos que participaran en el piloto
Segun la seccion "Which Devices will you collect event from?" del libro Security Information
and Event Management (SIEM) Implementation, Miller David R, McGrawHill, 2011, página 58;
viendo el diagrama de su infraestructura se puede determinar los dispositivos que son críticos
para la operación, tales como servidores corporativos que contienen información sensible y de
clientes, luego determinar que dispositivos de red proveen acceso a los activos identificados, tales
como firewall, routers, switches que transportan tráfico desde y hacia estos sistemas y que serán
los candidatos para entregar información de registro de actividad.
Siguiendo esta recomendación, para la identificación de los activos que participaran en los
servicios se realizara una reunión con el coordinador de IT y el analista encargado de la seguridad
en MARIO LONDOÑO donde se trataran los siguientes puntos:
Activos que participaran en el piloto, teniendo en cuenta que no comprometan la
operación del negocio mientras hace parte del piloto.
Plan de contingencia para garantizar la disponibilidad de los activos definidos, en caso
que estos presenten alguna falla mientras hacen parte del piloto.
Definición de instalaciones y/o modificaciones necesarias para que los activos se
comuniquen con el SIEM y envíen la información requerida por este.
51
5.1.4 Sincronización de relojes de tiempo
Para la sincronización de relojes de tiempo, es necesario valida si existe en la red un servidor que
sincronice el tiempo de un origen externo y que este sea el que distribuya la sincronización con
los demás componentes en la infraestructura.
Para esto se escogerá el servidor Windows que tiene el rol de controlador de dominio y se seguirá
el siguiente procedimiento para configurar NTP
Configuración servidor NTP en Windows 2008 R2
1. Escoger un servidor ntp externo, en este caso se escogerán los servidores 0.pool.ntp.org,
1.pool.nt.org, 2.pool.ntp.org
2. Definir los servidores pool en el servidor windows, para esto se debe abrir el editor de
registro de windows
3. Buscar la llave de registro HKEY_LOCAL_MACHINE > SYSTEM > CurrentControlSet
> services > W32Time >Parameters y escoger el parámetro NtpServer
4. Definer 0.pool.ntp.org, 1.pool.nt.org, 2.pool.ntp.org
5. Ejecutar en una consola de MS-DOS "net stop w32time && net start w32time" para
reiniciar el servicio y tomar los cambios.
Configuración cliente NTP en servidores Red Hat Enterprise Linux
1. Validar si el servidor linux Red Hat puede acceder el servidor NTP, ejecutando el
comando en una terminal de Linux ntpdate -q "FQHN del servidor Windows"
2. Abrir el archivo de configuración del demon ntp ubicado en /etc/ntp.conf
3. Definir el nombre de host del servidor Windows configurado previamente para actuar
como servidor NTP
4. Reiniciar el demon NTP ejecutando, "service ntpd restart"
52
5.1.5 Definición de política de administración de logs
Para la política de retención de logs dado que este es un piloto se conservarán estos por un periodo
de 6 meses, almacenados en la misma base de datos mysql que provee la solución OSSIM.
Una vez transcurrido el periodo de retención de logs se procederá a realizar una copia de seguridad
de la base de datos que los almacena y posteriormente se eliminaran.
5.1.6 Configuración de previas ( port mirroring en switch)
Habilitar syslog en switch corePara este procedimiento se requiere revisar la documentación del
fabricante del switch para habilitar el manejo de syslog.
Habilitar port mirroring
El siguiente es el procedimiento que se empleara para habilitar port mirroring en el switch HP
JE009A:
Ingresar por GUI para administrar el switch
En la sección Device, escoger la opcion "Port Mirroring"
Crear un grupo para agrupar los puertos a monitorear
53
Gráfica 12. Configuración port mirroring - paso 1
Seleccionar de la lista la opción "Monitor Port" y escoger el puerto que se configurara
como monitor de los demás puertos, este puerto es donde estará conectado el sensor de
OSSIM
Gráfica 13. Configuración port mirroring - paso 2.
