norma
Páginas: 19 (4644 palabras)
Publicado: 22 de mayo de 2013
ISSN 1900-8260
Diciembre de 2008 • N°. 6 • Pp 29-37 • Publicado en línea por la Asociación Colombiana de Facultades de Ingeniería -ACOFI- www.acofi.edu.co
Enviado: 24/10/2008 • Aprobado: 31/10/2008
IMPLEMENTACIÓN Y MEJORA DE LA CONSOLA
DE SEGURIDAD INFORMÁTICA OSSIM: UNA
EXPERIENCIA DE COLABORACIÓN
UNIVERSIDAD-EMPRESA
Juan Manuel Madrid Molina, Luis Eduardo Múnera Salazar, Carlos AndreyMontoya González, Juan David Osorio Betancur,
Luis Ernesto Cárdenas, Rodrigo Bedoya, Cristian Latorre
Universidad ICESI, Santiago de Cali (Colombia)
Resumen
La consola de seguridad es una de las herramientas más usadas para la gestión de la seguridad
informática en las organizaciones. Este artículo resume el trabajo efectuado por el equipo de investigación
para integrar una serie demejoras a la consola de seguridad informática OSSIM, con el fin de cubrir las
necesidades del entorno colombiano. Dichas mejoras incluyen la interconexión con dispositivos de
seguridad física, la implementación de un módulo de creación automática de directivas de correlación
para el motor de la herramienta, y la mejora significativa de la confiabilidad de captura de información
en redes con altotráfico.
Palabras clave: Seguridad informática, seguridad física, consolas de seguridad, OSSIM, correlación de alertas.
Abstract
Security management consoles are today among the most widely deployed tools for information
security management in the enterprise. This article summarizes the work done by our research group, in
order to implement a series of improvements to the OSSIM security console,aiming to fulfill the
Colombian market needs. The improvements include an interface with physical security devices, the
creation of a software module for automatic creation of correlation rules, and a significant enhancement
of information capture reliability in highly congested networks.
Key words: Information security, physical security, security consoles, OSSIM, alert correlation.Introducción
La gestión de la seguridad informática se ha
convertido en una necesidad para las organizaciones
de hoy debido a exigencias legales (Unión Europea,
2000; Congreso Estados Unidos, 2002) y de
cumplimiento con estándares internacionales (ISO
17799, 2005; ISO 27001, 2005).
Una de las herramientas más útiles en dicha labor es
la consola de gestión que recoge información de losdiferentes equipos y redes que conforman la
30
Revista Educación en Ingeniería • Nº. 6 • 2008
plataforma informática de la organización, con el fin
de detectar configuraciones y/o eventos que podrían
considerarse como una amenaza o una evidencia de
ataque informático, y de esa manera poder reaccionar
oportunamente y mantener la información en un
estado seguro. La consola de gestión tambiénpermite
obtener estadísticas e informes acerca del estado de
seguridad de los sistemas de la organización, y para
verificar el cumplimiento de indicadores de gestión.
Una de las consolas de gestión de código abierto más
populares en la actualidad es OSSIM (Open System
Security Information Management, OSSIM, 2008).
Esta consola, además de recolectar y uniformizar los
eventos de losdiferentes sistemas, correlaciona
aquellos que ocurren en el sistema bajo análisis, con
el fin de minimizar el número de alarmas que el
administrador recibe y eliminar falsos positivos.
Este artículo describe el trabajo realizado por el
equipo investigador para mejorar la funcionalidad
de la consola OSSIM. Particularmente, se reseñan
el desarrollo de interfaces para capturar información
desdedispositivos de seguridad física, la creación
de un módulo de software para creación automática
de directivas de correlación, y la mejora de la
confiabilidad de la captura de datos en redes con alto
tráfico. Primero, se presenta un panorama de la
seguridad informática y la problemática que es
solucionada por las consolas de seguridad. Luego se
presenta un resumen de la arquitectura de la...
