plan de mejoramiento siem o correlacionador de eventos de

PLAN DE MEJORAMIENTO SIEM O CORRELACIONADOR DE EVENTOS DE SEGURIDAD PARA EL MINISTERIO DE EDUCACIÓN NACIONAL

JAVIER GARCÍA ARIAS LINA KATHERINE RODRÍGUEZ DUARTE

UNIVERSIDAD PILOTO DE COLOMBIA FACULTAD INGENIERÍA

ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA BOGOTÁ D.C.

2021

PLAN DE MEJORAMIENTO SIEM O CORRELACIONADOR DE EVENTOS DE SEGURIDAD PARA EL MINISTERIO DE EDUCACIÓN NACIONAL

JAVIER GARCÍA ARIAS LINA KATHERINE RODRÍGUEZ DUARTE

Proyecto de grado para la obtención del título de especialización en seguridad informática.

Director Especialización en Seguridad Informática Ingeniero Álvaro Escobar Escobar

UNIVERSIDAD PILOTO DE COLOMBIA FACULTAD INGENIERÍA

ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA BOGOTÁ D.C.

2021

3

CONTENIDO

pág. INTRODUCCIÓN ............................................................................................................... 12 1. JUSTIFICACIÓN ........................................................................................................ 13 2. DEFINICIÓN DEL PROBLEMA .............................................................................. 14 2.1 ANTECEDENTES DEL PROBLEMA .............................................................. 14

2.2 FORMULACIÓN .............................................................................................. 14 3. OBJETIVOS................................................................................................................ 15 3.1 OBJETIVO GENERAL .................................................................................... 15 3.2 OBJETIVOS ESPECÍFICOS ........................................................................... 15 4. MARCO TEÓRICO .................................................................................................... 16 4.1 SIEM ................................................................................................................ 17 4.2 COMO FUNCIONA UN SIEM. ......................................................................... 17 4.3 ASPECTOS TÉCNICOS Y PROTOCOLOS DE COMUNICACIÓN. ............... 18 4.3.1 Protocolo SNMP.. ......................................................................................... 18 4.3.2 Protocolo Syslog.. ......................................................................................... 18 4.3.3 Envío de mensajes WMI. .............................................................................. 19 4.4 FORTISIEM ..................................................................................................... 19 4.4.1 Arquitectura de FortiSiem. ............................................................................ 20 5. MARCO REFERENCIAL .......................................................................................... 22 5.1 INFRAESTRUCTURA ACTUAL DEL MINISTERIO DE EDUCACIÓN NACIONAL ............................................................................................................ 23 5.2 ARQUITECTURA ACTUAL IMPLEMENTADA FORTISIEM .......................... 25 5.2.1 Características FortiSiem MEN. .................................................................... 26 5.3 ESTADO ACTUAL CONTROLES DE SEGURIDAD MEN ............................. 27 5.4 ANÁLISIS DE RIESGOS DE SEGURIDAD MEN ........................................... 32 6. DISEÑO METODOLÓGICO ...................................................................................... 35 6.1 CLASIFICACIÓN DE LOS EQUIPOS TECNOLÓGICOS DEL MEN .............. 35 6.2 PLAN DE MEJORA HERRAMIENTA FORTISIEM. ........................................ 37 6.2.1 Equipos de seguridad perimetral - Firewall - WAF - Anti DDoS .................... 44 6.2.2 Configuración Equipos Windows .................................................................. 45 6.2.3 Configuración de Equipos Linux ................................................................... 45 7. RESULTADOS ................................................................................................ 46 7.1 OPERACIÓN FORTISIEM MINISTERIO DE EDUCACIÓN NACIONAL......... 50 7.2 PANEL DE SEGURIDAD ................................................................................ 51 7.3 PANEL DE RECURSOS.................................................................................. 55

4

7.4 ANÁLISIS DE CONTROLES FORTALECIDOS Y RIESGO RESIDUAL ........ 58 7.5 PRESUPUESTO .............................................................................................. 65 7.6 CRONOGRAMA .............................................................................................. 66

8. CONCLUSIONES ...................................................................................................... 67 9. RECOMENDACIONES ............................................................................................. 68 BIBLIOGRAFÍA ................................................................................................................. 69 ANEXOS ............................................................................................................................. 70

5

LISTA DE CUADROS

Pág.

Cuadro 1 Instrumento de Evaluación de Seguridad de la Información cuadro ...... 28

Cuadro 2 Definición de estados cuadro ................................................................. 31

Cuadro 3 Análisis de Riesgos Inherente cuadro .................................................... 33

Cuadro 4 Mapa de Calor cuadro ............................................................................ 34

Cuadro 5 Seguridad Perimetral cuadro .................................................................. 36

Cuadro 6 Control de Acceso cuadro ...................................................................... 36

Cuadro 7 Identificación del área de mejora cuadro ................................................ 37

Cuadro 8 Nivel de Dificultad cuadro ....................................................................... 38

Cuadro 9 Acciones de mejora cuadro .................................................................... 38

Cuadro 10 Plan de Actividades .............................................................................. 40

Cuadro 11 Plan de Actividades Ejecutado cuadro ................................................. 47

Cuadro 12 Instrumento de Evaluación de Seguridad de la Información ................ 59

Cuadro 13 Definición de los parámetros de los controles de seguridad ................ 62

Cuadro 14 Análisis de Riesgos Residual ............................................................... 64

Cuadro 15 Mapa de Calor Residual ....................................................................... 65

Cuadro 16 Presupuesto ........................................................................................ 65

Cuadro 17 Cronograma ......................................................................................... 66

6

LISTA DE FIGURAS

Pág.

Figura 1. Historia de FortiSiem. ............................................................................. 20 Figura 2. Arquitectura ............................................................................................ 21 Figura 3. Infraestructura MEN ................................................................................ 25 Figura 4. Arquitectura MEN 2................................................................................. 26 Figura 5. Estado Controles Fuente ........................................................................ 30 Figura 6. Registro de Log ...................................................................................... 50 Figura 7. Registro de Eventos................................................................................ 51 Figura 8. Panel de Seguridad ................................................................................ 52 Figura 9. Índice de tráfico en diversos países ........................................................ 52 Figura 10. Eventos Alertas de Ataques .................................................................. 53 Figura 11. Evidencia de Correo Alertas de Ataques .............................................. 53 Figura 12. Eventos Usuarios .................................................................................. 54 Figura 13. Ataques Comunes ................................................................................ 54 Figura 14. Panel Recursos RAM ............................................................................ 55 Figura 15. Panel Recursos CPU. ........................................................................... 55 Figura 16. Panel Linux-Win .................................................................................... 56 Figura 17. Reporte Ataques ................................................................................... 57 Figura 18. Estado Controles Fortalecidos. ............................................................. 62

8

GLOSARIO

APPLIANCE: son dispositivos de hardware dedicados, encargados de efectuar un número determinado de funciones, habitualmente diseñados para instalarse en un rack, y que operan con software específicamente diseñado para ello1. BUFFER: un [Buffer] es en informática lo equivalente a la memoria de corto plazo de una persona. Es aquel almacenamiento que guarda pequeños datos o movimientos que se realizan dentro de una computadora, básicamente para optimizar el tiempo de respuesta del procesador.2 CLUSTER: Un cúmulo, granja o [cluster]de computadoras, lo podemos definir como un sistema de procesamiento paralelo o distribuido. Consta de un conjunto de computadoras independientes, interconectadas entre sí, de tal manera que funcionan como un solo recurso computacional. A cada uno de los elementos del [cluster] se le conoce como nodo.3 DASHBOARD: es una interfaz de usuario, que puede presentar algo de semejanza con el panel de control de un coche, donde se organiza y se presenta la información de una manera que es fácil de leer.4 DATA CENTER: centro de procesamiento de datos, es una instalación, construcción o inmueble de gran tamaño donde se albergan y mantienen numerosos equipos electrónicos como servidores, ventiladores, conexiones y otros recursos necesarios que se utilizan para mantener una red o un sistema de computadoras, información, conexiones y datos de una o varias empresas.5 FORTISIEM: es una solución, dedicada a la seguridad de la información. Además, permite relacionar los datos de seguridad y de red bajo un mismo marco. Por lo tanto, la herramienta trata de proporcionar un único panel de control para el centro de seguridad y operaciones de red.6

1 Vilches, N. C. Revista Gerencia. [En línea]. http://www.emb.cl/gerencia/articulo.mvc?xid=4448&ni=appliances-de-

seguridad-proteccion-en-todos-los-segmentos 2019

2 conceptodefinicion.de. [En línea]. https://conceptodefinicion.de/buffer/ 2021 3 Revista Unam. [En línea]. http://www.revista.unam.mx/vol.4/num2/art3/cluster.htm 2021 4 Arimetrics. [En línea]. https://www.arimetrics.com/glosario-digital/dashboard 2021 5 kionetworks. [En línea]. https://www.kionetworks.com/blog/data-center/qu%C3%A9-es-un-data-center 2021

6 MarTech Forum, S.L.U,. [En línea].

https://www.martechforum.com/herramienta/fortisiem/#:~:text=FortiSIEM%20(Security%20Information%20and%20Event,seguridad%20y%20operaciones%20de%20red. 2019

http://www.softzone.es/2014/10/24/buffer-se-actualiza-y-llega-al-ipad/

9

GPO: [Group Policy Object] Las Directivas de Grupo permiten implementar configuraciones específicas para uno o varios usuarios y/o equipos dentro de un directorio activo de Windows.7 HA: [High Availabity] sistemas o aplicaciones que requieren un nivel muy alto de fiabilidad y disponibilidad. Estos sistemas trabajan en 24x7 y por lo general emplean sistemas redundantes para minimizar el riesgo de inactividad debido a fallos de hardware y/o telecomunicaciones.8 HIPERCONVERGENCIA: es un sistema unificado y definido por software que reúne todos los elementos de un centro de datos tradicional: almacenamiento, recursos informáticos, red y gestión.9 IPS: un Sistema de Prevención de Intrusos es un dispositivo de seguridad, fundamentalmente para redes, que se encarga de monitorear actividades a nivel de la capa 3 (red) y/o a nivel de la capa 7 (aplicación) del Modelo OSI, con el fin de identificar comportamientos maliciosos, sospechosos e indebidos, a fin de reaccionar ante ellos en tiempo real mediante una acción de contingencia.10 LOG: en informática a nivel general hablar de “log” o “registro” es referirse a una información de más o menos bajo nivel reportada por el sistema operativo o una aplicación concreta que sirve para identificar qué está haciendo, incluyendo errores, problemas o avisos menores, y cuando ha sucedido eso, indicando la fecha, hora y segundo. En algunos casos se puede identificar el origen, el usuario, la dirección IP y otros campos interesantes desde el punto de vista de lo que ha sucedido.11 NOC: [Network Operations Center] es un centro de comando para monitorear la red de una compañía, especialmente si está basada en IP.12 RFC: [Request for Change, RFC] es una solicitud formal para la implementación de un Cambio. Se envía una Solicitud de Cambio a la Gestión de Cambios para cualquier Cambio que no sea estándar definido en una política de gestión de cambios.13

7 Cetatech. [En línea]. https://cetatech.ceta-ciemat.es/2014/12/directivas-de-grupo-gpo-en-windows-server-2012/ 2021 8 Glosario Terminología Informática. [En línea]. http://www.tugurium.com/gti/termino.php?Tr=high%20availability 2020 9 VMware. [En línea]. https://www.vmware.com/latam/topics/glossary/content/hyperconvergence.html 2021 10 Infotecs. [En línea]. https://infotecs.mx/blog/ips-sistema-de-prevencion-de-intrusos.html 2021 11 Lerena, S. Pandorafms. [En línea]. https://pandorafms.com/blog/es/logs/ 2021 12 DWS. [En línea]. https://dws.gruposerban.com/blog/por-que-un-noc-es-imprescindible 2020

13 IT Process Wiki. [En línea]. https://wiki.es.it-processmaps.com/index.php/Lista_de_control_-_Solicitud_de_Cambio_RFC

2019

10

SGSI: es el diseño, implantación y mantenimiento de un conjunto de procesos para gestionar eficientemente la accesibilidad de la información, buscando asegurar la confidencialidad, integridad y disponibilidad de los activos de información minimizando a la vez los riesgos de seguridad de la información.14 SIEM: [Security Information and Event Management] es una categoría de software que tiene como objetivo otorgar a las organizaciones información útil sobre potenciales amenazas de seguridad de sus redes críticas de negocio, a través de la estandarización de datos y priorización de amenazas. Esto es posible mediante un análisis centralizado de datos de seguridad, obtenidos desde múltiples sistemas, que incluyen aplicaciones antivirus, firewalls y soluciones de prevención de intrusiones.15 SOC: el centro de operaciones de seguridad se refiere al equipo responsable de garantizar la seguridad de la información. Es una plataforma que permite la supervisión y administración de la seguridad del sistema de información a través de herramientas de recogida, correlación de eventos e intervención remota.16 SQL INJECTION: se refiere a un ataque de inyección en el que un atacante puede ejecutar sentencias SQL maliciosas que controlan el servidor de bases de datos de una aplicación web.17 SWITCH: Un [switch] o conmutador es un dispositivo que sirve para conectar varios elementos dentro de una red.18 TCP_Flood: a veces conocida como un ataque medio abierto, es un ataque a nivel de red que bombardea un servidor con solicitudes de conexión sin responder a los correspondientes acuses de recibo. El gran número de conexiones TCP abiertas resultante consume los recursos del servidor para básicamente desplazar el tráfico legítimo, lo que hace imposible abrir nuevas conexiones legítimas y dificulta o imposibilita el funcionamiento correcto del servidor para los usuarios autorizados que ya están conectados.19