54
Gráfica 14. Configuración port mirroring - paso 3.
Cambiar de la lista a la opción "Mirror Port" y seleccionar todos los puertos del switch
que se quieren monitorear por parte del sensor de OSSIM.
Utilizando tcpdump desde el servidor OSSIM y validar si se están recibiendo el tráfico
que pasa por el switch de core.
5.1.7 Despliegue de OSSIM
Instalación de OSSIM
Una vez se tenga preparada la máquina virtual donde OSSIM se instalará, estos son los pasos para
la instalación de OSSIM.
1. Seleccionar la opción de instalación “Install Alienvault USM"
55
Gráfica 15. Instalación de OSSIM
2. Seleccionar el lenguaje para la instalación
3. Seleccionar el país, para Colombia, escoger la opción "Other"
Gráfica 16. Instalación OSSIM - ubicación
56
4. Escoger la región donde se encuentra el país
5. Escoger los parámetros regionales
Gráfica 17. Instalación OSSIM - juego de caracteres.
6. Seleccionar el tipo de teclado
57
Gráfica 18. Instalación OSSIM - tipo de teclado.
7. Ingresar los valores de dirección IP, Mascara de red y Gateway
Gráfica 19. Instalación OSSIM - configuración de red.
58
8. Ingresar la contraseña para el usuario root.
Gráfica 20. Instalación OSSIM – contraseñas.
9. El instalador comenzara la instalación
Gráfica 21. Instalación OSSIM - configuración reloj.
59
10. Luego de terminar la instalación, iniciar sesión en la consola utilizando el
password de root
5.1.8 Configuración de OSSIM
Para iniciar la configuración inicial, se debe ingresar por la consola y por navegador web para
definir configuraciones y crear la cuenta de administrador del SIEM
Ingresar por consola del sistema
Gráfica 22. Instalación OSSIM - Configuración de Alienvault.
Se deberán definir parámetros como:
Definir servidor para relay de correos, para las notificaciones del SIEM
Configurar el sensor del IDS y plugins de origen de datos
Definir los CIDRs de redes
60
Ingresar por navegador web
En este paso se debe ingresar por un navegador web a la URL indicada después de la instalación
y definir los valores que aparecen en la siguiente imagen
Gráfica 23. Instalación OSSIM - creación cuenta admin.
5.1.9 Configuración de Suricata IDS
La configuración de Suricata, se basa en la activación y desactivación de plugins de fabricantes
de soluciones de software, que están disponibles en OSSIM y también tiene la posibilidad de crear
plugins a la medida.
61
Gráfica 24. Instalación OSSIM - configuración plugins.
5.1.10 Realizar evaluación de vulnerabilidades
Descubrimiento de red y vulnerabilidades
En esta etapa se utilizan herramientas de OSSIM para el descubrimiento de activos en la
red, esto arroja host, dispositivos de red y redes que están al alcance, depende del tipo de
escaneo que se realice este es capaz de adquirir información del activo tales como
servicios, sistema operativo e incluso identificar si tiene vulnerabilidades.
Gráfica 25. Configuración OSSIM - descubrimiento de red.
62
5.1.11 Instalación y configuración de OSSEC en servidor Linux y Windows Server
La instalación de OSSEC se debe realizar en plataformas Window y Linux, a
continuación, los aspectos importantes para la instalación y configuración en ambas
plataformas:
Windows
1. Descargar el agente de OSSEC desde la consola web de OSSIM
2. Instalar el ejecutable descargado en el host Windows
3. Crear una llave para el agente de OSSEC desde la consola de OSSIM
4. Registrar la llave creada durante la configuración del agente en el host
Windows
5. Validar que el agente quedo operando en la consola de OSSIM
Linux
1. Validar las librerías de linux prerequeridas para la instalación
2. Descargar el agente al host linux
3. Desempaquetar el instalador
4. Compilar el binario para comenzar el asistente de instalación
5. Seleccionar el tipo de instalación "Agent"
6. Ingresar la IP el servidor de OSSIM
7. Seleccionar para habilitar las opciones de "Integrity check daemon",
"Rootkit detection engine", "Active response".
