A través de instalaciones de software de clientes o “sondas” para el registro y control de la medición y auditoría de red con la herramienta OSSIM / ALIENVAULT
Para poder disponer de una auditoría del entorno de seguridad, utilizaremos OSSIM como sistema para recolectar, comprobar, auditar, verificar y escanear tanto los elementos de seguridad perimetral actuales como los sistemas internos.
Para una implantación efectiva de la plataforma, se hace necesario desplegar bien sondas que deberán situarse tanto en el perímetro de las comunicaciones como delante de las pasarelas a monitorizar. En lugares donde no se requiera implantar las sondas puesto que lo único que se requiera monitorizar sea la red, se implementara una técnica alternativa que proporcionara al sistema la información necesaria como reenviadores de eventos para correlación.
En la imagen,se muestra un ejemplo de la distribución de las sondas que debería tener desplegadas la plataforma para poder proporcionarnos las funcionalidades que citaremos a continuación.
Sonda de Monitorización
EQUIPOS Y COMPONENTES MÁS DESTACADOS
- Filtra los eventos de seguridad y los envía al Sistema Central, donde se analiza los eventos de forma unificada, dando lugar a una correlación avanzada y una mayor fiabilidad en la detección de incidentes
SERVICIOS OFRECIDOS POR EL ACTIVO
Este sistema nos va a proporcionar las siguientes características
DESCRIPCIÓN:
- Detección de anomalías en la red - Análisis del tráfico IP en tiempo real - Identificación de los nodos que generan tráfico - Estadísticas del tráfico de VLAN, sistemas autónomos (AS) - Distribución del tráfico por Ips - Análisis del tráfico de acuerdo IP fuentes/destino - Reporte de uso por tipo de protocolo - Identificación pasiva del SSOO - Decodificación de los protocolos P2P más conocidos - Sistema de detección de intrusos - Análisis de eventos generados por los sistemas de seguridad perimetral - Agregación de log - Correlación de todos los eventos recogidos por las distintas sondas - Correlación avanzada (cruzada y por inventario) - Análisis de vulnerabilidades de los sistemas
Desde el punto de vista de red
DESCRIPCIÓN:
Se abordan los siguientes problemas: - Problemas de red que puedan mermar su funcionamiento - Abusos de red, desde el nodo final que puedan provocar la saturación red hasta el nodo de red que está siendo sobrecargado (Siempre y cuando los elementos de red lo permitan) - Identificación de qué usuario es el que está haciendo uso de un determinado ancho de banda y poder subsanarlo - Identificar la relación entre los nodos de la red que provocan sobrecarga de ancho de banda - Uso identificado por host del ancho de banda distribuido entre los principales protocolos
Desde el punto de vista de la seguridad
DESCRIPCIÓN:
Se abordan los siguientes problemas: - Alerta antes posibles ataques - Alertar de los posibles incidentes producidos en los cortafuegos, así como del resto de elementos de los cuales se requiera la agregación de logs - Evaluación del riesgo de un posible ataque - Minimizar el número de falsos positivos que puedan generarse en la organización - Definición más rigurosa de las políticas DPI (deep packet inspection) dentro del cortafuegos, siempre que lo permita - Implementación de políticas IPS que más se ajusten a nuestra organización - Análisis preventivo de los sistemas, con el fin de minimizar posibles ataques
Reportes de Seguridad
DESCRIPCIÓN:
Da una idea general de la situación de seguridad, aportando información desde diferentes puntos de vista: - Estadísticas de eventos de seguridad por fuente, destino o tipo - Reporte de anomalías - Reportes de seguridad - Reportes de disponibilidad - Reportes de usabilidad y de perfiles - Reportes de Host IDS. Reportes de Vulnerabilidades - Métricas adaptadas - Métricas de Riesgo - Consola Forense
ENTIDAD GESTORA DEL ACTIVO
ARIADNEX TECNOLOGIA FLEXIBLE SL
https://www.ariadnex.com/Travesía Pizarro 15 06800 Mérida (Badajoz)
Juan Miguel Trejo Fernández - info@ariadnex.com - 92 411 1807