14 Firma-e. [En línea]. https://www.firma-e.com/blog/que-es-un-sgsi-sistema-de-gestion-de-seguridad-de-la-informacion/

2019 15 HelpSystems. [En línea]. https://www.helpsystems.com/es/blog/que-es-un-siem 2021 16 Oracle. [En línea].https://www.oracle.com/es/database/security/que-es-un-soc.html 2021 17 estrada. [En línea].https://estradawebgroup.com/Post/-Que-es-SQL-injection-y-Como-afecta-los-SQL-Query-/4273 2021 18 noBBOT. [En línea]. https://www.nobbot.com/redes/que-es-un-switch-y-como-funciona/ 2021 19 F5. [En línea]. https://www.f5.com/es_es/services/resources/glossary/syn-flood 2021

11

UDP_Flood: el UDP es un protocolo estándar de comunicación a través de redes IP. Debido a que los paquetes UDP carecen de estado, requieren una menor validación y comprobación de errores en comparación con el TCP. Un ataque de inundación UDP intenta sobrecargar un servidor de peticiones saturando las tablas de conexiones en todos sus puertos accesibles.20 VPN: [Virtual Private Network] consiste en un método utilizado para conectarnos a internet de forma privada. Para conseguirlo, el sistema oculta nuestra dirección IP real y enruta tanto nuestro tráfico de Internet como nuestros datos a través de un túnel privado y cifrado de forma segura a través de redes que sí son públicas.21 VULNERABILIDADES: una vulnerabilidad es una debilidad presente en un sistema operativo, software o sistema que le permite a un atacante violar la confidencialidad, integridad, disponibilidad, control de acceso y consistencia del sistema o de sus datos y aplicaciones.22 XXS: es un tipo de vulnerabilidad de seguridad informática típicamente encontrada en aplicaciones web que permiten la inyección de código por usuarios maliciosos en páginas web vistas por otros usuarios.23

20 F5. [En línea]. https://www.f5.com/es_es/services/resources/glossary/udp-flood 2021 21 muy INTERESANTE. [En línea]. https://www.muyinteresante.es/tecnologia/articulo/que-es-una-vpn-para-que-sirve-y-

cuando-usarla-351605293187 2021 22 tecnologia+informatica. [En línea]. https://www.tecnologia-informatica.com/vulnerabilidades-

informaticas/#Vulnerabilidad._Seguridad_informatica 2021 23 CICESE. [En línea]. https://seguridad.cicese.mx/dutic/42/Clasificaci%C3%B3n-de-Ataques:-Ataques-de-

Cross%E2%88%92Site-Scripting 2021

12

INTRODUCCIÓN Dentro del mundo digital, donde a través de cualquier dispositivo conectado, se pueden controlar todos los aspectos de las organizaciones, surge la necesidad de fortalecer todas las políticas necesarias para el control del uso de los sistemas informáticos y un sistema de gestión de eventos de seguridad de la información eficiente. Las políticas dentro del SGSI, van perdiendo eficiencia tan solo con el cambio constante y la evolución de los sistemas; adicionalmente, el crecimiento y la innovación de las amenazas que están en una constante evolución obliga a mantener un monitoreo de los diferentes eventos de seguridad que se presentan dentro las tecnologías de información en las organizaciones.      En este punto, surge la necesidad de mantener un sistema común, donde todos los eventos que provienen de los diferentes usuarios (internos, externos, autorizados y no autorizados) y de los sistemas, se recolecten, organicen y analicen, logrando obtener la parametrización óptima que permita hacer una detección anticipada de esos eventos que se pueden materializar en riesgos; así como el análisis constante de las amenazas, vulnerabilidades y brechas de seguridad. Con esto, no solo se busca mantener el monitoreo constante de eventos de seguridad en las diferentes plataformas, si no hacer un análisis que permita tomar acciones en pro de mejorar diferentes sistemas de información, situación que puede ser optimizada a través de las herramientas conocidas como un [System information and event manager] SIEM.

13

1. JUSTIFICACIÓN En la Actualidad, el Ministerio de Educación Nacional (MEN) cuenta con una plataforma SIEM a través del contratista que presta los servicios de gestión y administración de toda la infraestructura tecnológica, esta herramienta requiere ser parametrizada y configurada según las condiciones tecnologías del Ministerio, con el fin de dar valor y teniendo la visión de realizar la implementación completa de un SOC, para la administración de la seguridad de la información en la entidad. El Ministerio de Educación Nacional, cuenta con su propia política de seguridad y privacidad de la información basada en la norma ISO27001; Allí se encuentran políticas directamente relacionadas con la recolección, almacenamiento y auditoría de eventos, donde se puede gestionar un mejoramiento con el uso de herramientas más automatizadas para el tratamiento de estos eventos. La presente investigación se enfoca en estudiar y desarrollar una manera más eficiente, es decir, que se pueda hacer una correlación de eventos más ágil, a través de la plataforma de correlación de eventos SIEM implementada en el ministerio, y obtener un mejoramiento en la parametrización de la plataforma, para convertirla en una herramienta que ayude a la entidad a mejorar sus procesos en seguridad informática. Se debe gestionar la herramienta de correlacionador de eventos de seguridad, con el fin de reforzar controles y mantener una mejora continua en el SGSI implementado, para esto es necesario definir un análisis del manejo de eventos de seguridad dentro del Ministerio y un plan de mejoramiento donde se parametrice la herramienta del SIEM.   Algunas de las causas que motivan la investigación, tiene que ver con que el Ministerio no tiene totalmente centralizada la información de eventos de seguridad, puesto que la plataforma actualmente implementada, no cuenta con la configuración de dispositivos y tampoco se establecen las suficientes reglas para la generación de reportes, estadísticas, alertas de identificación de ataques y la detección de amenazas en el SIEM, todo esto dificulta el análisis y la gestión por parte de los analistas e incluso, afecta la respuesta oportuna frente a un evento o incidente de seguridad.

14

2. DEFINICIÓN DEL PROBLEMA

2.1 ANTECEDENTES DEL PROBLEMA La problemática que tiene el Ministerio de Educación Nacional se enfoca en el manejo y administración del SIEM, [Security Información and Event Management] o correlacionador de eventos de seguridad. Los principales inconvenientes presentes en esta plataforma se observan al establecer que existe una definición muy limitada de los parámetros para la correlación de eventos de seguridad, donde se evidencia la ausencia de auditabilidad, retención y parametrización de log; así mismo, se requiere establecer reglas acordes para la generación de reportes, estadísticas, alertas de identificación de ataques y la detección de amenazas, para optimizar la gestión de repuestas a los eventos e incidentes de seguridad.   2.2 FORMULACIÓN ¿La herramienta de correlación de eventos en el Ministerio de Educación Nacional se encuentra bien parametrizada para identificar, registrar y notificar adecuadamente los eventos de seguridad?

15

3. OBJETIVOS 3.1 OBJETIVO GENERAL Brindar al Ministerio de Educación Nacional una herramienta por medio del SIEM, que le permita agilizar el tratamiento de eventos e incidentes de seguridad, generando reportes, estadísticas, alertas de identificación de ataques y la detección de amenazas, agregando valor y fortaleciendo el SGSI de la entidad. 3.2 OBJETIVOS ESPECÍFICOS

• Obtener la información necesaria sobre toda la infraestructura tecnológica del Ministerio y los procesos relacionados con los eventos de seguridad.

• Evaluar la administración actual de los eventos de seguridad del Ministerio, evidenciando la problemática de gestión de las políticas asociadas al SIEM.

• Clasificar los activos de información, y establecer la prioridad con la que deben ser incluidos en la herramienta SIEM a parametrizar, para el monitoreo de recursos y eventos de seguridad.  

• Optimizar el correlacionador de eventos en el Ministerio de Educación Nacional, definiendo e implementando un plan de trabajo.

• Realizar la parametrización y configuración del SIEM implementado en el Ministerio de Educación Nacional, para interpretar de una manera más eficiente los eventos de seguridad de los activos de información.

16

4. MARCO TEÓRICO Analizando las políticas de seguridad de la información del Ministerio de Educación Nacional, es visible la problemática en la administración de algunos controles de seguridad concernientes a la trazabilidad, auditoría y detección de eventos de la infraestructura tecnológica, además de la automatización de procesos para la gestión, retención y recolección de estos; lo que dificulta el cumplimiento en los procedimientos indicados en las políticas del ministerio y que se ve reflejada en la posible pérdida de información de los eventos reportados desde toda la infraestructura. También, es evidente que tanto los dispositivos de telecomunicaciones, como de última milla, definida por el portal IWIND “(...) como el tramo final de una línea de comunicación, ya sea telefónica o un cable óptico, que llega al usuario final.” 24, servidores y equipos de seguridad, generan individualmente sus registros de log, los cuales son almacenados localmente en cada equipo, utilizando su propia capacidad; esta tarea requiere de un almacenamiento interno que en ocasiones es muy pequeño, lo que puede ocasionar pérdida de información.  Un ejemplo de esta problemática, es un [buffer] de log de algunos [Switch], entendido como la capacidad para retener información de eventos; este es ajustable alrededor de los 18 KB de almacenamiento, sin embargo, es reducido y una vez se supere esta capacidad, a través del tiempo, empieza a perder información más antigua, por ingresar a su memoria información nueva.  Se suma a la problemática, el hecho de que cada fabricante de dispositivos tiene formatos diferentes de log, haciendo que la tarea de interpretación sea mucho más complicada, dificultando así la labor de los analistas y la reacción oportuna ante un evento de seguridad. Una solución para no perder información, es enviar todos estos datos a un repositorio centralizado, donde puedan ser almacenados con mayor capacidad; esto arreglaría tan solo una de las problemáticas concernientes al almacenamiento, pero no soluciona el inconveniente de log que están en diferentes formatos y dificulta la interpretación. Por esta razón, se requiere una herramienta que solucione completamente estas problemáticas, ofreciendo un repositorio amplio de almacenamiento, una normalización de todos los datos, y una interpretación ágil, lo que permite tener un acceso a la información más confiable y segura. Al tener un sitio centralizado donde se recolecte toda la información, con estas características, se facilita los procesos de auditoría, reforzando así los controles y

24 IWINDS, ÚLTIMA MILLA. [En línea]. https://www.iwinds.com.ar/ultima-milla. 2020

17

ayudando a fortalecer el SGSI; para esto se contempla la configuración y parametrización del [FortiSiem], implementado en el Ministerio de Educación Nacional (MEN). Por tal motivo y con la finalidad de que pueda ser efectiva la solución de estas problemáticas, incluso ya en el proyecto orientado en el Ministerio, se realizará una contextualización de lo que es efectivamente un SIEM. 4.1 SIEM Es la sigla en inglés de [System Information And Event Manager] y como su nombre lo indica es una herramienta de gestión de eventos y seguridad, esta plataforma tiene la capacidad de detectar cualquier evento dentro de la infraestructura monitoreada, adicionalmente es capaz de detectar amenazas, y detectar patrones de comportamiento anormales, además de otras bondades como lo son el monitoreo de recursos de un dispositivo, con lo cual se pueden auditar los equipos críticos, con el fin de tener una herramienta que genere proactividad en la administración de todos los activos de información de TI. Lo que hace esta plataforma, es recopilar dentro de un solo sistema de almacenamiento, todos los log de eventos, de los dispositivos de seguridad, de los servidores, dispositivos de red y de cualquier dispositivo industrial que genere un log de eventos, con el fin de interpretarlos, analizarlos y procesarlos, para ofrecer al usuario una visión global de estos datos prácticamente en tiempo real. 4.2 COMO FUNCIONA UN SIEM. El SIEM, es una aplicación centralizada, que toma herramientas como él envió de mensajes [Syslog], el protocolo SNMP, y el protocolo WMI, para recolectar la información de cada uno de los dispositivos, no solo para almacenarla si no para organizarla e incluso interpretarla. Dentro de su estructura básica se encuentra una base de datos para almacenar los dispositivos que se quieren monitorear y la información que estos dispositivos proveen, también cuenta con módulos especializados y desarrollados para funciones más específicas, como lo son generación de reportes y administración de incidentes de seguridad, todo esto a nivel de software.    Dentro de las funciones de un SIEM, también se encuentra normalizar la información cronológicamente en una línea temporal, con el fin de identificar patrones a través del tiempo, también realizar una búsqueda fácil de eventos y usuarios para identificar en donde surgen los incidentes y por último tiene la capacidad de interpretar de forma inteligente los eventos con el fin de detectar vulnerabilidades y amenazas dentro de las tecnologías de información y las comunicaciones.  Cabe resaltar que el SIEM también cuenta con funcionalidades de auditor de recursos, donde permite visualizar el estado de los equipos a nivel de CPU,