8. Ejecutar el makefile para comenzar la instalación
63
9. Registrar la llave para el agente
10. Ingresar la llave en el agente del host linux
11. Validar que el agente está operando correctamente.
5.1.12 Revisión y monitoreo de eventos
Durante esta etapa se revisará diariamente los eventos utilizando la consola de
administración de OSSIM, esto servirá para más adelante realizar un procedimiento de
revisión diaria para el encargado de seguridad de la compañía.
Las tareas de revisión incluyen lo siguiente:
Sección Dashboards: Esta sección contiene sub-secciones como Executive, Tickets,
Security, Taxonomy, Vulnerabilities, es importante revisar esta sección completa ya que
allí se resume todos los eventos que han pasado en el SIEM.
Subsección Executive: Se debe validar graficas de eventos, el top 10 de eventos por
tipo de producto, el nivel de amenazas, top 10 de categorías de eventos y los eventos
por sensor u origen de datos.
Subsección de Tickets: Se debe validar los tickets que están abiertos.
Subsección de Security: Se debe validar el top 10 de host más promiscuos, top 5 de
alarmas, top 5 de eventos y otras gráficas.
Subsección de Taxonomy: se debe revisar si hay reportes de virus detectados, eventos
de malware por tipo y cualquier otro tipo de eventos.
Subsección de Vulnerabilities: Se debe validar si existen vulnerabilidades según los
reportes que las grafican por severidad, por servicios, por hosts o por redes.
64
Sección de Analysis: Esta sección contiene subsecciones como Alarms, Security Events,
Raw Logs, Tickets, donde se puede ver en detalle los eventos y filtrar por diferentes
opciones.
Sección de Enviroment: En esta sección se debe revisar la subsección de Availability, la
cual contiene el estado de todos los servicios que provee los hosts que están en la red tales
como smtp, ssh, http, bases de datos entre otros.
5.1.13 Evaluación de la implementación
La evaluación de la implementación se realiza utilizando una encuesta que se realizará
con el encargado seguridad y el gerente de operaciones, también se tendrá en cuenta la
estadística de eventos que el SIEM reporte.
5.1.14 Cierre y aceptación
Se firmará un acta de cierre y aceptación de la solución implementada y comenzará el proceso de
mejoras.
65
6. Cronograma fase 1
66
Cronograma Fase 2
67
7. Conclusiones
Un SIEM es una herramienta de gran importancia en la administración de la seguridad de la
información de una compañía ya que brinda un repositorio centralizado de logs y eventos que se
consideran pueden ayudar a realizar monitoreo del estado de la seguridad de la información y de
la trazabilidad de eventos.
Los beneficios que entrega un SIEM es la centralización de la gestión de la seguridad de la
información y el único punto de monitoreo por parte de los analistas de seguridad, además brinda
al oficial de seguridad un panorama completo del estado de la seguridad de la información en la
compañía.
OSSIM es un sistema de administrador de eventos y seguridad de la información open source con
características de colección de eventos, normalización de datos y correlación que es igual de
completo a las soluciones pagas, además tiene herramientas profesionales para descubrimiento de
activos de información y escaneo vulnerabilidades, detección de intrusos, monitoreo proactivo de
activos y que brinda la oportunidad a las compañías de acceder a soluciones para la gestión de la
seguridad de la información a un bajo costo.
68
8. Referencias
Amrit, W. (1 de Enero de 2007). Amrit Williams Blog. Obtenido de https://goo.gl/nsVqrm
Chuvakin, A. (2010). The Complete Guide to Log and Event Management [Whitepaper].
Recuperado el 25 de Junio de 2014, de http://goo.gl/MNK7Fq
Constantine , C. (2012). Alienvault Component Overview . Obtenido de https://goo.gl/5t3fJW
Dimitriadis, C., Chamurovski, G., Kaitano, F., & Vael, M. (2010). Security Information and
Event Management: Business Benefits and Security, Governance and Ass urance
Perspectives [Whitepaper]. ISACA. Recuperado el 25 de Junio de 2014, de
http://goo.gl/rFeHKO
Lane, A., & Rothman, M. (2014). Security Management 2.5:Replacing Your SIEM Yet?
Recuperado el 15 de Junio de 2014, de https://goo.gl/PTpjXB
Miller, D., Harris, S., Harper, A., VanDyke, S., & Blask, C. (s.f.). Security Information and Event
Management (SIEM) Implementation. McGraw-Hill. Obtenido de
http://en.bookfi.org/book/1167259
Motos, V. (2010). SIEM para una defensa en profundidad. Obtenido de http://goo.gl/4vgdQM
Swift, D. (2006). A Practical Application of SIM-SEM-SIEM Automating Identification
[Whitepaper]. SANS Infosec Reading Room. Obtenido de http://goo.gl/JSEike
Tanase, M. (2002). Sniffers: What They Are and How to Protect Yourself. . Obtenido de
http://goo.gl/JE6Zoj
Tarala, J. (s.f.). Implementing the 20 Critical Controls with Security Information and Event
Management (SIEM) Systems. SANS Infosec Reading Room. Recuperado el 5 de Junio de
2014, de https://goo.gl/K4KdgT
Williams, A. (2007). The Future of SIEM – The market will begin to diverge. Obtenido de
https://goo.gl/nsVqrm
69
Glosario
Appliance: Es generalmente un dispositivo de hardware separado con el software integrado,
diseñado específicamente para proporcionar un recurso informático específico. Estos dispositivos
se conocían como "aparatos", debido a su similitud con electrodomésticos, que son generalmente
"cerrado y sellado" - no reparables por el propietario. El hardware y el software son pre-integrados
y pre-configurado antes de la entrega al cliente, para proporcionar una solución "llave en mano" a
un problema particular. A diferencia de las computadoras de propósito general, los aparatos no
están generalmente diseñados para permitir a los clientes cambiar el software (incluyendo el
sistema operativo subyacente), o para reconfigurar de forma flexible el hardware.
Firewall: En computación, un firewall es un sistema de red basado en software o hardware que
controla el tráfico de red entrante y saliente basado en un conjunto de reglas aplicadas, un firewall
o cortafuegos, establece una barrera entre una red interna confiable y otra red (ejemplo el internet)
la cual no se asume que sea confiable y segura.
UTM (Unified Threat management): Administración unificada de amenazas, es una solución en
la industria de seguridad en redes, que desde 2004 ha sido la solución de seguridad de redes
primaria en las organizaciones , en teoría UTM es la evolución de los tradicionales firewalls, en
un producto capaz de realizar funciones múltiples dentro de un único dispositivo, tales como
firewall de red, sistema de prevención de intrusos, antivirus y antispam perimetral , VPN, filtrado
de contenido, balanceador de cargas y sistemas de prevención de fugas de datos ( DLP).
IDS (Intrusion detection system): Sistema de detección de intrusos, es un dispositivo ó aplicación
que monitorea redes y sistemas en busca de actividades maliciosas o violación de políticas y reporta
a una estación de administración, existen dispositivos enfocados en detección de intrusos en la red
(NIDS) y dispositivos enfocados en detección de intrusos en hosts (HIDS).
IPS (Intrusion prevention system): Sistema de prevención de intrusos, son dispositivos de
seguridad de red que monitorean la actividad de redes y sistemas en busca de actividad maliciosa
70
la principal función de un IPS es identificar la actividad maliciosa, registrar la información acerca
de la actividad, tratar de bloquear o suspender la actividad y reportarla.
