analisis eventos - revista a+)) enero 2006
TRANSCRIPT
58
Nº 1 Enero / Febrero 2006
Hoy Hablamos de...
un entorno complejo y cambiante, pla-
gado de amenazas, que ponen en peli-
gro la Seguridad de la Información
que estos sistemas procesan, almacenan
o transmiten.
Para garantizar que nuestros sistemas
se mantienen a un nivel de seguridad
aceptable, es necesario conocer lo que
esta ocurriendo, dentro, fuera y en la
frontera de los mismos:
Conocer la existencia amenazas
Determinar la probabilidad de mate-
rialización de las amenazas
Conocer la materialización de la
amenaza, un ataque, si este se produ-
ce
Determinar el impacto real produci-
do por el ataque, la materialización
de la amenaza.
Actualmente, los componentes de los
Sistemas de Información y Comunica-
ciones, generan un gran número regis-
tros de eventos, que son almacenados
en los ficheros de log, y únicamente,
determinados tipos de eventos generan
una alarma, en muchos casos, solamen-
te cuando el ataque, la materialización
de la amenaza, ha tenido éxito. .
El gran volumen de datos recopila-
dos por los firewall, routers, sondas,
IDS, sistemas antivirus, los propios servi-
dores de la red y toda la panoplia de
elementos tanto hardware como soft-
ware instalados en nuestros sistemas,
impide su análisis y proceso, en un
tiempo razonable breve para que la
información obtenida sea útil. La única
forma de obtener dicha información
procesada en un tiempo útil, es dispo-
ner un Sistema de Análisis y Correla-
ción de Eventos.
Un adecuado Sistema de Análisis y
Correlación de Eventos, nos permite:
N uestros Sistemas de Informa-
ción y Comunicaciones se
encuentran desplegados en
Ricardo Cañizares SalesDIRECTOR REVISTA a+++++
...«inteligencia»en tiempo realde lo que estaocurriendo ennuestros sistemas
al como se expone en el «Caso de éxito», los Sistemas de Análisis y Co-
rrelación de Eventos de Seguridad, se han convertido en herramientasTimprescindibles para una adecuada gestión de la seguridad de los Sistemas de
Información, que contribuyen a la mejora de la calidad, al aumento de la efi-
ciencia y eficacia de los sistemas, así como a incrementar el nivel de seguridad
de la Información, uno de los activos más importantes de las Organizaciones.
Análisis de eventosAnálisis de eventos
59
Nº 1 Enero / Febrero 2006
Hoy Hablamos de...
Determinar, en tiempo real, la pro-
babilidad de materialización de una
amenaza en un instante dado
Conocer, en tiempo real, cuando
comienza un ataque al Sistema, per-
mitiendo una alerta temprana.
Conocer si un ataque ha tenido éxito
o no, y determinar el impacto real
del mismo sobre el sistema.
Determinar los patrones de materia-
lización de la amenazas, que serán
utilizados posteriormente, para im-
plantar nuevas salvaguardas o mejo-
rar las existentes.
Si somos capaces de gestionar y anali-
zar de forma adecuada, el ingente volu-
men de datos de eventos de seguridad,
que nos proporcionan nuestros siste-
mas, entonces seremos capaces de reali-
zar «inteligencia», conoceremos el nivel
de seguridad de nuestros sistemas y
tendremos la capacidad de prever los
ataques y por tanto disminuir el núme-
ro de impactos y la profundidad de los
mismos.
El tener conocimiento, «inteligen-
cia», en tiempo real, de lo que esta
ocurriendo en nuestros sistemas, nos va
a permitir cumplir con las cuatro
premisas de la seguridad:
Evitar, disminuir la probabilidad de
materialización de la amenaza, que
el ataque tenga éxito.
EN PRÓXIMOS NÚMEROS «HABLAMOS DE...»
Seguridad Física de los Sistemas de Información y Comunicaciones
La LOPD y su Reglamento
Protección contra virus y otros tipos de software malicioso
Dispositivos de Protección de Perímetro
Aplicación de Normas y Estándares en las TIC
Un sistema de Software Abierto
OSSIM
Un caso de éxito
Iberdrola
Para «Hablar de» Análisis deEventos, en este númerohemos seleccionado:
93
80
Retrasar, obligar a aumentar el um-
bral de duración del ataque (tiempo
necesario para que este ataque tenga
éxito).
Detectar, el comienzo del ataque y
tomar las medidas oportunas para
minimizar su impacto.
Defender, responder activamente,
recopilar información forense, nece-
saria para la investigación del inci-
dente y posterior persecución legal
del responsable.
Por ello, consideramos que todas las
Organizaciones deben contar con un
Sistema de Análisis y Correlación de
Eventos, que unido a un cuadro de man-
dos, le permita disponer de un conoci-
miento en tiempo real, del nivel de segu-
ridad de sus Sistemas de Información y
Comunicaciones, y adoptar las medidas
necesarias para mantener dicho nivel por
encima del mínimo requerido.