“There is nothing more important than our customers”

Visibilidad, el camino hacia la seguridad

Samuel Bonete Satorre Security Solutions Eng.

Southern Europe

© 2006 Enterasys Networks, Inc. All rights reserved.

Agenda

•Necesidades del entorno Universitario.

•Soluciones SIEM.

Agregación

Correlación

NBAD

Integración con los procedimientos

•Conclusiones

2

© 2006 Enterasys Networks, Inc. All rights reserved.

¿Por qué visibilidad en universidades?

Las universidades no son como la empresa privada.

En el punto de mira: Ancho de banda.

Direccionamiento público – fijo.

Maquinas desatendidas.

Alumnos curiosos.

Acciones de seguridad, limitadas No suele haber firewall.

Puede ocurrir que haya algún NAT.

No suele haber IPS en línea.

Sólo hay algunos segmentos seguros, el resto es tierra de nadie.

Necesidades, difieren…

se asumen los ataques desde el exterior,

la preocupación es identificar los ataques originados en la red de la universidad.

3

© 2006 Enterasys Networks, Inc. All rights reserved.

Agregación de Eventos

4

Logs Distribuidos.

Varios departamentos.

Evidencia con validez legal.

Largos tiempos de almacenado.

¿Quién, Cuándo y Cómo?

Muchos organismos son ya ISPs

¿Cuantos equipos se van a romper?

¿Cuantas conexiones se realizaron?

Problemática

CONSOLIDACIÓN

FIRMA DIGITAL

EVENTO CRUDO

MINERIA DE DATOS

BUSQUEDAS POR PAYLOAD

ORGANIZACIÓN DATOS

INFORMES

ALMACENAMIENTO

COMPRESIÓN

© 2006 Enterasys Networks, Inc. All rights reserved.

Correlación de eventos.

“No se pueden comparar peras con manzanas”

“Quién convierte no se divierte”

5

NORMALIZACIÓN

EVENTO

NORMALIZADO

NATIVO

FW

IDS

IDS

SSH

PERM

EXPL

SQL

AUTH

DSM

ofensas

COR

© 2006 Enterasys Networks, Inc. All rights reserved.

Visor de eventos.

6

© 2006 Enterasys Networks, Inc. All rights reserved.

Eventos Normalizados - QID

7

© 2006 Enterasys Networks, Inc. All rights reserved.

Minería de datos

8

© 2006 Enterasys Networks, Inc. All rights reserved.

Ofensas

9

© 2006 Enterasys Networks, Inc. All rights reserved.

Detalle de la alerta

10

© 2006 Enterasys Networks, Inc. All rights reserved.

Inventario de activos + V.A.

11

© 2006 Enterasys Networks, Inc. All rights reserved.

Flujos de red..

12

FUENTES

Area local…

Segmentos Remotos…

Acceso a internet…

Sflow, netflow, fdr, jflow…

MIRRORING

NETFLOW

Gestor BW

BD

FLUJOS

eventos

NBAD

ofensas

CORR

© 2006 Enterasys Networks, Inc. All rights reserved.

Visor de flujos, minería de flujos

13

© 2006 Enterasys Networks, Inc. All rights reserved.

Parametrización de la red

14

© 2006 Enterasys Networks, Inc. All rights reserved.

Detección de anomalías.

15

© 2006 Enterasys Networks, Inc. All rights reserved.

Centinelas / Sentries

16

© 2006 Enterasys Networks, Inc. All rights reserved.

Estado del mercado…

17

eventos

NBAD

ids fw host

ofensas

operaciónarchivado

© 2006 Enterasys Networks, Inc. All rights reserved.

Integración con procedimientos…

18

ASM

REDIRECCIÓN

FIREWALL

TICKETING

© 2006 Enterasys Networks, Inc. All rights reserved.

Cuadro de mandos

19

© 2006 Enterasys Networks, Inc. All rights reserved.

Conclusiones

• La visibilidad es una necesidad en los entornos universitarios.

• Unos niveles elevados de visibilidad permite:

Justificar acciones posteriores.

Contar con evidencias legales.

Optimizar posteriores inversiones en materia de seguridad.

Minimizar los abusos desde nuestras redes.

• Los proyectos orientados a visibilidad son óptimos para el 2009.

2009 posible recorte presupuestario.

Difícil grandes migraciones/ampliaciones sin justificación.

Visibilidad proyectos abordables, hacen uso de la infraestructura existente.

Justifican inversiones posteriores.

• Tenemos la experiencia, son proyectos interesantes a todos los departamentos, por lo tanto factibles de salir adelante.

20

“There is nothing more important than our customers”

Muchas Gracias.

Para más información, contáctenossbonete [en] enterasys.com