Servidores Proxy: En las redes de computadoras, un servidor proxy es un servidor (un sistema
informático o una aplicación) que actúa como intermediario en las peticiones de los clientes en
busca de recursos de otros servidores. Un cliente se conecta al servidor proxy, solicitando algún
servicio, como un archivo, la conexión, la página web, u otro recurso disponible en un servidor
diferente y el servidor proxy evalúa la solicitud como una forma de simplificar y controlar su
complejidad. Los servidores proxies fueron inventados para añadir estructura y encapsulación a los
sistemas distribuidos. Hoy en día, la mayoría de los proxies son proxies web, lo que facilita el
acceso a contenidos en la World Wide Web y que proporcionan el anonimato.
Buffer Overflow: En seguridad informática y programación, un desbordamiento de búfer, o de
saturación del búfer, es una anomalía en un programa, mientras escribe datos en un buffer, desborda
los límites del búfer y sobrescribe memoria adyacente. Este es un caso especial de violación de la
seguridad de la memoria.
Sniffers: Un sniffer es una pieza de software que agarra todo el tráfico que entra y sale de un
ordenador conectado a una red. Están disponibles para varias plataformas, tanto en las variaciones
comerciales y de código abierto. Algunos de los paquetes más simples son en realidad muy fácil
de implementar en C o Perl, estos utilizan una interfaz de línea de comandos y vuelcan los datos
capturados a la pantalla. Los proyectos más complejos utilizan una interfaz gráfica de usuario,
estadísticas de tráfico en gráficas, el seguimiento de múltiples sesiones y ofrecen varias opciones
de configuración.
Backdoor (Puerta trasera): Una puerta trasera en un sistema informático (o sistema de cifrado o
algoritmo) es un método para evitar la autenticación normal, garantizar el acceso remoto no
autorizado a un ordenador, la obtención de acceso a texto plano, y así sucesivamente, mientras
intenta pasar desapercibido.
Las contraseñas predeterminadas pueden funcionar como puertas traseras si no se cambian por el
usuario. Algunas características de depuración también pueden actuar como puertas traseras si no
se eliminan en la versión.
71
Rootkits: Un rootkit es un tipo de software sigiloso, normalmente malicioso, diseñado para ocultar
la existencia de ciertos procesos o programas de los métodos normales de detección y permitir el
acceso privilegiado continuo a un ordenador. El término rootkit es una concatenación de "root" (el
nombre tradicional de la cuenta privilegiada en los sistemas operativos Unix) y la palabra "kit"
(que se refiere a los componentes de software que implementa la herramienta). El término "rootkit"
tiene connotaciones negativas a través de su asociación con malware.
Exploit: Es una pieza de software, un fragmento de datos, o una secuencia de comandos que se
aprovecha de un fallo o vulnerabilidad con el fin de causar un comportamiento no deseado o
imprevisto que se produzca en software, hardware, o algo electrónico (por lo general
computarizado). Tal comportamiento incluye con frecuencia cosas como obtener el control de un
sistema informático, lo que permite una escalada de privilegios, o un ataque de denegación de
servicio.
Vulnerabilidad: es una debilidad que permite a un atacante para reducir el aseguramiento de la
información de un sistema. La vulnerabilidad es la intersección de tres elementos: Una
susceptibilidad de un sistema o falla, acceso de un atacante a la falla, y la capacidad del atacante
de explotar la falla. Para explotar una vulnerabilidad, un atacante debe tener al menos una
herramienta aplicable o técnica que puede conectar a una debilidad del sistema. En este marco, la
vulnerabilidad también se conoce como la superficie de ataque.
Amenaza: Una amenaza es un evento potencial. Cuando una amenaza se convierte en un hecho
real, puede causar un incidente. Es indeseado porque el incidente puede dañar a una organización
o sistema.
Evento: Un evento de seguridad de información indica que la seguridad de un sistema de
información, servicio o red puede haberse incumplido o comprometido. Un evento de seguridad de
información indica que una política de seguridad de la información puede haber sido violada o una
medida puede haber fallado.