18

memoria, y almacenamiento, esto con el fin de que se pueda hacer seguimiento a las máquinas vinculadas y garantizar la disponibilidad de estas. 4.3 ASPECTOS TÉCNICOS Y PROTOCOLOS DE COMUNICACIÓN. Como se menciona anteriormente, un SIEM, funciona en base de diferentes protocolos de comunicación, estos mismos protocolos brindan a la plataforma cierta información sobre el dispositivo y en muchas ocasiones se usan diferentes métodos de monitoreo para un solo activo, con el fin de obtener la mayor cantidad de log, a continuación, se definirán algunos de estos protocolos.    4.3.1 Protocolo SNMP. El protocolo SNMP, es el más usado para monitoreo y gestión de redes, este genera tráfico hacia el servidor con todos los datos de monitoreo de los activos de información relacionados dentro de su base de datos, los dispositivos hacen uso del protocolo UDP, para enviar información de sí mismos al servidor, este a su vez los toma e interpreta para generar una serie de estadísticas y de alarmas programadas, y por ultimo generar informes de comportamiento de la red y de los equipos monitoreados, para una administración proactiva de los recursos por parte de los administradores. SNMP viene de la sigla en inglés [Simple NetWork Management Protocol] fue desarrollado para administrar nodos, servidores, estaciones de trabajo, routers, switches y dispositivos de seguridad, en una red IP. SNMP es un protocolo de capa de aplicación que facilita el intercambio de información de administración entre dispositivos de red. SNMP es parte de la suite del protocolo TCP/TP.   Ariangelo25 determina que existen tres versiones, SNMPv1, SNMPv2 y SNMPv3, las tres basadas en NMS [Network managenet systems], los cuales son los nodos o agentes administrados y un [comunity string], la cual es una cadena de caracteres que identifica a un grupo de nodos en particular. El administrador SNMP puede obtener información del agente y cambiar la configuración en el agente, los agentes SNMP aceptan comandos y solicitudes del sistema SNMP si y solo si este tiene una [comunity string] configurada; cabe destacar que existen dos tipos de comunidades: [Read Only]; proporciona acceso de solo lectura del nodo monitoreado, y [Read write]; proporciona acceso de lectura y escritura del nodo monitoreado. De igual forma, se señala que SNMP utiliza los puertos UDP 161 y UDP 162, para él envió de información al servidor.

4.3.2 Protocolo Syslog. La plataforma [PAESSLER].26 establece que el protocolo [Syslog], es usado para enviar y recopilar eventos de todo tipo sobre los equipos

25 ARIGANELO, E. (2014). Guía de estudio para la certificación CCNA security. En E. ARIGANELO., Administración de

reportes. Guía de estudio para la certificación CCNA security. Madrid: Edición 1 p. 81.

26 PAESSLER. IT Explained: Syslog. [En línea] https://www.paessler.com/it-explained/Syslog

19

tecnológicos, cada dispositivo tiene un registro interno de eventos, este es enviado a otro lugar con mayores capacidades de almacenamiento para el resguardo y recopilación, los log normalmente son enviados en texto plano, con el fin de que estos sean livianos en caso de que requieran ser almacenados. La plataforma señala que este protocolo deviene de las siglas [System Logging Protocol], siendo así un protocolo estándar implementado para el envío de mensajes del sistema a servidores estandarizados, conocido como servidor [Syslog]; por ende, se implementa para compilar registros de dispositivos de varias máquinas en ubicaciones específicas, para monitorear adecuadamente.  

Así mismo, se establece que la mayoría de los dispositivos de red pueden tener este protocolo habilitado, como enrutadores, conmutadores, cortafuegos e incluso algunas impresoras y escáneres. Además, [Syslog] se puede utilizar en sistemas basados en Unix y Linux y en muchos servidores web, incluido Apache. Los sistemas Windows no instalan [Syslog] de forma predeterminada porque utilizan su propio registro de eventos de Windows. Estos eventos se pueden reenviar a través de utilidades de terceros u otras configuraciones haciendo uso de este mecanismo. 4.3.3 Envío de mensajes WMI. Los mensajes WMI son utilizados por los equipos windows, para información del estado de los dispositivos y más importante para él envió del estado de los archivos relevantes dentro del sistema operativo, este protocolo valida que cambios se han hecho en las carpetas del sistema; por ende, la Academia Rolosa27 determina que es una infraestructura de gestión y operación de datos en el sistema operativo basado en Windows, desarrollado por Microsoft basado en WBEN [Web-Based Enterprise Management]; permitiendo el acceso a los datos a varios estándares de configuración de Windows, así como al valor actual del estado del sistema. El acceso puede ser local o remoto a través de una conexión de red. WMI se basa en COM y DCOM y está integrado en Windows 2000, XP, 2003, Vista, 2008, Windows 7 y Windows 8 4.4 FORTISIEM [MarTech Forum]28 considera a FORTISIEM una solución enfocada en la seguridad de la información, permitiendo vincular los datos de seguridad y de red en una misma línea; es decir, la herramienta busca ofrecer un panel único de control para el centro de seguridad y operaciones de red [NOC & SOC].

27 ACADEMIA ROSOLA. ¿Qué es el sensor de WMI, requerimientos y cómo funciona? [En línea]. (https://kb.rolosa.com/np-

que-es-el-sensor-de-wmi-requerimientos-y-como-funciona/). 27 de abril de 2017

28MarTech Forum, S. FortiSIEM. [En línea].

https://www.martechforum.com/herramienta/fortisiem/#:~:text=FortiSIEM%20(Security%20Information%20and%20Event,seg

uridad%20y%20operaciones%20de%20red. 2020

20

La primera generación de SIEM, fue desarrollada en 2002 por la empresa PROTEGO NETWORKS, eventualmente esta empresa fue adquirida por CISCO en 2004, quienes desarrollan la segunda generación. En 2007 surge la empresa ACCELOPS, la cual fue conformada por parte del grupo desarrollador de la segunda generación de cisco, en 2016 Fortinet absorbe accelops, y se comienza el desarrollo de la plataforma [FortiSiem], en la Figura 1 se evidencia la evolución de la plataforma SIEM, hasta llegar a [FortiSiem].

Fuente: Fortinet

4.4.1 Arquitectura de FortiSiem. La arquitectura del [FortiSiem], como se muestra esquemáticamente en la Figura 2, funciona en base a servidores relacionados, los cuales dividen todo el procesamiento para no sobre cargar una sola máquina, se tienen 3 funciones principales. Collector: Es un servidor el cual recibe toda la información de logs y la organiza, su función es estandarizar la información recibida de los diferentes dispositivos, para poderla entregar en un solo formato en común, este dispositivo no almacena información ni log. Workers: Son los que realizan el gran trabajo de procesamiento, este equipo recibe los log estandarizados del [collector] y los almacena, para a su vez empezar a realizar la correlación de eventos. Supervisor: Es donde se parametriza toda la configuración del [FortiSiem], su trabajo es administrar e interpretar información, este servidor muestra una interfaz amigable para el usuario, así como sus privilegios, y es el que se encarga de administrar la base de datos principal del equipo.

Figura 1. Historia de FortiSiem.

21

Figura 2. Arquitectura

Fuente: Elaboración propia

De igual modo, Las funciones de [worker] y supervisor, están separadas según el ambiente y la infraestructura adquirida por el cliente, pero en muchas ocasiones se centralizan estas dos funciones en un solo [appliance], con niveles de almacenamiento y procesamiento más altos, para soportar las dos funciones. Este tipo de arquitectura resulta muy escalable, puesto que a medida que el nivel y cantidad de dispositivos cambien, se puede adicionar recursos a nivel de servidores o disminuir la arquitectura de [FortiSiem].

22

5. MARCO REFERENCIAL El Ministerio de Educación Nacional (MEN)29 expone que su misión radica en vincular y enfocar la formulación, implementación y evaluación de las políticas públicas de educación, llenando vacíos en la protección del derecho a la educación de servicios educativos de alta calidad dentro de una prestación adecuada que reconozca e integre los recursos educativos, señalando que las diferencias, territorios y orígenes permiten una vía educativa completa para promover el desarrollo integral de la sociedad y los individuos, siendo así un pilar importante para el desarrollo del país. Por consiguiente, es fundamental que todos los procesos de la organización estén protegidos frente a las diferentes amenazas que existen en el ciberespacio y que los datos de los usuarios realmente puedan ser custodiados, bajo las características de integridad, confidencialidad, y disponibilidad de la información, por eso es importante que a través de un correlacionador de eventos se pueda de manera anticipada evitar la materialización de riesgos que pongan en peligro estos datos. En vista de que para la entidad es muy importante el manejo que se da a la información, no solo de los usuarios sino de toda la infraestructura, es fundamental definir las condiciones y los responsables de su manipulación. Es así como se establece también el acuerdo de confidencialidad con el MEN, entidad objeto del desarrollo de este trabajo de grado orientado a una investigación aplicada, donde se define y aclara los parámetros de confidencialidad de la información y se precisa que no se van a tratar o exponer datos sensibles de la infraestructura tecnológica de la entidad, asimismo se consideran los procesos y lineamientos establecidos por ellos y la ley 1581 de 2012 de Habeas Data. Además, se debe tener en cuenta que el equipo [FortiSiem] es un equipo al servicio del Ministerio y cuyo propietario es una empresa privada outsourcing del MEN, de la cual también se tiene autorización para el uso y tratamiento de información referente al equipo. A continuación, y de acuerdo con el primer objetivo planteado en el proyecto se hace la descripción del estado actual de la infraestructura tecnológica del ministerio y de la implementación del [FortiSiem].

29

MEN. (2019), Misión y Visión. [En línea]. https://www.mineducacion.gov.co/portal/Ministerio/Informacion-

Institucional/89266:Mision-y-Vision. 2019.

23

5.1 INFRAESTRUCTURA ACTUAL DEL MINISTERIO DE EDUCACIÓN NACIONAL

El MEN cuenta con dos bloques grandes de infraestructura divididos en dos centros de cómputo, uno de estos se encuentra ubicado en la sede principal del Ministerio denominado DC Principal, el otro se encuentra ubicado en las instalaciones del proveedor de servicios, el cual se denomina, DC Externo. Ambos [datacenter], cuentan con toda la infraestructura de servidores, internet, seguridad y equipos de telecomunicaciones, para soportar todas las aplicaciones informáticas que provee el Ministerio, así como los canales de comunicación necesarios para el intercambio de información entre ambos sitios. A nivel de servidores la sede principal y el DC Externo, cuentan con toda la infraestructura virtualizada, basada en hiperconvergencia, la cual adopta todas las bondades de la virtualización, para mantener la disponibilidad de servicios, esta infraestructura está dividida en tres ambientes. 

• Pruebas: Es donde se realiza todo el desarrollo de las aplicaciones por demanda de MEN, este ambiente solo se encuentra implementado en el [datacenter] principal, y a este solo se tiene acceso mediante la red interna del Ministerio.

• Certificación: Este se encuentra únicamente en el [datacenter] principal, y es donde se instalan las aplicaciones ya terminadas y que requieren una fase de pruebas funcionales y de corrección de errores, a este ambiente se tiene acceso mediante la red interna, para administración de servicios, y mediante algunas publicaciones en internet .

• Producción: El ambiente de producción, se encuentra tanto en la sede principal, como en el DC Externo, es donde se despliegan las aplicaciones ya terminadas al público, es el más importante de los ambientes, a este se tiene acceso mediante la red interna para la administración gestión y mediante publicaciones en internet.  Para la infraestructura de seguridad, el MEN cuenta con una serie de equipos [appliance] , específicos de seguridad, con los cuales se administran tanto los accesos de tráfico, políticas de servicios y publicaciones hacia internet, los cuales se encuentran en ambos [datacenter], ahí están los siguientes dispositivos:

• Firewall perimetral: Este [appliance] es un [cluster] de dos equipos que mantienen la redundancia y alta disponibilidad, este equipo administra los accesos a todos los ambientes, así como los permisos de tráfico hacia toda la infraestructura, adicionalmente es con el cual se administran los accesos externos y de VPN de Ministerio, cada [datacenter]cuenta con un [cluster] de equipos.

24

• Firewall de aplicaciones WAF: Este [appliance] se encarga de inspeccionar todo el tráfico que viene de internet y que se dirija a algún servidor que se encuentre desplegando alguna aplicación. Este dispositivo cuenta con la suficiente inteligencia para detectar y bloquear ataques de aplicaciones, como [SQL injection] y XXS, también cuenta con un [cluster] de equipos para asegurar la redundancia y la alta disponibilidad, en cada centro de cómputo.  

• Anti DDos: Este equipo se encuentra igualmente ubicado en los dos [datacenter] y se encarga de administrar las políticas de denegación de servicio, el equipo anti DDoS detecta cuando se está realizando un ataque de denegación de servicio y bloquea las cesiones que estén por fuera de su política, igualmente se encuentra configurado en clúster con dos equipos en cada [datacenter]. Para los enlaces de telecomunicaciones, el MEN cuenta con infraestructura redundante a nivel de proveedor de internet y de canales, esta infraestructura es administrada por el proveedor externo, quien provee y garantiza, la disponibilidad tanto entre los dos [datacenter] como con los enlaces de internet. A nivel lógico, los clústeres de equipos se pueden representar como un solo equipo, puesto que sus características de HA [High Availabity], permiten administrar cada par de equipos como si fueran uno solo. En la Figura 3, se muestra un diagrama, donde se ilustra toda la infraestructura del ministerio, donde se evidencia los diferentes ambientes y [apliance] que intervienen en las comunicaciones de la entidad.

25

Fuente: Ministerio de Educación Nacional, 2019

5.2 ARQUITECTURA ACTUAL IMPLEMENTADA FORTISIEM

La implementación de [FortiSiem], con la que el Ministerio de Educación Nacional cuenta, consta de un [appliance FortiSiem] 3500f quien cumple las funciones de [worker], supervisor y un [FortiSiem] 500f quien cumple la función de [collector], estos se encuentran instalados en la sede principal y poseen un licenciamiento de diez mil (10.000) eventos por segundo, en la Figura 4 se muestra como es el la arquitectura de [FortiSiem] y el flujo de datos a través de la implementación.

Figura 3. Infraestructura MEN

26

Fuente: Elaboración Propia

5.2.1 Características FortiSiem MEN El equipo [FortiSiem] consta de dos

servidores de amplias capacidades, los cuales se encuentran instalados en la data

center principal, normalmente las instalaciones de la mayoría de las plataformas

SIEM se basan en servidores virtuales, para los cuales se deben solicitar una

mínima cantidad de recursos, tanto en almacenamiento como en memoria y

procesador.

La solución de [FortiSiem] puede ser combinada entre [appliance] virtuales y [appliance] físicos, para efectos de esta aplicación se tienen dos servidores físicos, con características ya definidas de fábrica, las cuales pueden ser mejoradas a nivel de memoria y almacenamiento, pero no a nivel de procesador. El equipo [FortiSiem] 3500f, cuenta con 2 procesadores Intel Xeon E5 de 2.8 Ghz, 64 GB de memoria RAM y 72 TB de capacidad de almacenamiento, este equipo cumple el rol de supervisor/[worker], y, por ende, requiere un nivel de almacenamiento mucho más alto. El equipo [FortiSiem] 500f, cuenta con un procesador Intel Xeon E3 de 3.2 Ghz, una memoria de 16GB y una capacidad de almacenamiento de 3TB, este funciona a nivel de colector, por lo cual requiere ser más veloz a nivel de procesamiento, puesto que este equipo recibe una cantidad de tráfico muy pesada y necesita niveles de procesamiento altos para poder atender la demanda de tráfico.

Figura 4. Arquitectura MEN 2

27

Con esto se logra tener la infraestructura necesaria para recibir, almacenar y procesar los eventos de diferentes plataformas, con eficiencia y seguridad, garantizando que la información sea procesada en su totalidad. La Tabla 1, específica las características técnicas dadas por el fabricante de la herramienta. Tabla 1. Características de FortiSiem

Fuente: FortiSiem (2020)

Teniendo en cuenta la importancia que tiene el Ministerio y el cumplimiento de los objetos estratégicos del plan de gobierno nacional, el componente de la seguridad reviste una importancia significativa, por ende, es esencial que se tenga frente al contexto del proyecto y acorde al planteamiento del segundo objetivo de este, un análisis de la situación actual del ministerio basado en los controles relacionados con la auditabilidad. 5.3 ESTADO ACTUAL CONTROLES DE SEGURIDAD MEN

Una vez revisado el documento Política de seguridad y privacidad de la información del MEN (Véase Anexo B), se concluye que con este proyecto es posible mejorar los controles de seguridad planeados en esta política: 1.3.16 protección contra código malicioso y 1.3.18 eventos de auditoría, asimismo, los controles de seguridad asociados, donde se establece que los eventos deben ser registrados, almacenados y estar disponibles para funciones de control y auditaje. 

28

Con la finalidad de lograr medir la situación actual del Ministerio frente a los objetivos de control planeados en su política, se hará un análisis GAP, el cual consiste en ponderar la situación actual de esta entidad pública vs el estándar ISO/IEC 27001, particularmente, frente a los controles de seguridad relacionados con el proyecto y así lograr, establecer la brecha existente buscando minimizar la misma frente a la implementación. En el Cuadro 1, Se evalúan doce objetivos de control en su estado actual, arrojando la medida en que se encuentran aplicados y así poder identificar riesgos potenciales y vulnerabilidades que surgen de la debilidad del proceso. Cuadro 1. Instrumento de Evaluación de Seguridad de la Información.

Cláusula Sección Objetivo de Control

Control Observación Estado

9 control de

Acceso

9.1.1 Política de control de acceso

Se debe establecer, documentar y revisar una política de control de acceso con base en los requisitos del negocio y de seguridad de Ia información.

La política y los roles de control de acceso se encuentran definidos mediante plataforma ISE, el registro de eventos está disperso en los diferentes componentes de las plataformas

Gestionado

12.

Seguridad en las

Operaciones

12.2.1 Controles contra códigos maliciosos

Se deben implementar controles de detección, de prevención y de recuperación, combinados con la toma de conciencia apropiada de los usuarios, para proteger contra códigos maliciosos

La política de código malicioso en su mayoría se encuentra gestionada por el sistema antivirus, el cual realiza el análisis completo de código malicioso. Los eventos que se generan con respecto a virus en el firewall perimetral no se están almacenado con suficiente retención de tiempo.

Gestionado

12.4.1 Registro de eventos

Se deben elaborar, conservar y revisar regularmente los registros acerca de actividades del usuario, excepciones, fallas y eventos de seguridad de la información.

Los eventos registrados se encuentran en los diferentes sistemas, alojados localmente, lo cual puede generar perdida y dificultad de interpretación de log.

Incompleto

12.4.2 Protección de la información de

registro

Las instalaciones y la información de registro se deben proteger contra alteración y acceso no autorizado

El almacenamiento y retención de eventos no se realiza de una forma centralizada, y no se parametrizan los log en el mismo formato

Incompleto

12.4.3 Registros del Administrador y del Operador

Las actividades del administrador y del operador del sistema se deben registrar, y los registros de deben proteger y revisar con regularidad.

Los registros se almacenan en texto plano lo cual dificulta la interpretación

Incompleto

29

Cuadro 1. (Continuación) Cláusula Sección Objetivo de

Control Control Observación Estado

12.6.1 Gestión de las

vulnerabilidades técnicas

Se debe obtener oportunamente información acerca de las vulnerabilidades técnicas de los sistemas de información que se usen; evaluar Ia exposición de Ia organización a estas vulnerabilidades, y tomar las medidas apropiadas para tratar el riesgo asociado.

La información de vulnerabilidades se obtiene mediante informes mensuales, mas no se tiene un análisis constante en el tiempo debido a que no hay una interpretación contante de eventos, ya que a que no se tiene un SOC que reporte eventualmente los análisis de vulnerabilidades.

Incompleto

16. Gestión de Incidentes de

Seguridad de la Información

16.1.1 Responsabilidades y Procedimientos

Se deben establecer las responsabilidades y procedimientos de gestión para asegurar una respuesta rápida, eficaz y ordenada a los incidentes de seguridad de Ia información.

La respuesta a incidentes de seguridad se realiza de forma oportuna, validando las herramientas existentes como lo son fortianalizer, y log locales de la los dispositivos de seguridad, sin embargo la clasificación búsqueda y análisis de los log no se encuentra parametrizado ni estandarizado, por una herramienta común donde sean almacenados.

Incompleto

16.1.2 Reporte de eventos de


Los eventos de seguridad de Ia información se deben informar a través de los canales de gestión apropiados, tan pronto como sea posible.

Los eventos detectados son informados oportunamente se debe reforzar con la plataforma SIEM, puesto que los eventos se podrían detectar con anticipación.

Incompleto

16.1.3 Reporte de debilidades de Seguridad de la

Información

Se debe exigir a todos los empleados y contratistas que usan los servicios y sistemas de información de Ia organización, que observen y reporten cualquier debilidad de seguridad de Ia información observada o sospechada en los sistemas o servicios.

Las debilidades de seguridad se reportan, en la medida que se detectan, pero no se tiene un sistema de detección automatizado, en el cual se reporten las anomalías.

Incompleto

16.1.4 Valoración y decisión de eventos de


Los eventos de seguridad de la información se deben evaluar y se debe decidir si se van a clasificar como incidentes de seguridad de la información

La detección de eventos de seguridad se podría evaluar de una forma proactiva con el sistema SIEM, y hacer correcciones sobre el acceso de tráfico antes de que se genere un incidente de seguridad

Gestionado

30

Cuadro 1. (Continuación) Cláusula Sección Objetivo de

Control Control Observación Estado

16.1.5 Respuesta a incidentes de


Se debe dar respuesta a los incidentes de seguridad de la información de acuerdo con procedimientos documentados

Cuando se presenta un incidente de seguridad o un evento de seguridad se evalúa desde las herramientas existentes, sin embargo, los eventos se puedes evaluar mejor desde una plataforma centralizada

Gestionado

16.1.6 Aprendizaje de incidentes de


El conocimiento adquirido al analizar y observar incidentes de seguridad de la información se debe usar para reducir la posibilidad o el impacto de incidentes futuros

Se genera retroalimentación, sobre los eventos de seguridad, el análisis con la herramienta ayudará a tener una visión más amplia de los eventos.

Gestionado

Fuente: ISO 27001

En la Figura 5, se evidencia un consolidado del estado actual de los controles de seguridad evaluados, donde el 58% se encuentran en el umbral de incompleto, es decir una ausencia total o muy poca de la política y el 42% se encuentra en el umbral de gestionado, en este, el proceso alcanza su propósito pero todavía no se completa, en el Cuadro 2, se muestra la definición del estado con el porcentaje de aplicación en el Ministerio de Educación Nacional.


Figura 5. Estado Controles Fuente

31

Cuadro 2 Definición de estados


Actualmente los controles implementados por el Ministerio, con respecto al registro y almacenamiento de eventos de seguridad, se basan en procesos de manera sistemática, donde se asignan tareas a desarrollar por el analista, el cual tiene que realizar un proceso de descarga y almacenamiento de log de cada dispositivo y enviarlos en un repositorio designado. Estos controles, si bien cubren la necesidad del objetivo de control, contienen varias debilidades, en cuanto a que no se tiene la información centralizada en un solo lugar y tampoco la suficiente rigurosidad para la obtención de log, ya que está sujeto al criterio y disponibilidad de la persona encargada, con esto también se genera una potencial pérdida y continuidad en la información a través del tiempo. Al tener una información deficiente de log, se dificulta el análisis de vulnerabilidades y eventos de seguridad, haciendo más compleja la reacción oportuna y la detección de incidentes de seguridad. Del análisis del estado y basados en la ausencia y debilidad de los controles, se identifican vulnerabilidades potenciales, lo cual genera el aumento en la

32

probabilidad de que se materialicen riesgos asociados, afectando la operación y debilitando el SGSI. 5.4 ANÁLISIS DE RIESGOS DE SEGURIDAD MEN

Derivado del análisis de controles, se logran identificar tres vulnerabilidades potenciales:

• Ausencia de registro centralizado sobre autenticación de usuarios y trazabilidad de un usuario dentro de los sistemas de información, falta de protección de registros.

• No se tiene un sistema de detección de eventos de seguridad automatizado, el cual ayude a mantener un monitoreo constante de los ataques diarios en tiempo real.

• La retención de registros no se hace de una manera automatizada y constante, generando insuficiencia a través del tiempo y disponibilidad de los datos.

Estas tres vulnerabilidades al sumarse con algunas amenazas constantes en el entorno como lo son el cibercrimen y el uso no autorizado de equipos logran desencadenar riesgos inherentes en las políticas del SGSI, como lo son:

• Alteración de información de registros de control

• Respuesta ineficaz y desordenada a incidentes de seguridad.

• Perdida de información sensible para el MEN.

En consecuencia, haciendo el análisis de estos riesgos y plasmándolos en una matriz de riesgos inherentes como se muestra en el Cuadro 3, se logra dar una visión de la potencial probabilidad con la que se pueden materializar, dejando ver la necesidad que tiene el Ministerio de reforzar los controles, con la ayuda de la correcta parametrización del SIEM.

33

Cuadro 3 Análisis de Riesgos Inherente


34

En el Cuadro 4 se obtiene el mapa de calor, que ubica los riesgos inherentes analizados en la matriz en un umbral de inaceptabilidad.

Cuadro 4 Mapa de Calor


Una vez evaluados los objetivos de control y los riesgos que contrae la debilidad de estos, se logra evidenciar que una herramienta de correlación de eventos es muy importante en cualquier área de TI, más cuando se trata de una infraestructura tecnológica de gran tamaño, en la cual habría dificultad en mantener los controles de forma sistemática. Es por esto por lo que el Ministerio tiene la visión a corto plazo de implementar un SOC propio, donde se centralicen no solo los eventos de seguridad, si no toda la administración y procesos en seguridad de la información y así mantener una mejora continua de controles acorde a los avances en ciber seguridad.

35

6. DISEÑO METODOLÓGICO Teniendo en cuenta lo evaluado y contextualizado del estado actual de la seguridad informática y el SIEM implementado en el Ministerio de Educación, es necesario realizar una clasificación de los activos de información desde el concepto de la infraestructura tecnológica, e implementar un plan de mejoramiento para el proceso de retención y recolección de eventos de seguridad, que a su vez se verá reflejado en el fortalecimiento de los controles asociados a las políticas de Protección contra código malicioso y Eventos de auditoría las cuales se encuentran consignadas en el documento de Política de seguridad y privacidad de la información. (Véase Anexo B).

Para esto se realiza la clasificación de activos de información pasando por una identificación de los mismos, culminando con los que tengan mayor importancia para el proyecto. Adicionalmente, se habilita la funcionalidad de monitoreo de recursos, para obtener toda la información del rendimiento y estado de los equipos de manera integral, en toda la infraestructura. 6.1 CLASIFICACIÓN DE LOS EQUIPOS TECNOLÓGICOS DEL MEN Para la correlación de log de los activos de información del Ministerio, es importante definir el orden en que se van a ir agregando al [FortiSiem], ya que dependiendo de la información que estos proveen, se debe dar prioridad en el seguimiento de algunos equipos, tratando de garantizar la Integridad, confidencialidad y disponibilidad de la información de eventos por más tiempo. Los activos relacionados en la matriz de activos de información del Ministerio de Educción Nacional (Véase Anexo C). Se encuentran discriminados por la criticidad de la información que administran dentro del sistema [core] de la entidad y dentro de sus sistemas misionales, con respecto al SIEM se deben identificar cuales activos dentro de la matriz son los más relevantes para correlacionar en función de los eventos de seguridad. Se hace énfasis en la recolección de log provenientes de los equipos de seguridad perimetral y en consecuencia con el tercer objetivo planteado en el proyecto, se identifican que de estos se obtiene la mayor cantidad de información de eventos, flujos de tráfico, identificación de ataques y detección de amenazas dentro de la infraestructura tecnológica del MEN, es así como en el primer grupo relacionado en el Cuadro 5, se clasifican los firewall perimetrales, aplicaciones WAF y anti denegación de servicio DDoS, los cuales se encuentran relacionados en la matriz de activos de información como “dispositivos de seguridad” con el ID (353).

36

Cuadro 5 Seguridad Perimetral

Nombre Infraestructura Observaciones

Firewall Perimetral al CAN

Fortinet

Es necesario agregar estos equipos perimetrales, ya que son los equipos que administran el tráfico total, tanto interno como externo del Ministerio, y son los equipos de donde se optimen la mayor cantidad de logs de seguridad.

Firewall Perimetral TITAN

Firewall WAF CAN

Firewall WAF TITAN

Anti- Ddos CAN

Anti- Ddos TITAN


Continuando con la revisión de los activos de información, se buscan aquellos que proporcionan eventos relacionados con el control de acceso, particularmente de usuarios, logrando extraer herramientas como directorios activos y la plataforma de gestión de identidades identificadas en el Cuadro 6, los cuales se encuentran relacionados en la matriz de activos como “servidores virtuales” ID (365).

Cuadro 6 Control de Acceso

Nombre Infraestructura Observaciones

M1MENDC01

Windows Se deben agregar estos

equipos porque son los que van a brindar la mayor

cantidad de logs, sobre los accesos e identificación de

un usuario.

M1MENDC02

M1MENDC03

M1MENDC04

D1APISE01 Cisco Identity Services Engine

E1APISE02


Por último, se correlacionan aquellos activos que sean registrados por plataforma de infraestructura como servidores y aplicaciones web, los cuales, dentro de la matriz de activos de información del ministerio, se encuentran como, sistemas misionales, de apoyo y estratégicos, en estos también se tiene contemplado hacer seguimiento de recursos, para este punto se tiene en cuenta los diferentes ambientes como lo son pruebas, certificación y producción.

37

6.2 PLAN DE MEJORA HERRAMIENTA FORTISIEM. Con toda la infraestructura identificada y el estado actual de la plataforma [FortiSiem], se requiere un plan de mejora, que ayude a efectuar las actividades de parametrización de la herramienta, donde se logre evidenciar el cumplimiento de los objetivos. Para esto se realiza la identificación del área de trabajo, debilidades, fortalezas, causas del problema que se evidencian directamente y un objetivo el cual es realizar la configuración completa del [FortiSiem], en el Cuadro 7 se identifican estos puntos para tener una visión clara del área de mejora.

Cuadro 7 Identificación del área de mejora

Área de mejora

Fortalezas Debilidades Causas del problema Formulación de

objetivo

FortiSiem, herramienta de correlacionador

de eventos

1. Manuales completos de instalación y configuración

1. Manuales en idioma ingles

Debido a que el equipo es nuevo y no tiene mucho tiempo de

implementación, la causa principal es que

no tiene parametrización activos

de información relacionados

llegar a realizar la configuración completa del

siem, lograr que se vea como una herramienta para

la solución de incidentes.

2. Soporte con fabricante 2. Soporte gestionado por

una sola persona

3. Apoyo de todas las áreas involucradas

3. disponibilidad de tiempo, por parte de las personas involucradas

4. Acompañamiento por parte de especialista

5. Reuniones periódicas de seguimiento


Para las acciones de mejora, se tiene en cuenta las actividades que se han venido realizando a través del tiempo y se identifica aquellas que se pueden realizar sin necesidad de un control de cambios estricto, puesto que muchas de las configuraciones que se requieren no son invasivas para los sistemas, por lo que no van a generar procesos que puedan afectar la buena operación del activo relacionado. Adicional a las actividades que necesitan de la intervención de algún especialista o que puedan llegar a generar algún tipo de afectación, se realizan mediante RFC (Orden de cambio) documentados, esto por política de seguridad, para mantener el control de cambios sobre los activos de información. En el Cuadro 8, se establece el nivel de dificultad y las actividades a realizar para la correlación de activos de información en el SIEM del Ministerio.

38

Cuadro 8 Nivel de Dificultad

Observación Dificultad

No requiere RFC ni validación con especialista BAJA

Se requiere RFC y/o validación con especialista MEDIA

Requiere validación con especialista, RFC y causa indisponibilidad

ALTA


En el Cuadro 9, se define las acciones de mejora, que se realizan, directamente sobre los activos de información, para ser correlacionados y agregados a la plataforma [FortiSiem], con estas acciones de mejora y en concordancia con el cuarto objetivo planteado en el proyecto, se definen también las actividades a realizar, en cada una de estas acciones, estas actividades se desarrollan mediante RFC, sobre todo las que requieran intervención por parte de especialistas. Cuadro 9 Acciones de mejora

No Acciones Dificultad Plazo

1  Correlación de equipos de seguridad, con el fin de empezar a ver el comportamiento de la plataforma y realizar pruebas. 

BAJA  Feb 25 2021 

2  Ingreso de servidor de prueba mediante los diferentes protocolos para validar la dificultad de la configuración en los servidores. 

BAJA  Feb 25 2022 

3  Ingreso de primer grupo de servidores Windows por SNMP para correlacionar gestión técnica y pruebas. 

MEDIA  Mar 15 2021 

4  RFC_6647 Configuración de rSyslog sobre servidor Linux para envío de logs a SIEM, sobre servidores de certificación. 

MEDIA  Apr 9 2021 

5  RFC_6646 para ingreso de AD mediante SNMP WMI y agente de FortiSiem. 

ALTA  Apr 10 2021 

6  Redescubrimiento en equipo FortiSiem para validación de ingreso de servidores Windows 

BAJA  Apr 14 2021 

7  RFC_6719 Validación de política de GPO para verificación de protocolo WMI en grupo de servidores, sobre servidores de certificación. 


8  Ingreso y descubrimiento de servidores Windows para correlación mediante WMI. 

BAJA  Apr 17 2021 

9  RFC_6823 Validación de protocolo RSyslog en servidores Linux para ingreso de servidores en plataforma FortiSiem, sobre servidores de certificación.


10  verificación y configuración de dashboard, validación de alertas, reportes y estadísticas  

BAJA  Apr 28 2021 

39

Cuadro 9. (Continuación)

No Acciones Dificultad  Plazo 

11  RFC_6824 Validación de protocolo RSyslog en servidores Linux para ingreso de servidores en plataforma FortiSiem. Sobre servidores de producción.


12  RFC_6825 Validación de protocolo RSyslog en servidores Linux para ingreso de servidores en plataforma FortiSiem. Sobre servidores de producción.



MEDIA  May 4 2021 



15  RFC_7002 Validación de política de GPO para verificación de protocolo WMI en grupo de servidores. Sobre servidores de producción.


16  Ingreso y descubrimiento de servidores Windows para correlación mediante WMI. 

BAJA  May 15 2021 


Con base en las acciones de mejora se procede con la definición y ejecución de plan de actividades, en el Cuadro 10 se establecen las tareas a realizar según las acciones de mejora, con el respectivo responsable y el tiempo de ejecución de cada actividad.

40

Cuadro 10 Plan de Actividades

No Acciones de mejora Tareas Responsable Tiempo

1 Correlación de equipos de seguridad, con el fin

de empezar a ver el comportamiento de la plataforma y realizar pruebas. 

Verificación SNMP y Syslog firewall Seguridad 1 hora

Verificación SNMP y Syslog WAF Seguridad 1 hora

Verificación Syslog DDoS Seguridad 1 hora

Verificación log en SIEM Seguridad 1 hora

2 Ingreso de servidor de prueba mediante los

diferentes protocolos para validar la dificultad de la configuración en los servidores. 

Verificación SNMP Líder Seguridad 30 min

Verificación WMI Líder Seguridad 30 min

Verificación agente FortiSiem Líder Seguridad 30 min

Verificación SNMP Líder Seguridad 30 min

3

Ingreso de primer grupo de servidores Windows por SNMP para

correlacionar gestión técnica y pruebas. 

Crear grupo de servidores Especialista Windows 1 hora

Verificar log SIEM Seguridad 1 hora

4 RFC_6647 Configuración de rSyslog sobre

servidor Linux para envío de logs a SIEM, sobre servidores de certificación. 

Habilitar permiso a Internet Seguridad 30 min

Instalación de cliente RSYSLOG S.O. Linux 90 min

Configuración sobre archivo S.O. Linux 90 min

Reiniciar el servicio de RSYSLOG S.O. Linux 30 min

Retirar permiso a Internet Seguridad 30 min

Verificación de recepción de equipos sobre el SIEM

Seguridad 60 min

5 RFC_6646 para ingreso de AD mediante.

agente de FortiSiem, 4 servidores

Validación tiempos de respuesta Monitoreo 60 min

Mantenimiento los servidores Monitoreo 60 min

Descarga de agente S.O. Windows 60 min

Instalación del agente sobre cada servidor

S.O. Windows 60 min

Reinicio de cada servidor S.O. Windows 60 min

Quitar mantenimiento Monitoreo 60 min


41



6 Redescubrimiento en equipo FortiSiem para

validación de ingreso de servidores Windows Redescubrimiento y aceptación de

equipo en SIEM Seguridad 60 min

7 RFC_6719 Validación de política de GPO para

verificación de protocolo WMI en grupo de servidores, sobre servidores de certificación. 

Desplegar permisos de administrador Local para el usuario "siem".

S.O. Windows 240 min

Agrega a la política WMI la IP del servidor correspondiente.


