slide1 n.
Download
Skip this Video
Loading SlideShow in 5 Seconds..
“Implementación de una Herramienta SIM en la Red de la Universidad Técnica Particular de Loja” PowerPoint Presentation
Download Presentation
“Implementación de una Herramienta SIM en la Red de la Universidad Técnica Particular de Loja”

Loading in 2 Seconds...

play fullscreen
1 / 22

“Implementación de una Herramienta SIM en la Red de la Universidad Técnica Particular de Loja” - PowerPoint PPT Presentation


  • 137 Views
  • Uploaded on

“Implementación de una Herramienta SIM en la Red de la Universidad Técnica Particular de Loja”. Agenda. Problemática SIM SIM Software OSSIM Valoración de Riesgos Correlación Situación Actual Implementación. Problemática. Gestión de Seguridad: Personas, procesos y tecnologías

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about '“Implementación de una Herramienta SIM en la Red de la Universidad Técnica Particular de Loja”' - maeko


Download Now An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
slide1

“Implementación de una Herramienta SIM en la Red de la Universidad Técnica Particular de Loja”

agenda
Agenda
  • Problemática
  • SIM
  • SIM Software
  • OSSIM
  • Valoración de Riesgos
  • Correlación
  • Situación Actual
  • Implementación
problem tica
Problemática
  • Gestión de Seguridad: Personas, procesos y tecnologías
  • Mecanismos y herramientas usadas por los administradores
    • Numerosas herramientas de seguridad: monitores de tráficos, escáner de vulnerabilidades, detectores de anomalías, IDS/IPS, Firewall, antivirus, etc.
    • Diversos entornos, plataformas y formatos
    • Saturación de eventos y falsas alarmas emitidas
    • Dificultan tener una imagen clara de la seguridad de una Red
security information management sim 1 4
Security Information Management (SIM) (1/4)
  • Recoger, ordenar y correlacionar la información sobre el estado de la red, comportamiento sistemas, información de equipos , etc.
  • Automatiza la colección de eventos de sistemas y dispositivos de seguridad
  • Centralización, correlación y priorización de eventos
    • Estandariza eventos dando una visión clara de lo que ocurre en la red
    • Reducción de tiempo en la detección de ataques y vulnerabilidades de la red
    • Minimiza cantidad de información a procesar
sim 2 4
SIM (2/4)
  • Funcionalidad
    • Administración de la infraestructura de red y de los activos de la organización
    • Configuración centralizada y monitoreo de los componentes de la infraestructura de seguridad
    • Análisis de la información reportada por los componentes de seguridad
    • Predicción y pronóstico de amenazas
    • Colección y correlación de eventos
sim 3 4
SIM (3/4)
  • Funcionalidad
    • Detecta, identifica y reporta eventos de seguridad
    • Permite el análisis forense de los eventos
    • Permite administrar y establecer políticas de seguridad
    • Monitoreo de ataques y respuestas en tiempo real
    • Planificación de seguridad
sim 4 4
SIM (4/4)

Arquitectura

sim software
SIM Software
  • Comercial
    • ArcSight ESM
    • Cisco Works SIM
    • Cisco MARS
  • Open Source
    • OSSIM
open source security information management ossim 1 3
Open Source Security Information Management (OSSIM) (1/3)

Ofrece un marco para centralizar, organizar y mejorar la capacidad de detección y visibilidad en el monitoreo de eventos de seguridad de la organización

(www.ossim.net)

ossim 2 3
OSSIM (2/3)

Componentes

ossim 3 3
OSSIM (3/3)

Herramientas

valoraci n de riesgos
Valoración de Riesgos
  • CALM (Monitor del Nivel de Compromiso y Ataque) es
  • Algoritmo de Valoración por Acumulación de Eventos.
  • Nivel de Compromiso: posibilidad de que una máquina se encuentre generando algún ataque o anomalía
  • Nivel de Ataque: posible riesgo debido a los ataques recibidos
  • Risk = Metric/Threshold (Nivel A o C)
  • Nivel de Riesgo:
correlaci n
Correlación
  • Algoritmo que mediante una operación de eventos de entrada (herramientas de seguridad) generan información de mayor valor, disminuyendo el número de falsos positivos y alertas, facilitando el análisis.
  • Suplen la sensibilidad, fiabilidad y visibilidad limitada de los detectores, monitores y escaners
  • La correlación puede ser:
    • Lógica: correlación de eventos
    • Cruzada: correlación de eventos y vulnerabilidades
    • Inventario: correlación de eventos, sistemas operativos y servicios
an lisis situaci n actual 1 3
Análisis Situación Actual (1/3)
  • Políticas de seguridad
  • Esquema de Seguridad
slide15

Análisis Situación Actual (2/3)

  • Priorización de los Servicios
    • Tipos de datos
    • Magnitud
    • Impacto financiero
    • Impacto a usuarios
  • Análisis de tráfico
slide16

Análisis Situación Actual (3/3)

  • Las herramientas de seguridad con las que cuenta no son suficientes para tener un control total debido a la amplitud de la red y diversidad de servicios
  • Cuando se produce un incidente de seguridad, no se cuenta con información suficiente para determinar cómo, cuándo, de dónde y quién provocó dicho incidente.
  • No se posee información clasificada de los eventos detectados por los IDS´s.
  • No existe un método formal utilizado para detectar las vulnerabilidades que tienen los equipos.
implementaci n 1 2
Implementación (1/2)

Arquitectura de Monitoreo

implementaci n 2 2
Implementación (2/2)

Inventario de Activos

Inventario de Redes

slide21

Referencias

[1] Corletti Estrada, Alejandro, “Auditoria, Evaluación,

Test de Seguridad → metodología abierta ¿OSSTMM…?

[2] OSSIM. OSSIM – Descripción. [En línea a 20 de junio

de 2007].

[3] Asensio, Gonzalo, “Gestión de la Seguridad con

OSSIM”.

[5] Cisco. “Introducing Cisco Intrusion Detection System,

Configuration and Operations Guide Version 2.2.2”.

[6] Demuth, Thomas and Leitner, Achim, “Arp Spoofing

and poisoning TRAFFIC TRICKS”.

gracias por su atenci n
Gracias por su atención

María Paula Espinosa:mpespinoza@utpl.edu.ec

Julia Pineda: japineda@utpl.edu.ec

Marco Sinche: mxsinche@utpl.edu.ec