| Artículos | 01 ENE 2004

Plataformas de gestión de seguridad

Las plataformas de gestión de seguridad recogen datos de los dispositivos heterogéneos de seguridad de la red y los paso a un formato común, a fin de analizar la información y, en consecuencia, lanzar respuestas y generar informes.

Las empresas confían en una variedad de productos de seguridad, como cortafuegos y sistemas de detección de intrusiones (IDS - Intrusion-Detection Systems) para monitorizar, investigar y realizar informes sobre las muchas clases de problemas de seguridad que experimentan día a día. Pero como cada tipo de producto y fabricante tiene su propio formato de consola, log y mensaje, a medida que va aumentando la infraestructura de seguridad corporativa, se hace más difícil comprender los datos de los dispositivos, indispensables para reconstruir la imagen completa del perfil de los retos de seguridad de la organización.
A fin de obtener el máximo valor de estos dispositivos heterogéneos, es preciso integrarlos en un sistema que proporcione la inteligencia y las herramientas necesarias para tratar de un modo coherente los miles, incluso millones, de alarmas y alertas que generan al día. Esto es justo lo que ofrecen las plataformas de gestión de seguridad, cuyos componentes recogen de una forma coordinada información de seguridad de la red, la pasan a un formato común, la almacenan en una base de datos y ejecutan tareas de análisis, lanzan respuestas y genera informes.

Componentes en acción
Las plataformas de gestión de seguridad constan de agentes de software, gestores basados en servidor y consolas. Los agentes pueden ser desplegados en los dispositivos de seguridad, dispositivos de red y aplicaciones que reportan eventos de seguridad en puntos de agregación o como “puestos de escucha” para broadcast SNMP. Los agentes envían los datos a los gestores basados en servidor, que consolidan, filtran y establecen relaciones entre los eventos, usando para ello reglas y una base de datos central. Estos gestores reportan información relevante a las consolas, donde los profesionales de seguridad monitorizan los eventos, reciben notificaciones, realizan investigaciones y proporcionan respuestas, si es el caso. Las consolas están disponibles como aplicaciones para estaciones de trabajo dedicadas o vía interfaces basadas en navegador para acceso remoto.
Juntos, estos componentes aportan un marco completo para detectar y responder a los ataques, cuando se producen, y, en todo caso, dar respuesta a cualquier reto de seguridad. Una base de datos almacena todos los eventos de seguridad, y la consola presenta toda la actividad generada.

Correlación de eventos
La función de correlación en tiempo real es el elemento clave de una plataforma de gestión de seguridad efectiva, ya que examina y analiza automáticamente millones de eventos por día. Para ello, lee la alarma original o los mensajes de alerta, analizando sus distintos campos y pasándolos a un esquema o formato común. A estos mensajes, que son enviados por el componente de correlación, se les asigna el nivel de prioridad apropiado, en función de las amenazas detectadas por el cortafuegos o el IDS y de los sistemas objetivo de tales amenazas. El sistema de correlaciones contiene un conjunto de reglas que prioriza las amenazas de acuerdo a criterios como:
- ¿Qué más ha ocurrido? Una cosa es saber que un conjunto de paquetes es peligroso y otra ver que los paquetes han alcanzado el objetivo pretendido.
- ¿Es vulnerable el activo? Muchas organizaciones emplean escáneres de vulnerabilidades para investigar sus redes proactivamente y reportar vulnerabilidades específicas para explotaciones conocidas. De este modo, se sabe si un sistema objetivo es vulnerable a un ataque concreto, determinándose en consecuencia la prioridad a establecer.
- ¿Qué valor tiene el activo? El valor del activo describe el rol del objetivo, que clase de datos maneja y qué aplicaciones corren sobre él. A mayor valor del activo, mayor prioridad para la alerta.
Como el fin de todo este proceso no es otro que tomar la acción correcta en el momento adecuado, la organización puede establecer políticas para determinar cuando dar respuestas automatizadas y cuando las respuestas son accionadas por el personal. n


Cómo funciona
----------------------
1. Los agentes recogen alertas y alarmas de seguridad procedentes de dispositivos como routers, cortafuegos o IDS.
2. Una base de datos almacena las alarmas junto con un perfil del activo.
3. La correlación en tiempo real crea un índice de la amenaza en función del tipo de evento, la progresión de los activos, y el valor y vulnerabilidad del objetivo.
4. Se muestra gráficamente la prioridad de las amenazas para que los administradores opten por lanzar respuestas automatizadas o activar acciones personalmente. Estas acciones pueden ser:
5. Escanear el sistema afectado para determinar el daño.
6. Terminar la sesión.
7. Analizar páginas o correo electrónico.
8. Generar un informe que sumarice toda la actividad de la dirección IP fuente.
9. Enviar sumario del ataque a la red o a la consola de gestión de sistemas.
Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios