miércoles, marzo 26, 2008

OSSIN - Software de seguridad

SSIM quiere suplir un hueco en las necesidades que un grupo profesionales del mundo de la seguridad día a día nos encontramos.

Nos sorprende que con el fuerte desarrollo tecnológico producido en los últimos años que nos ha provisto de herramientas de con capacidades como la de los IDS, sea tan complejo desde el punto de vista de seguridad obtener una foto de una red y obtener una información con un grado de abstracción que permita una revisión práctica y asumible.

Nuestra intención inicial en el desarrollo de este proyecto es mejorar esta situación a través de una función que podríamos resumir con el nombre de:

CORRELACIÓN

O la posibilidad de obtener una visibilidad de todos los eventos de los sistemas en un punto y con un mismo formato, y a través de esta situación privilegiada relacionar y procesar la información para detectar, monitorizar, priorizar y organizar el estado de la seguridad de nuestra red.

La idea de correlación está también implícita en la visión de nuestro proyecto en el sentido de agregación e integración de productos, queremos incluir un número de magníficos productos desarrollados en estos años en un Framework general que permitirá nuevas posibilidades al interrelacionar todas sus funcionalidades.

En el camino nos encontramos con nuevas necesidades que nos han permitido aumentar la precisión de nuestro sistema, esto siempre a través de una capacidad que ya forma parte del núcleo de OSSIM y es la:

VALORACIÓN DE RIESGOS

Como forma de decidir en cada caso cuando un evento que afecta a un activo y representa una amenaza debido a su procedencia, y ha sido detectada a través de sensores que nos ofrecen una fiabilidad, implica la necesidad de ejecutar una acción u otra.

Desde este momento nuestro sistema se vuelve más complejo pues ha de ser capaz de implementar una Política de Seguridad, un Inventario de la Red, nos ofrecerá un Monitor de Riesgos en tiempo Real, todo ello configurado y gestionado desde un Framework... No debemos en cualquier caso dejar que esta complejidad nos aparte de nuestro objetivo que es la integración de productos.

El resultado es por lo tanto realmente ambicioso y hereda todas las funcionalidades y el gran esfuerzo de desarrollo de una comunidad de expertos siendo nuestro papel el de meros integradores y organizadores.

Este proyecto quiere ser así mismo una muestra de la capacidad del mundo de código abierto de crecer en sí mismo y aportar soluciones punteras en sectores concretos como el de la seguridad de redes, donde las soluciones del mundo libre aportan otro importante valor: la auditabilidad o capacidad de auditoría de los sistemas que instalamos en nuestra red.



1. Introducción

1.1. Introducción

El desarrollo de este trabajo quiere dar respuesta a esta imagen que durante estos últimos años se ha repetido tantas veces:

“En el éxito de una intrusión, una vez franqueadas las defensas perimetrales se sucede el compromiso de decenas de máquinas. Existe un flujo de conexiones permanentes y duraderas durante varias horas, conexiones anómalas que dibujan un camino completamente contrario a lo que debería ser aceptable; procedentes desde el exterior crean un puente de entrada a la red interna donde una tras otra van comprometiendo más máquinas trazando un camino cada vez más anómalo, y peligroso..

Los usuarios y administradores de la organización víctima, que en ese momento se encuentran trabajando en las máquinas nunca notan nada extraño en el momento, casi nunca localizan el posible ataque a posteriori.

La analogía con el mundo real, aunque algo exagerada y cómica sería la de un ladrón que entra dando una patada a la puerta a las 12:00 de la mañana en cualquier oficina, se pasea por los despachos y pasillos donde la gente trabaja, visita los archivos, fotocopia la documentación que le interesa, encuentra una caja fuerte y sin ningún tipo de complejos se pone a darle martillazos. Mientras los empleados siguen ausentes concentrados en su trabajo...”

Algo falla en la detección de ataques de las redes corporativas, aparentemente tenemos la tecnología apropiada, a través sistemas de detección de intrusos somos capaces de detectar los eventos más concretos, sin embargo no somos capaces de revisar todas las alertas que estos nos envían debido a dos razones:

  • la cantidad
  • la poca fiabilidad

En otras palabras, obtenemos demasiadas alertas y estas no son fiables, obtenemos demasiados falsos positivos.

Obtenemos así mismo información muy detallada, pero atómica, parcial y sin capacidad de abstracción, no somos capaces de detectar ataques definidos por comportamientos más complejos, nuestro segundo problema son los falsos negativos.



1.2. ¿Que es OSSIM?

OSSIM es una distribución de productos open source integrados para construir una infraestructura de monitorización de seguridad.

Su objetivo es ofrecer un marco para centralizar, organizar y mejorar las capacidades de detección y visibilidad en la monitorización de eventos de seguridad de la organización.

Nuestro sistema constará de las siguientes Herramientas de Monitorización:

  1. Cuadro de Mandos para visibilidad a alto nivel
  2. Monitores de Riesgo y Comportamiento para la monitorización a nivel medio
  3. Consola Forense y Monitores de Red para el bajo nivel

Así mismo constará de las siguientes Capacidades para aumentar la fiabilidad y sensibilidad de detectores y monitores:

  1. Correlación
  2. Priorización
  3. Valoración de Riesgos
Por último deberemos tener una herramienta de administración que configure y organice los diferentes módulos tanto externos como propios que integrará OSSIM, esta herramienta será el Framework y mediante ella podremos definir la Topología, inventariar activos, definir una Política de seguridad, definir las reglas de Correlación y enlazar las diferentes herramientas integradas.

Gráfico: Seguridad0.com

Documento completo y descargas:

http://www.ossim.net/whatis_es.php

No hay comentarios: