Uno de los mayores retos para cualquier organización está en el monitoreo y administración de bitácoras o logs en sus eventos diarios. ¿Qué sucede cuando, a pesar de las políticas de seguridad y software especializados, no contamos con una adecuada gerencia y monitoreo de los registros en nuestros sistemas críticos? Ronald Romero en su colaboración exclusiva para Enfoque Seguro nos habla de uno de los software libres más conocidos: OSSIM, Open Source Security Information Management el cual nos permita como analista disponer de herramientas destinadas a la gestión de la seguridad de la información.
Hoy día la gestión de la seguridad en las redes telemáticas dentro de organizaciones es compleja y difícil de manejar debido a la gran cantidad de registros de eventos (logs) que los administradores de seguridad deben procesar.
Estos eventos generados por servidores, estaciones de trabajo, Firewalls, IDS/IPS, Routers, etc., necesitan ser procesados e interpretados por los responsables de la seguridad para prevenir ataques a la plataforma tecnológica, cosa que en la mayoría de los casos es cuesta arriba por no contar con la cantidad necesaria de recursos humanos y las herramientas que permitan normalizar y correlacionar esas cantidades de eventos.
Es aquí donde entra en juego el proyecto OSSIM (Open Source Security Imformation Management). Este proyecto lleva más de 6 años en desarrollo por parte de la empresa Alienvault (Publicado en sourceforge.net el 18/08/2003) y como lo definen en su sitio Web (www.alienvault.com), “OSSIM es una distribución de productos open source integrados para construir una infraestructura de monitorización de seguridad.”
El objetivo principal de este proyecto es ofrecer a la comunidad un marco de trabajo centralizado para mejorar las capacidades de detección y monitoreo de eventos de seguridad relacionados con la plataforma tecnológica de la organización.
Entre los productos que conforman los pilares base de esta solución están el SNORT, uno se los mejores IDS/IPS de software libre en la actualidad, el NTOP, que permite monitorear las conexiones de nuestra red en tiempo real, NAGIOS, que permite ver la disponibilidad de nuestros equipos tanto servidores como dispositivos de red, OPENVAS, escáner de vulnerabilidades, entre otros, aparte de una gran cantidad de agentes y plugins para la recolección de eventos, compatibles con plataformas como Windows, Linux/Unix, AIX, HP-UX, Sun y cualquier dispositivo que genere y envíe logs.
Uno de los secretos del éxito en la implementación de está herramienta, la versatilidad que tiene sus componentes (framework<-server<-agentes<-plugins) para realizar los procesos de recolección, normalización, análisis, correlación, priorización y valoración de riegos que nos permiten reducir tanto los falsos-positivos como el tiempo de respuesta a incidentes de seguridad tanto externos como internos.
Para mayor información pueden visitar la página de Alienvault (http://www.alienvault.com/community.php?section=WhatisES#introduccion) y disfrutar de esta herramienta de código abierto que hace la vida mas fácil a los administradores de seguridad.
Próximamente entrevista con uno de los creadores del OSSIM: Dominique Karg
Por: Ronald Romero
Enfoque Seguro