Diciembre de 2008 • N°. 6 • Pp 29-37 • Publicado en línea por la Asociación Colombiana de Facultades de Ingeniería -ACOFI- www.acofi.edu.co
Enviado: 24/10/2008 • Aprobado: 31/10/2008
IMPLEMENTACIÓN Y MEJORA DE LA CONSOLA
DE SEGURIDAD INFORMÁTICA OSSIM: UNA
EXPERIENCIA DE COLABORACIÓN
UNIVERSIDAD-EMPRESA
Juan Manuel Madrid Molina, Luis Eduardo Múnera Salazar, Carlos AndreyMontoya González, Juan David Osorio Betancur,
Luis Ernesto Cárdenas, Rodrigo Bedoya, Cristian Latorre
Universidad ICESI, Santiago de Cali (Colombia)
Resumen
La consola de seguridad es una de las herramientas más usadas para la gestión de la seguridad
informática en las organizaciones. Este artículo resume el trabajo efectuado por el equipo de investigación
para integrar una serie demejoras a la consola de seguridad informática OSSIM, con el fin de cubrir las
necesidades del entorno colombiano. Dichas mejoras incluyen la interconexión con dispositivos de
seguridad física, la implementación de un módulo de creación automática de directivas de correlación
para el motor de la herramienta, y la mejora significativa de la confiabilidad de captura de información
en redes con altotráfico.
Palabras clave: Seguridad informática, seguridad física, consolas de seguridad, OSSIM, correlación de alertas.
Abstract
Security management consoles are today among the most widely deployed tools for information
security management in the enterprise. This article summarizes the work done by our research group, in
order to implement a series of improvements to the OSSIM security console,aiming to fulfill the
Colombian market needs. The improvements include an interface with physical security devices, the
creation of a software module for automatic creation of correlation rules, and a significant enhancement
of information capture reliability in highly congested networks.
Key words: Information security, physical security, security consoles, OSSIM, alert correlation.Introducción
La gestión de la seguridad informática se ha
convertido en una necesidad para las organizaciones
de hoy debido a exigencias legales (Unión Europea,
2000; Congreso Estados Unidos, 2002) y de
cumplimiento con estándares internacionales (ISO
17799, 2005; ISO 27001, 2005).
Una de las herramientas más útiles en dicha labor es
la consola de gestión que recoge información de losdiferentes equipos y redes que conforman la
30
Revista Educación en Ingeniería • Nº. 6 • 2008
plataforma informática de la organización, con el fin
de detectar configuraciones y/o eventos que podrían
considerarse como una amenaza o una evidencia de
ataque informático, y de esa manera poder reaccionar
oportunamente y mantener la información en un
estado seguro. La consola de gestión tambiénpermite
obtener estadísticas e informes acerca del estado de
seguridad de los sistemas de la organización, y para
verificar el cumplimiento de indicadores de gestión.
Una de las consolas de gestión de código abierto más
populares en la actualidad es OSSIM (Open System
Security Information Management, OSSIM, 2008).
Esta consola, además de recolectar y uniformizar los
eventos de losdiferentes sistemas, correlaciona
aquellos que ocurren en el sistema bajo análisis, con
el fin de minimizar el número de alarmas que el
administrador recibe y eliminar falsos positivos.
Este artículo describe el trabajo realizado por el
equipo investigador para mejorar la funcionalidad
de la consola OSSIM. Particularmente, se reseñan
el desarrollo de interfaces para capturar información
desdedispositivos de seguridad física, la creación
de un módulo de software para creación automática
de directivas de correlación, y la mejora de la
confiabilidad de la captura de datos en redes con alto
tráfico. Primero, se presenta un panorama de la
seguridad informática y la problemática que es
solucionada por las consolas de seguridad. Luego se
presenta un resumen de la arquitectura de la...
Leer documento completo
Regístrate para leer el documento completo.