sábado, mayo 06, 2006

Security Information Managment

(Gestión y correlación de los eventos de seguridad)

Desde hace algún tiempo toda red de mediana envergadura se ha visto en la necesidad de instalar, no uno, sino varios productos de seguridad, como: Firewalls (de borde y/o host), IDS/IPS (de red y/o host), VPNs, los clásicos Antivirus, etc.
Esto le ha causado al personal de seguridad (si es que la organización tiene personal dedicado solamente a la tarea de mantener la seguridad) un terrible problema, y este problema consiste básicamente en que cada uno de estos productos genera un increíble volumen de eventos de seguridad; según datos del instituto SANS, un IDS en una red de gran tráfico puede producir de 2, a más de 50 millones de eventos por día. La otra arista de este problema reside en la poca fiabilidad de estos eventos, normalmente la mayoría de las alertas corresponden a ataques que no logran comprometer la red.
En otras palabras, tenemos demasiadas alertas y estas no son fiables, obtenemos demasiados falsos positivos. Asimismo, la información es muy detallada, pero atómica, parcial y sin capacidad de abstracción; no somos capaces de detectar ataques definidos por comportamientos más complejos, nuestro segundo problema son los falsos negativos.
Para dar respuesta al problema antes descripto han surgido los SIMs (Security Information Managment). Un SIM es un sistema que de forma centralizada colecta, normaliza, relaciona/correlaciona y prioriza los eventos de seguridad. Estos presentan los datos de seguridad de manera tal que puedan ser "digeridos" por el personal de seguridad. Su propósito es aumentar la eficiencia y la eficacia, pero además dar una vista global del estado general de seguridad, un excelente punto de partida para analizar el estado de la red, que antes no existía.
Junto con ellos ha surgido un nuevo tipo de proveedor de servicios, los MSSPs "Managed Security Service Providers", pero no hablaremos de ellos en este artículo, y menos de si se puede confiar en terceros para administrar la seguridad de nuestra red.
Diagrama simplificado del sistema:


Los SIMs propietarios no son productos baratos, su precio puede variar desde 50.000 a 200.000 dólares. Esto puede parecer una cantidad exorbitante, pero mantener el mismo nivel de seguridad sin disponer de esta herramienta, implicaría por los menos disponer del doble de personal en seguridad, dedicado a la sola tarea de chequear los eventos de seguridad, y de todas formas puede ser que se nos escapen cosas. Además con lo difícil que es conseguir profesionales en seguridad, es un desperdicio asignarlos a filtrar eventos poco relevantes.
Debido a su costo es necesario evaluar muy bien las alternativas existentes antes de elegir un producto. Las siguientes son algunas características que a mi juicio debe cumplir o tener un SIM:

• Colectar y normalizar (traducir los eventos a un formato estándar) las alarmas de un gran número de dispositivos (Firewalls, IDS, VPNs, Databases, WebServers, etc.), o al menos de los que se tiene instalados en la actualidad.
• Posibilitar el desarrollo de agentes, a través de algún lenguaje de scripting, para dar soporte a sistemas de seguridad no soportados.
• Disponer de un formato sencillo para agregar reglas de correlación.
• Correlacionar los eventos de seguridad en tiempo real.
• Disponer de un inventario con información de los dispositivos de red, servidores, pc de escritorio, relevancia de los dispositivos, ubicación, etc. Además debe utilizar esta información para priorizar las alertas.
• Generar reportes (y muchos), los cuales deben ser muy personalizables y el trabajo con ellos también debe ser sencillo.


Estas son sólo algunas características importantes, les recomiendo leer "Keys to implementing a Successful Security Information Management Solution" del instituto SANS.
Algunos desarrolladores de SIMs propietarios son: OpenService, netForensics, Intellitactics, ArcSight, Network Intelligence, Cisco (Cisco Works SIM y MARS), Computer Associates, IBM (Tivoli), Symantec (SESA) y NetIQ


Alternativas en Software Libre
Dos proyectos de software libre que implementan un sistema SIM son OSSIM y Prelude, ambos con un grado importante de desarrollo.

OSSIM
"Open Source Security Information Management"

Es una herramienta para monitorear la seguridad de una red. Actualmente integra 22 aplicaciones de seguridad y crea una consola de seguridad distribuida. Es la primera consola de seguridad Open Source y probablemente la más usada. Es utilizada por empresas desde Sudáfrica a Singapur, incluidas corporaciones y bancos españoles, entre ellos Telefónica Empresas de España, para su solución de “Seguridad Co-Gerenciada” (http://ossim.itdeusto.com/case.htm).
Su objetivo es ofrecer un marco para centralizar, organizar y mejorar las capacidades de detección y visibilidad en la monitorización de eventos de seguridad de la organización. OSSIM pone a trabajar juntas estas aplicaciones de seguridad, haciendo correlación, priorización y agregación de la información que generan, para hacer valoraciones sobre el estado de la red o buscar patrones que sirvan para detectar si está siendo atacada. Nos da una visibilidad de todos los eventos de los sistemas en un mismo punto y con un mismo formato, y aumenta la capacidad de detección a través de la correlación, prioriza los eventos según el contexto en que se producen, y al ser Open Source nos permite adaptarlo a nuestras necesidades. Entre las aplicaciones que ossim integra están: Snort, Ntop, Nagios, Nmap, Osiris, Iptables, Arpwatch, P0f, Pads, ..... y muchas más en activo desarrollo.

Prelude
Hybrid Intrusion Detection System

La gente que hace "Prelude" caracteriza al proyecto como un IDS híbrido, porque trabaja como un IDS basado en Host y en Red al mismo tiempo, es un producto que permite colectar los reportes de todas las aplicaciones de seguridad en un sistema centralizado.
A diferencia de ossim, prelude usa el estándar IDMEF (Intrusion Detection Message Exchange Format) para la comunicación de los eventos.
Soporta Snort, Nessus, Samhaim (este último es un HIDS) y más de 30 tipos de log de sistema. Sin embargo, al motor de correlación le falta bastante desarrollo, aunque es un proyecto muy activo y en marzo fue cargada al svn (el repositorio) una primera versión beta del motor y ya puede detectar algunas cosas.



Palabras finales
Los SIM son una tecnología muy reciente y aunque algunos analistas consideran que las versiones actuales son más bien "administradores de eventos", aún así esta mínima funcionalidad (tener disponible la información de seguridad en un solo lugar) puede aliviar el trabajo de los administradores de seguridad, haciéndoles disponer de más tiempo para otras tareas.



Referencias

1 comentario:

Sebastian Jara dijo...

Me parecio bastante interesante tu articulo, pues io pensaba desarrollar para mi trabajo de tesis una solucion hibrida de seguridad usando snort como ids y hacer algunas cosas mas, pero como veo ya esta hecho o por lo menos en desarrollo. quiza me puedas sugerir algo pues me interesa bastante la seguridad en redes institucionales