Verificación recepción de Información Seguridad 120 min

8 Ingreso y descubrimiento de servidores

Windows para correlación mediante WMI. validación de recepción de eventos por

WMI Seguridad 120 min

9

RFC_6823 Validación de protocolo RSyslog en servidores Linux para ingreso de servidores en plataforma FortiSiem. Sobre servidores de

certificación.







Seguridad 60 min

10 verificación y configuración de dashboard,

validación de alertas, reportes y estadísticas

Validación y configuración de dashboard.

Especialista SIEM 60 min

validación de alertas, y envió de correos electrónicos


Identificación gráficas y estadísticas Seguridad 60 min

11

RFC_6824 Validación de protocolo RSyslog en servidores Linux para ingreso de servidores en plataforma FortiSiem, Sobre servidores de

producción.







Seguridad 60 min

42



12


producción.







Seguridad 60 min

13


producción.







Seguridad 60 min

14


producción.







Seguridad 60 min

15 RFC_7002 Validación de política de GPO para

verificación de protocolo WMI en grupo de servidores, Sobre servidores de producción.

Desplegar permisos de administrador Local para el usuario "siem".


Agrega a la política WMI la IP del servidor correspondiente.


Verificación recepción de Información Seguridad 120 min

43




Windows para correlación mediante WMI. validación de recepción de eventos por

WMI Seguridad 120 min


44

Establecidas las actividades para el proceso de mejora en el SIEM, se valida el procedimiento de configuración para él envió de log, se tiene en cuenta el tipo de equipo que se requiere adicionar, puesto que según la arquitectura de la máquina se tiene un método específico para su adicción. Cada proceso está documentado en el manual [FortiSiem-6.1.2-

External_Systems_Configuration_Guide] de Fortinet 30, el cual se toma como base de datos de conocimiento para la parametrización del SIEM y como proceso base. En este documento está consignado, cuáles son los protocolos con los que se puede agregar ciertos dispositivos, puesto que muchos solo pueden ser monitoreados por [Syslog] o por SNMP únicamente, e indica qué información se puede obtener según el protocolo que se configure. Teniendo en cuenta esta información se procede a documentar los procesos con los cuales se adicionaron los activos al [FortiSiem].

6.2.1 Equipos de seguridad perimetral - Firewall - WAF - Anti DDoS. Para los equipos de seguridad perimetral se realiza la configuración por SNMP y [Syslog], esta configuración se realiza de forma particular, para cada uno de ellos, como son, firewalls, dispositivos WAF y equipos de prevención de denegación de servicio (Véase Anexo A). Con la configuración SNMP en los firewalls y los WAF, se obtiene información sobre el estatus del equipo, lo cual ayudará a validar el estado en que se encuentra a nivel de procesamiento, con el fin de detectar de forma temprana procesos inusuales que pueda afectar su rendimiento, esta información se envía al [FortiSiem]. En la configuración [Syslog] del [firewall], se obtiene información de log de tráfico particulares, en vista de que estos equipos tienen activos sus módulos de IPS y detección de virus, también se obtienen log sobre detección de amenazas por IPS y anti virus, este tipo de alarmas se envía al [FortiSiem] a través de este protocolo. Igualmente, para los WAF, se realiza la configuración del protocolo [Syslog], esto ayudará a ver log de ataques que se realizan a nivel de capa de aplicación, y también el estatus de estos ataques, es decir si fueron bloqueados, permitidos o simplemente notificados. Realizando la parametrización de [Syslog] en el equipo anti DDoS, se obtiene a través del envío log, la información de los ataques de denegación de servicio como lo son, [TCP_Flood] Y [UDP_Flood], los cuales son bloqueados por este tipo de [appliance] de seguridad, este equipo no cuenta con configuración SNMP para el [FortiSiem].

30 Inc., F. T. (2021). FortiSIEM-External Systems Configuration Guide. Version6.1.2.

45

6.2.2 Configuración Equipos Windows. Para vinculación de servidores Windows, se realiza mediante parametrización de una GPO de directorio activo, con el fin de ingresar la configuración de SNMP, y de mensajes WMI de forma unánime, esta configuración es realizada por parte del administrador de servidores Windows, se gestiona mediante una orden de cambio (RFC), para mantener y documentar los cambios sobre la infraestructura tecnológica. Para él envió de mensajes WMI se requiere realizar una configuración adicional dentro de los servidores, la cual es crear un usuario de directorio activo, con privilegios de administrador de máquina y administrador de dominio, para que la herramienta haciendo uso de ese usuario, importe la información de sus eventos, cabe anotar que la esta no hace ningún cambio en el servidor, pero se requiere este nivel de usuario para que [FortiSiem] verifique el estatus de algunas carpetas, que son esenciales para el sistema operativo y que solo pueden ser accedidas mediante estos privilegios. Los servidores de directorio activo vinculados, los cuales proveen información sobre el control de acceso y los usuarios, son agregados al [FortiSiem] con configuraciones de SNMP, WMI y adicionalmente se instala un agente propio del sistema, para él envió de eventos, con el fin de obtener la mayor cantidad de información posible proveniente de estos activos. 6.2.3 Configuración de Equipos Linux. Para realizar la configuración de SNMP y RSyslog dentro de los dispositivos Linux, se realiza mediante diferentes RFC, obteniendo ayuda de los especialistas en este sistema operativo, los servidores deben ser parametrizados individualmente y la información que se obtiene a través de RSyslog es información general de seguridad como inicios de sesión fallida o aprobada, modificación de usuarios y grupos o registros generales de eventos, mientras que con la configuración de SNMP en los servidores Linux, se obtiene la información general de estatus de recursos y comportamiento del equipo.

46

7. RESULTADOS

Posterior a la evaluación y contextualización de las políticas de seguridad y privacidad de la información del Ministerio de Educación, en cuanto a la auditabilidad de eventos y establecida la metodología de las actividades a desarrollar para la configuración y parametrización del SIEM, se presentan los siguientes resultados de la puesta en marcha del plan de mejoramiento del [FortiSiem], dando cumplimiento a los objetivos planteados en el proyecto, se procede a realizar las actividades de mejora, y el análisis de la información que se visualiza en la herramienta, con el apoyo del especialista. Es así como en el Cuadro 11 se muestra el avance de la ejecución de las actividades en el plan de mejora del SIEM implementado.

47

Cuadro 11 Plan de Actividades Ejecutado

No Acciones de mejora Tareas Responsable Tiempo Completado

1 Correlación de equipos de seguridad, con el fin de empezar a ver el comportamiento

de la plataforma y realizar pruebas. 

Verificación SNMP y Syslog firewall Seguridad 1 hora 100%

Verificación SNMP y Syslog WAF Seguridad 1 hora 100%

Verificación Syslog DDoS Seguridad 1 hora 100%

Verificación log en SIEM Seguridad 1 hora 100%

2

Ingreso de servidor de prueba mediante los diferentes protocolos para validar la

dificultad de la configuración en los servidores. 

Verificación SNMP Lider Seguridad 30 min

100% Verificación WMI Lider Seguridad 30 min

Verificación agente FortiSiem Lider Seguridad 30 min

Verificación SNMP Lider Seguridad 30 min

3

Ingreso de primer grupo de servidores Windows por SNMP para

correlacionar gestión técnica y pruebas. 

Crear grupo de servidores Especialista Windows 1 hora 100%

Verificar log SIEM Seguridad 1 hora

4 RFC_6647 Configuración de rSyslog sobre

servidor Linux para envío de logs a SIEM, sobre servidores de certificación. 


100%






Seguridad 60 min

5 RFC_6646 para ingreso de AD mediante.

agente de FortiSiem, 4 servidores


100%

Mantenimiento los servidores Monitoreo 60 min

Descarga de agente S.O. Windows 60 min

Instalación del agente sobre cada servidor

S.O. Windows 60 min

Reinicio de cada servidor S.O. Windows 60 min

Quitar mantenimiento Monitoreo 60 min


6 Redescubrimiento en

equipo FortiSiem para validación de ingreso de servidores Windows

Redescubrimiento y aceptación de equipo en SIEM

Seguridad 60 min 100%

48



7

RFC_6719 Validación de política de GPO para verificación de protocolo WMI en

grupo de servidores, sobre servidores de certificación. 

Desplegar permisos de administrador Local para el usuario

"SIEM". S.O. Windows 240 min

80% Agrega a la política WMI la IP del servidor correspondiente.


Verificación recepción de Información

Seguridad 120 min


Windows para correlación mediante WMI. Validación de recepción de eventos

por WMI Seguridad 120 min 80%

9

RFC_6823 Validación de protocolo RSyslog en servidores Linux para ingreso

de servidores en plataforma FortiSiem. Sobre servidores de

certificación.


100%






Seguridad 60 min

10 verificación y configuración de dashboard,

validación de alertas, reportes y estadísticas

Validación y configuración de dashboard.


80% Validación de alertas, y envió de correos electrónicos


Identificación gráficas y estadísticas Seguridad 60 min

11


de servidores en plataforma FortiSiem, Sobre servidores de

producción.


100%






Seguridad 60 min

49



12



producción.


100%






Seguridad 60 min

13



producción.


100%






Seguridad 60 min

14



producción.


100%






Seguridad 60 min

15

RFC_7002 Validación de política de GPO para verificación de protocolo WMI en

grupo de servidores, Sobre servidores de producción.

Desplegar permisos de administrador Local para el usuario

"SIEM". S.O. Windows 240 min

70% Agrega a la política WMI la IP del servidor correspondiente.


Verificación recepción de Información

Seguridad 120 min


Windows para correlación mediante WMI. Validación de recepción de eventos

por WMI Seguridad 120 min 70%


50

El plan de actividades ejecutado, tiene un porcentaje de avance entre 70% y 100%, donde las actividades con un avance del 70% son aquellas relacionadas con la inclusión de equipos [Windows] por WMI, se evidencia un inconveniente con algunos servidores que no pudieron ser agregados, teniendo así que identificar puntualmente sobre cada uno las razones por las cuales estos presentaron dificultades, es así como se identifica una política en el firewall perimetral donde se estaba bloqueando el tráfico de algunos servidores y también el firewall del sistema operativo estaba generando bloqueos en el tráfico. Para la actividad número 10, la cual se encuentra completada en un 80%, hace referencia a la configuración de alertas, estas se encuentran en proceso de mejora continua según el aprendizaje que se tenga en la herramienta y según los requerimientos del Ministerio.

7.1 OPERACIÓN FORTISIEM MINISTERIO DE EDUCACIÓN NACIONAL

Realizadas las actividades descritas en el plan de actividades sobre el SIEM y dando alcance a los objetivos concernientes a configuración, se comienza a evidenciar, el registro de log que son enviados en la Figura 6 y retenidos desde diferentes dispositivos, con los cuales se procede realizar tareas de parametrización. La carga de eventos por segundo en la herramienta evidenciados en la Figura 7, muestra un promedio máximo de 4000 log por segundo validando que este no supere el umbral de 10000 eventos por segundo. Figura 6. Registro de Log

Fuente: Siem MEN

51

Fuente: Siem MEN

Todos los log son almacenados en la base de datos de [FortiSiem], y están disponibles para su búsqueda y visualización, incluso pueden ser descargados, asegurando la retención y disponibilidad de estos, dando una de las soluciones principales a las problemáticas planteadas con respecto a la retención, almacenamiento y disponibilidad de los eventos de seguridad. Con el [FortiSiem], se pueden parametrizar diferentes [dashboard] donde se evidencie algún tipo de información en específico, como la información referente a eventos de seguridad, estos paneles de visualización son completamente configurables como requiera el cliente, para el caso del Ministerio, se parametrizan específicamente un [dashboard] de seguridad y uno de monitoreo de equipos. 7.2 PANEL DE SEGURIDAD En el primer panel de visualización de la Figura 8, está la cantidad de tráfico de entrada que fue denegado por países, el porcentaje de aplicaciones según el ancho de banda y la cantidad de tráfico interno denegado en los equipos perimetrales, acá se puede observar cuales son las aplicaciones que más ancho de banda consumen y los países desde donde se registran más ataques.

Figura 7. Registro de Eventos

52

Figura 8. Panel de Seguridad

Fuente: Siem MEN

Continuando con el panel de seguridad en la Figura 9, se puede observar la cantidad de ataques que fueron detectados, por los equipos perimetrales y de donde provienen estos ataques, en este punto ya se puede realizar un análisis por parte del operador donde se tome la decisión de bloquear o permitir tráfico desde algunos países. Figura 9. Índice de tráfico en diversos países

Fuente: Siem MEN

Dentro de este mismo panel en la Figura 10, también se clasifican los diferentes eventos por el IPS, según el origen, donde la severidad del ataque puede generar una alarma, e incluso generar un correo electrónico avisando al operador que se está detectando un evento de ataque sobre algún servidor o servicio, ayudando al analista a identificar ataques de forma más ágil y proactiva, en la Figura 11 se tiene un ejemplo del correo que se envía desde el [FortiSiem].

