Correlación de eventos

Cada día que pasa tengo más claro que cada vez los antivirus tienen menos eficacia, que instalar un cortafuegos por sí solo sin definir procedimientos y políticas en el Sistema de Gestión es para salir del paso creando una falsa sensación de seguridad, y depositar toda la confianza en empresas punteras de seguridad como RSA no es suficiente para proteger nuestra infraestructura IT. Tan solo hay que ver las últimas filtraciones de Edward Snowden donde se dice que RSA tenía contratos secretos con la NSA para facilitar el acceso a los datos cifrados por los clientes de RSA.

Para tener una visión más verdadera del estado de nuestra infraestructura IT es necesario ayudarse de sistemas de correlación de eventos, pero esto … qué es? Muy sencillo, un evento es cualquier cosa que sucede, la correlación es la interrelación entre los eventos, y el sistema es capaz de generar una respuesta ante un comportamiento anómalo. Por ejemplo, imaginemos que vemos a un chico con un pasamontañas (evento 1), corriendo (evento 2), con una pistola en la mano izquierda (evento 3), con una bolsa de basura negra en la mano derecha (evento 4), a lo lejos un cristal de una joyería roto (evento 5) y una alarma sonando (evento 6), ¿qué habrá pasado? ¿qué hay que hacer? Un sistema de correlación de eventos o SIEM es capaz de procesar millones de eventos de multitud de productos tecnológicos generando alarmas que nos avisen ante comportamientos anómalos.

A continuación vemos un pequeño ejemplo con tan solo dos eventos, en el primer evento el IDS ha detectado un intento de denegación de servicio sobre OpenLDAP y en el segundo evento el monitor de nmap ha detectado la caída del puerto ldap, ¿salida? Pues que el ataque de DoS ha sido satisfactorio, el SIEM enviará un correo electrónico avisando del incidente, ejecutará un script, abrirá una incidencia, etc.

 

Por otro lado, la potencia que ofrece estos productos al integrarse con los principales IDS/IPS es que puedes tener en una base de datos mundial la reputación de cada IP y dominio según los eventos obtenidos por los sistemas de detección de intrusos, de esta manera cuantas más organizaciones utilicen este tipo de productos más sencillo es saber dónde se encuentra los principales focos de infección en Internet, y una vez detectados, bloquear directamente los intentos de conexión desde IP con muy mala reputación.