53

Figura 10. Eventos Alertas de Ataques

Fuente: Siem MEN

Figura 11. Evidencia de Correo Alertas de Ataques

Fuente: Siem MEN

54

Para el registro de usuarios, se observa en el [FortiSiem] que la mayoría de log y registros de usuarios provienen de las VPN31, puesto que estos se encuentran trabajando desde sus casas, en este punto se puede hacer auditoría sobre algún usuario en particular. En la Figura 12 se muestran los eventos e incidentes generados por algún usuario en específico. Figura 12. Eventos Usuarios

Fuente: Siem MEN

Una vez vistas las diferentes estadísticas y ataques, se puede dar una visión de incidentes de seguridad creados por el correlacionador, en el cual se puede hacer un análisis más profundo del comportamiento de la infraestructura y se puede ver cuáles son los ataques más comunes, según como se aprecia en la Figura 13. Figura 13. Ataques Comunes

Fuente. Siem MEN

Con este panel de seguridad, se puede observar que la herramienta está ayudando a la entidad a mejorar su tratamiento, en cuanto a eventos de seguridad, permitiendo hacer el refuerzo necesario en los controles de las regulaciones estatales, facilitando las tareas al operador en cuanto análisis y gestión.

31 VPN: es una tecnología de red de ordenadores que permite una extensión segura de la red de área local (LAN) sobre una

red pública o no controlada como Internet.

55

7.3 PANEL DE RECURSOS

El panel de recursos definido se presenta como un valor agregado de la herramienta, donde se están monitoreando aspectos básicos de los servidores, como memoria RAM, procesador, disco duro, con el fin de tener un monitoreo más integral, para funcionalidades de SOC y de NOC; cabe anotar que el Ministerio ya cuenta con una herramienta de monitoreo funcional, pero al validar los recursos de los activos dentro del [FortiSiem] también puede ayudar al operador a hacer una detección de algún evento de seguridad, que pueda estar afectando directamente algún recurso. La Figura 14, se muestra el panel especial para monitoreo y la gráfica de uso de memoria RAM de los equipos. Figura 14. Panel Recursos RAM

Fuente: Siem MEN

A continuación, mediante la Figura 15, se pueden observar las estadísticas de CPU de los equipos monitoreados. Figura 15. Panel Recursos CPU.

Fuente: Siem MEN

Por último, se puede ver la estadística de uso de disco duro tanto en servidores Linux, como en servidores Windows¸ a través de la Figura 16.

56

Figura 16. Panel Linux-Win

Fuente: Siem MEN

Con el panel de recursos parametrizado, se puede obtener una visión más integral de toda la infraestructura monitoreada y correlacionada, dándole confiabilidad a la herramienta y haciéndola más robusta. Finalmente, en el [FortiSiem] se pueden configurar y generar reportes, ya sean de un tiempo en particular o periódicamente, para informar el comportamiento de la infraestructura y la detección de eventos particulares, con el fin de mantener un análisis periódico de los activos de información. Mediante la Figura 17 se muestra cómo se generan estos reportes, los cuales son enviados por correo electrónico a los analistas correspondientes.

57

Figura 17. Reporte Ataques

Fuente: Siem MEN

En la Tabla 2 se evidencian los incidentes generados por la herramienta, donde se categoriza la severidad del incidente y cuantas veces estos se han presentado.

58

Tabla 2 Reporte de Ataques

Fuente: Siem MEN

Evidenciando el desarrollo de controles y dando un valor agregado al Ministerio, en cuanto a manejo de eventos de seguridad, se logra dar cumplimiento a los objetivos planteados en este documento. 7.4 ANÁLISIS DE CONTROLES FORTALECIDOS Y RIESGO RESIDUAL Una vez verificada y configurada la herramienta [FortiSiem], evidenciando un alcance de los objetivos propuestos, se continúa con el análisis residual, en donde se evalúan los mismos 12 objetivos de control y en qué medida fueron fortalecidos, para reducir la probabilidad en que las vulnerabilidades fueran explotadas, aspecto que puede observarse en el Cuadro 12.

59

Cuadro 12 Instrumento de Evaluación de Seguridad de la Información

Cláusula Sección Objetivo de

Control Control Observación Control Fortalecido Estado

9 control de Acceso

9.1.1 Política de control de acceso

Se debe establecer, documentar y revisar una política de control de acceso con base en los requisitos del negocio y de seguridad de Ia información.

La política y los roles de control de acceso se encuentran definidos mediante plataforma ISE, el registro de eventos está disperso en los diferentes componentes de las plataformas

El registro de eventos ya se encuentra centralizado, lo cual ayudara a mejorar el proceso de auditoría de usuarios.

Establecido y

Predecible

12. Seguridad

en las Operacion

es

12.2.1 Controles

contra códigos maliciosos

Se deben implementar controles de detección, de prevención y de recuperación, combinados con la toma de conciencia apropiada de los usuarios, para proteger contra códigos maliciosos

La política de código malicioso en su mayoría se encuentra gestionada por el sistema antivirus, el cual realiza el análisis completo de código malicioso. Los eventos que se generan con respecto a virus en el firewall perimetral no se están almacenado con suficiente retención de tiempo.

La recolección de eventos en el SIEM está ayudando a la detección de amenazas y comportamientos anormales en la infraestructura, permitiendo un análisis más profundo de los eventos

Establecido y

Predecible

12.4.1 Registro de

eventos

Se deben elaborar, conservar y revisar regularmente los registros acerca de actividades del usuario, excepciones, fallas y eventos de seguridad de la información.

Los eventos registrados se encuentran en los diferentes sistemas, alojados localmente, lo cual puede generar perdida y dificultad de interpretación de log

Los eventos de seguridad se encuentran centralizados y normalizados, para poder ser interpretados más fácil, los eventos de seguridad se detectan más proactivamente.

Gestionado

12.4.2 Protección de la información

de registro

Las instalaciones y la información de registro se deben proteger contra alteración y acceso no autorizado

El almacenamiento y retención de eventos no se realiza de una forma centralizada, y no se parametrizan los log en el mismo formato

La base de datos de registros se encuentra centralizada con el SIEM, y esta es gestionada por la misma herramienta, lo cual protege los registros contra alteración.

Gestionado

12.4.3 Registros del Administrador

y del Operador

Las actividades del administrador y del operador del sistema se deben registrar, y los registros de deben proteger y revisar con regularidad.

Los registros se almacenan en texto plano lo cual dificulta la interpretación

La aplicación de FortiSiem, provee una interface accesible para el usuario, con el fin de facilitar la visualización de los registros

Gestionado

60


Cláusula Sección Objetivo

de Control Control Observación Control Fortalecido Estado

12.6.1

Gestión de las

vulnerabilidades técnicas

Se debe obtener oportunamente información acerca de las vulnerabilidades técnicas de los sistemas de información que se usen; evaluar la exposición de la organización a estas vulnerabilidades, y tomar las medidas apropiadas para tratar el riesgo asociado.

La información de vulnerabilidades se obtiene mediante informes mensuales, mas no se tiene un análisis constante en el tiempo debido a que no hay una interpretación contante de eventos, ya que a que no se tiene un SOC que reporte eventualmente los análisis de vulnerabilidades.

Con la optimización del SIEM, se puede detectar eventos anormales, con mayor facilidad, para la detección de vulnerabilidades, la exposición de la entidad se puede evaluar mejor desde el SIEM, para hacer correcciones oportunas.

Gestionado

16. Gestión de

Incidentes de

Seguridad de la

Información

16.1.1

Responsabilidades y

Procedimientos

Se deben establecer las responsabilidades y procedimientos de gestión para asegurar una respuesta rápida, eficaz y ordenada a los incidentes de seguridad de la información.

La respuesta a incidentes de seguridad se realiza de forma oportuna, validando las herramientas existentes como lo son fortianalizer, y log locales de la los dispositivos de seguridad, sin embargo la clasificación búsqueda y análisis de los log no se encuentra parametrizado ni estandarizado, por una herramienta común donde sean almacenados.

La respuesta a incidentes de seguridad de ve más optimizada desde la parametrización del siem, la detección de ataques hace que el analista se enfoque más en la solución que en la búsqueda de la anomalía.

Gestionado

16.1.2

Reporte de eventos de

Seguridad de la

Información

Los eventos de seguridad de Ia información se deben informar a través de los canales de gestión apropiados, tan pronto como sea posible.

Los eventos detectados son informados oportunamente se debe reforzar con la plataforma SIEM, puesto que los eventos se podrían detectar con anticipación.

Con la parametrización de FortiSiem, cuando se generan ciertos ataques, son informados por correo electrónico desde la herramienta, lo cual hace que la detección sea más sencilla, y se pueda evaluar la alerta de una forma optimizada.

Gestionado

16.1.3

Reporte de debilidades

de Seguridad de la

Información

Se debe exigir a todos los empleados y contratistas que usan los servicios y sistemas de información de Ia organización, que observen y reporten cualquier debilidad de seguridad de Ia información observada o sospechada en los sistemas o servicios.

Las debilidades de seguridad se reportan, en la medida que se detectan, pero no se tiene un sistema de detección automatizado, en el cual se reporten las anomalías.

Los comportamientos anormales en los sistemas se pueden detectar más fácil y oportunamente, puesto que se tiene unas estadísticas de ataques, y una visualización optima las anomalías

Gestionado

61


Cláusula Sección Objetivo

de Control Control Observación Control Fortalecido Estado

16.1.4

Valoración y decisión de eventos de

Seguridad de la

Información

Los eventos de seguridad de la información se deben evaluar y se debe decidir si se van a clasificar como incidentes de seguridad de la información

La detección de eventos de seguridad se podría evaluar de una forma proactiva con el sistema SIEM, y hacer correcciones sobre el acceso de tráfico antes de que se genere un incidente de seguridad

Los eventos de seguridad ya se pueden observar en el SIEM, optimizados, generando estadística de ataques, detección de incidentes.

Establecido y

Predecible

16.1.5

Respuesta a incidentes de Seguridad de

la Información

Se debe dar respuesta a los incidentes de seguridad de la información de acuerdo con procedimientos documentados

Cuando se presenta un incidente de seguridad o un evento de seguridad se evalúa desde las herramientas existentes, sin embargo, los eventos se puedes evaluar mejor desde una plataforma centralizada

La respuesta a incidentes ahora puede ser más oportuna, puesto que se tienen estadísticas de ataques e incidentes generados por la herramienta

Establecido y

Predecible

16.1.6

Aprendizaje de incidentes de Seguridad

de la Información

El conocimiento adquirido al analizar y observar incidentes de seguridad de la información se debe usar para reducir la posibilidad o el impacto de incidentes futuros

Se genera retroalimentación, sobre los eventos de seguridad, el análisis con la herramienta ayudará a tener una visión más amplia de los eventos

La parametrización de FortiSiem ayuda a tener una visión más amplia de los eventos que se puedan presentar, además, que según los resultados del monitoreo se puede dar un buen análisis.

Establecido y

Predecible

Como resultado del refuerzo de controles se califican nuevamente, mejorando cada uno de los sectores monitoreados, haciendo que algunos pasen de estado incompleto a gestionado, o puedan cambiar el parámetro gestionado a establecido y predecible, mejorando el panorama de aplicación, en la Figura 18, se evidencia como es mejorado el porcentaje de aplicación de los controles y en el Cuadro 13, se actualizan los porcentajes y el estado de la gestión de los controles.

62

Figura 18. Estado Controles Fortalecidos.


Cuadro 13 Definición de los parámetros de los controles de seguridad

Estado Definición Porcentajes

controles

Incompleto Ausencia total o muy poca evidencia de política

reconocible, procedimiento, control, etc. 0%

Ejecutado Progresando muy bien, el proceso alcanza su

propósito, pero todavía no se completa 0%

Gestionado El proceso anteriormente descrito está ahora

implementado usando un proceso definido que es capaz de alcanzar sus resultados descritos.

58%

Establecido y Predecible El desarrollo es completo, el proceso/control se

ejecuta dentro de limites definidos para alcanzar sus resultados de proceso.

42%

Optimizado

El requisito es completamente satisfecho, está operando plenamente como era de esperarse, se está monitoreando y mejorando de forma continua

para cumplir con las metas empresariales presentes y futuras, y hay pruebas sustanciales para probar

todo a los auditores

0%

No Aplicable

Todos los requisitos del cuerpo principal de la norma ISO / IEC 27001 son obligatorios si su SGSI

es para ser certificado. De lo contrario, la administración puede ignorarlos.

0%

TOTAL 100%


63

De los controles analizados se logra evidenciar que, con respecto a las problemáticas planteadas, estas son subsanadas en su mayoría, debido a que los registros se están almacenando en un lugar común se están normalizando, siendo analizados de manera constante, garantizando así la confidencialidad, integridad y disponibilidad de la información de eventos de seguridad, evitando pérdidas y realizando estos procesos de forma automatizada. Con este fortalecimiento, los riesgos que se plantean en cuanto a la pérdida de información son considerablemente disminuidos, ya que la parametrización del SIEM, logra fortalecer los doce objetivos de control analizados y evaluados, mejorando la gestión en las políticas del SGSI. Adicionalmente, aprovechando los log de eventos de una manera más óptima y eficiente, se le da al analista una visión global del estado de la seguridad en toda la infraestructura, haciendo más fácil los procesos de gestión y análisis. En el Cuadro 14, se evidencia la matriz de riesgo residual donde la variable afectada después del fortalecimiento de los controles es la probabilidad en que las vulnerabilidades sean explotadas. Así mismo, en el Cuadro 15, se evidencia el cambio de nivel de riesgo dentro del mapa de calor, después del tratamiento dado a los controles.

64

Cuadro 14 Análisis de Riesgos Residual


65

Cuadro 15 Mapa de Calor Residual


Con esto se puede observar que los riesgos ya no se encuentran en un umbral inaceptable, sino que se trasladaron a la zona de riesgo aceptable, llevando un control más adecuado y fortaleciendo el SGSI. Una vez desarrollado el plan de mejoramiento e implementación del SIEM para el Ministerio de Educación Nacional, se detalla el presupuesto estimado y el cronograma establecido para su cumplimiento. 7.5 PRESUPUESTO El presupuesto elaborado, se basa en horas de trabajo y análisis de información, puesto que los recursos tecnológicos para la implementación del proyecto ya están definidos. A continuación, en el Cuadro 16, se especifican costos de los recursos mínimos necesarios.

Cuadro 16 Presupuesto


66

7.6 CRONOGRAMA Posteriormente en el Cuadro 17 se define el cronograma con las actividades y tiempos aproximados para la implementación y parametrización del SIEM.

Cuadro 17 Cronograma Diagrama de Gant


Actividad

67

8. CONCLUSIONES

• Al realizar el análisis de parametrización del SIEM, se requirió un estudio completo, donde se identificó no solo el funcionamiento de la herramienta como una única variable en el proceso, puesto que se involucraron todos aquellos factores que se ven afectados, las cuales agregan un valor importante para la entidad, como el fortalecimiento de las políticas del SGSI del Ministerio y los controles relacionados con el correlacionador de eventos.

• Con el levantamiento y clasificación de toda la red de infraestructura y de los activos de información, se logra identificar con que prioridad deben ser correlacionados estos factores, entendiendo cuales dispositivos entregan mejor información de log de seguridad, haciendo que la SIEM sea más fácil de comprender y permitiendo al analista aprender con mayor facilidad de la interfaz.

• Las actividades de configuración del [FortiSiem] se facilitan al tener claridad en el plan de trabajo, permitiendo avances significativos en la parametrización de la herramienta, y cumpliendo los objetivos planteados en los plazos acordados para la compañía dueña de los equipos, los cuales se ponen al servicio del Ministerio en los tiempos acordados. De los riesgos identificados en el análisis, se logra comprender que el SIEM los reduce a un umbral aceptable, teniendo un control automatizado de los eventos, lo que genera más confiabilidad para el Ministerio.

• Se le brinda al Ministerio de Educación Nacional, una herramienta por medio de [FortiSiem], la cual le facilitará la gestión y tratamiento de eventualidades eficientemente, contando con los diferentes paneles o [Dashboard], donde se registran y presentan gráficamente los eventos de seguridad, entregando a los administradores datos estadísticos puntuales e integrales, información que le permitirá tomar decisiones frente a ataques y detección de amenazas informáticas con la mayor brevedad posible.

• Durante el presente proyecto se aplicaron los conocimientos adquiridos durante el programa de especialización, para ayudar al Ministerio de Educación Nacional a mejorar procesos, fortaleciendo su SGSI, logrando unir, tanto el conocimiento teórico, así como técnico, y aplicando lo aprendido en un ambiente real, consiguiendo un crecimiento profesional muy importante para los autores.

68

9. RECOMENDACIONES La recomendación principal para el Ministerio de Educación Nacional se basa en mantener un proceso de mejora continua de la herramienta, según el aprendizaje y la experiencia que se adquiera con el [FortiSiem], para aprovechar al máximo las capacidades de la solución y apoyar cada vez más el proceso de análisis de eventos de seguridad. Se recomienda, a nivel técnico, incrementar la infraestructura de [FortiSiem], agregando un colector, localizándolo en el DC Externo, para optimizar el tráfico que se envía a la interfaz, con la finalidad de regular eventualidades y ataques más rápido de lo establecido, mientras se promueve y posiciona un flujo de información más constante a través de los canales de comunicación, puesto que los log se envían al colector directamente desde el cada activo de información.

69

BIBLIOGRAFÍA ACADEMIA ROSOLA. ¿Qué es el sensor de WMI, requerimientos y cómo funciona? [En línea]. (https://kb.rolosa.com/np-que-es-el-sensor-de-wmi-requerimientos-y-como-funciona/). 27 de abril de 2017 ANECA. PLAN DE MEJORAS. [En línea]. http://www.uantof.cl/public/docs/universidad/direccion_docente/15_elaboracion_plan_de_mejoras.pdf. 2015. 14 p.

ARIGANELO, Administración de reportes. Guía de estudio para la certificación CCNA security (págs. 82-83). Madrid: Edición 1. 2015. 402 p.

CERTIFICACIÓN, INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS Y. Documentación Presentación de Tesis, trabajos de grado y otros trabajos de investigación. NTC 1486:2008 Bogotá D.C: Sexta Actualización. 2008

FORTINET TECHNOLOGIES. FortiSiem-External Systems Configuration Guide. Version 6.1.2. 2008.

IWINDS, ÚLTIMA MILLA. [En línea]. https://www.iwinds.com.ar/ultima-milla. 2020 MarTech Forum, S. FortiSIEM. [En línea]. (https://www.martechforum.com/herramienta/fortisiem/#:~:text=FortiSIEM%20(Security%20Information%20and%20Event,seguridad%20y%20operaciones%20de%20red). 2020 MEN. (2019), Misión y Visión. [En línea]. https://www.mineducacion.gov.co/portal/Ministerio/Informacion-Institucional/89266:Mision-y-Vision. 2019. PAESSLER. IT Explained: Syslog. [En línea] https://www.paessler.com/it-explained/Syslog

SECURITY M3. Identifica amenazas con SIEM. [En línea]. https://www.youtube.com/watch?v=5yBMQmKA4UU&t=2380s. 16 de Nov de 2016

70

ANEXOS

Anexo A. Procedimiento para Equipos Fortinet

FORTIGATE Para el monitoreo de equipos Fortigate, se hace mediante SNMP y Syslog Cuando tenemos el equipo monitoreado por SNMP, podemos adquirir información de uso de memoria, CPU, así como métricas sobre las interfaces y eventos que tengan que ver con el funcionamiento del equipo a nivel operativo. El procedimiento es el siguiente: Inicialmente se ingresa al equipo con credenciales de administrador

Entrar a las pestañas System > SNMP

Se desplegará la siguiente ventana donde daremos Create New

71

Por último, se ajustan todos los parámetros de configuración de protocolo SNMP, como la comunidad, si esta será de lectura y escritura, junto con sus traps y puertos relacionados, después procedemos a configurar la dirección ip del servidor FortiSiem, para que este envié la información al dispositivo, por último, damos OK.

El procedimiento para configurar el FortiSiem como un servidor Syslog dentro del fortigate, es el siguiente:

• Ingresamos a la pestaña Log & Report > Log Settings

72

Se desplegará la siguiente ventana donde ajustaremos la dirección ip donde queremos enviar la información de Syslog, por último, daremos click en aplicar.

FORTIWEB El procedimiento para configurar SNMP en fortiweb es el siguiente:

• Ingresamos al equipo con credenciales de administrador

73

• Ingresamos por la pestaña System > Config > SNMP

• Se desplegará la siguiente ventana

• Dentro de ella se creará una nueva política de SNMPv2 > Create New, con lo cual se desplegará la siguiente ventana.

74

• En este punto se agregará la comunidad SNMP, se agregará el host a donde se quiere enviar el tráfico y por último daremos click en OK.

Para la configuración de Syslog en el fortiweb se tiene el siguiente procedimiento:

• Se ingresa con credenciales de administrador, en las siguientes pestañas, se procederá a crear una política de Syslog: Log Policy > Syslog Policy

• Se nos presenta la ventana de resumen de políticas de Syslog, donde seleccionaremos la opción Create New

75

• En este punto procederemos a configurar una política de Syslog, en la cual se agregarán las direcciones ip a donde se requieren enviar los logs.

• A continuación, ingresamos a la configuración global de log en fortiweb

• Procederemos a asignar la política antes configurada, y el nivel de criticidad de los logs que serán enviados, por último, seleccionaremos la opción aplicar

76

FORTIDDOS Para la recolección de log en FortiDDos se hace mediante servidor Syslog. El procedimiento para él envió de logs hacia el FortiSiem, se hace de la siguiente manera:

• Nos dirigimos a las pestañas de Log & Report > Event Log Remote

• En este punto configuramos la dirección ip del servidor Syslog, la cual será la de nuestro FortiSiem.

PROCEDIMIENTO PARA SERVIDORES LINUX Para la vinculación de eventos de los servidores Linux al FortiSiem, se debe instalar el Syslog- ng o rSyslog hacer la configuración del agente con el SIEM

• Instalación de Syslog: Ingresar a la terminal del servidor de Linux, ejecutar el siguiente comando (Sudo apt-get install rSyslog)

77

• Una vez se instala el rSyslog, se ingresa al monitor del FortiSiem y en el menú CMDB en el lado izquierdo hacer clic en la opción server, allí mismo se despliega una lista de opciones donde se debe seleccionar el botón Linux, como se muestra en la ilustración 19.

Ilustración 1. Opciones para instalación de Rsylog. Fuente: Ryslog

78

• Para relacionar el servidor Linux, se debe hacer clic sobro el botón New, acá mostrará la siguiente pantalla donde se debe ingresar la información que solicita el formulario.

Ilustración 2. Formulario para ingresar nuevo servidor en Rsylog. Fuente: Rsylog

PROCEDIMIENTO PARA SERVIDORES WINDOWS

• Para el monitoreo y la instalación de servidores Windows en FortiSiem, se requiere de un agente de monitoreo, que se encarga de recolectar los logs, y entregarlos a un worker o a un colector, en un formato entendible para el servidor worker. Este agente recibe el nombre de Windows_Agent_4.0.0, y está disponible en la página de usuario de la interfaz.

• Una vez se realiza la descarga, utilizando credenciales de usuario de Fortinet, se debe ajustar el paquete de instalación, para esto se debe asegurar que el servidor windows tenga habilitado e instalado el software .NET framework 4.5 o superior, y se requiere que el servidor tenga habilitado tls 1.2, estos son dos requisitos que se deben validar con anterioridad en el servidor, puesto que, si no se cumplen, la instalación presentará fallos.

• En segunda instancia se debe ajustar un archivo xml, creado de una plantilla, en donde se debe colocar los datos del servidor FortiSiem donde se enviarán todos los logs.

<?xml version="1.0" encoding="utf-8"?> <InstallConfig Version="1">

79

<Org> <ID>1</ID> <Name>Super</Name> </Org> <Super> <Name>SUPER_IP</Name> <Port>443</Port> </Super> <Registration> <Username>Super/AGENT_USER</Username> <Password>AGENT_PASSWORD</Password> </Registration> <Proxy> <Server></Server> <Port></Port> </Proxy> <SSLCertificate>ignore</SSLCertificate> </InstallConfig>

• Para el parámetro SUPER_IP se debe ajustar la dirección ip del colector donde se enviarán los logs.

• En el parámetro AGENT_USER, se debe ajustar el usuario creado en el FortiSiem con el cual se va a comunicar con el correlacionador.

• En el parámetro AGENT_PASSWORD se debe ajusta la clave secreta con la que se creó el usuario.

• Procedimiento para crear usuario en FortiSiem, como primera medida se debe ingresar con credenciales de administrador.

80

• En las pestañas CMDB > Users > Ungruped > New

• Ajustamos los datos de usuario de Windows agent

• En el recuadro de System Admin no aparecerá una nueva ventana donde ajustaremos el usuario para que sea de tipo Agent Admin

81

• Para la instalación de agente en el servidor Windows, una vez se tiene ajustado en archi xml, se guarda en la misma ruta del instalador con el nombre de InstallSettings.xml, para que el agente tome automáticamente la plantilla y se configure.

Anexo B. Política de seguridad y privacidad de la información

126

Anexo C. Matriz de Activos

plan de mejoramiento siem o correlacionador de eventos de

Documents