Tarea10_AudInf

CENTRO UNIVERSITARIO TECNOLÓGICO CEUTEC

AUDITORÍA INFORMÁTICA – SECCIÓN 1003 ING. JUAN CARLOS INESTROZA TAREA # 10 – HERRAMIENTAS SIEM

MOISÉS TORRES 3092-1668 Tegucigalpa 08 de junio de 2015

ÍNDICE Introducción...…………….………….....………………………….4 Objetivos ……..5

Generales……………………..……….………….

Objetivos Específicos………...………………………………….…6 Estudio de Vulnerabilidades GFI……………………………...…7 Herramientas SIEM………………………………………….…..10 OSSIM Alien Vault………...……………………………......10 ArcSight ES………………………………………………….12 GFI Events Manager…………………………………………14 Barcelona 04…………………………………………………17 RSA EnVision……………………………………………….21 OSSEC……………………………………………………….23 Log Manager………………………………………………...25 DSCC………………………………………………………...25 EventLog Analizer…………………………………………...27 Tivoli Security Information and Event Manager…………….28 Garantías de Misión Crítica……………………….………….…30 GMC Dell…………………………………………………....30 GMC HP……………………………………………………..31 GMC IBM…………………………………………………...34 2

Servidores de Alto Nivel……………………………………….…36 Stratus……………………………………………………..…36 HP ProLiant………………………………………………….37 Herramientas de Cifrado……………...…………………………42 GnuPG……………………………………………………….42 AESCrypt…………………………………………………....44 DiskCryptor………………………………………………….45 EncFS………………………………………………………..48 TrueCrypt……………………………………………………49 Conclusiones………………………………………………………51 Bibliografía………………………………………………………..53

3

INTRODUCCIÓN

El uso de herramientas para la gestión SIEM (Security Information and Event Management) es necesaria para lograr que los sistemas dentro de las organizaciones permanezcan “saludables”. Un sistema SIEM permite que seamos capaces de agregar datos de varias fuentes, correlación de logs (por ejemplo: un intento de conexión fallido genera un log, varios logs fallidos es un ataque de fuerza bruta), alertas, ahora nos permiten observar esa información de una manera gráfica atractiva empleando cuadros de mando con gráficos muy preciosos, permite realizar análisis forense y retención en el tiempo de eventos pasados.

El uso de logs permite que un administrador de sistemas pueda monitorear desde una computadora los errores en el sistema, caídas, deterioro del rendimiento, etcétera en una red que puede tener muchos servidores. A este concepto se le conoce como Centralización de Logs.

El cifrado de discos es una medida extra de seguridad tecnológica existente, cuya finalidad es proteger los dispositivos de almacenamiento en caso de, esto debido a que nunca se está exento de extraviarlos, esto es una medida que ofrece tranquilidad a los dueños de la información que la misma sea inútil para alguien ajeno a los intereses de la organización, con el fin del reducir los aspectos negativos del espionaje industrial, o a veces una posible extorsión en caso de caer en manos inadecuados. En este aspecto es mejor pecar de exagerado que pecar de inocente, ya que hasta adentro de la información hay personas que, no van asisten a sus labores diarias la mentalidad de extraer información pero que pueden ser inducidas a hacerlo al precio adecuado.

4

OBJETIVOS GENERALES

Conocer las distintas herramientas que permiten la centralización de logs, empleadas para conocer la concurrencia de nuestras aplicaciones y tomar medidas preventivas después de incidentes para corregir las fallas y que no vuelvan a suceder. También saber que su aplicabilidad no solo es el simple registro de logs sino una prueba ante auditorías forenses que puedan ser efectuadas luego de algún siniestro caudada por intrusión que comprometa.

Estar al tanto de las garantías que ofrecen las grandes corporaciones para que las organizaciones puedan mantener en funcionamiento sus operaciones calificadas como “críticas” y permitir que la empresa continúe con sus operaciones en el menor tiempo posible minimizando el tiempo que la empresa mantenga sus operaciones fuera. Para ello los grandes fabricantes de hardware ofrecen detalladas características que ofrecen, como compromiso y para atraer clientes, diversas especificaciones de sus productos como medidas para asistirlas.

Saber de las distintas herramientas que permiten realizar el cifrado de medios de almacenamiento, directorios, y archivos individuales y entender que el peor de los percances siempre es una posibilidad para tomar medidas preventivas que minimicen el impacto negativo de extravío o perdida de archivos y medios de almacenamiento.

5

OBJETIVOS ESPECÍFICOS

 Conocer las distintas herramientas utilizadas por las organizaciones para el registro de logs.  Entender las amenazas, internas y externas, a las que se enfrentan las organizaciones en el día a día y las distintas herramientas de cifrado existentes, así como su funcionamiento y origen.  Conocer las distintas características que ofrece cada o de los fabricantes de hardware que ofrecen alta disponibilidad, denominadas garantías de misión crítica, así como los distintos servicios de apoyo para las organizaciones que elijan sus productos  Saber las características con las que cuentan los servidores de alto nivel que permiten una mayor escalabilidad en comparación a los demás servidores, así como las tecnologías que emplean para cumplir las obligaciones del día a día de las empresas.

6

ESTUDIO DE VULNERABILIDADES GFI En el año 2014 se reportaron, en promedio, 19 nuevas vulnerabilidades por día, lo que a lo largo de un año equivale a ±7000 vulnerabilidades que anteriormente no se conocían. En comparación a los años anteriores el número ha crecido, por lo que de continuar con esa tendencia este año, 2015, se reportarán aún más vulnerabilidades.

De todas estas amenazas, el 24% se consideran como amenazas graves, un porcentaje menor si lo comparamos con el año 2013 pero que a pesar de eso el número de incidencias graves del año pasado es mayor.

7

Las aplicaciones de terceros son las que más se ven explotadas por las vulnerabilidades ya que constituyen más del 80% de las incidencias reportadas, mientras que al sistema operativo únicamente se le acredita el 13% y, en un porcentaje muy pequeño, sólo 4%, se ha visto comprometido el hardware.

Los sistemas operativos de Microsoft ya no constituyen el sistema operativo con más vulnerabilidades reportadas, por lo contrario, son los OS Mac los que han sufrido mayor cantidad de vulnerabilidades, casi el 50% de ellas se consideran graves.

8

Pero esto no significa precisamente que Microsoft haya mejorado la seguridad en sus aplicaciones ya que es el navegador nativo de los OS Windows la aplicación que más reportes de vulnerabilidades tiene, y el 90% de ellas consideradas como vulnerabilidades graves.

9

HERRAMIENTAS DE CIFRADO OSSIM ALIEN VAULT Open Source Security Information Manager, OSSIM por sus siglas en inglés, es una colección de herramientas bajo licencia GPL –General Public License–, diseñada para ayudar a los administradores de red en la seguridad de las computadoras, detección de intrusos y prevención. El objetivo del proyecto es que ofrecer una herramienta que ayude a la administración de eventos de seguridad mediante un motor de correlación y una colección detallada de herramientas open source las cuales sirven al administrador para tener una vista de todos los aspectos relativos a la seguridad de su infraestructura. Ossim a su vez provee un fuerte motor de correlación, con detallados niveles, bajos, medianos y altos de interfaces de visualización, como también reportes

y

herramientas de manejo de incidentes. Además tiene la habilidad de actuar como un sistema de prevención de intrusos basado en información correlativa de cualquier fuente, resultando ser una útil herramienta para la seguridad. Toda esta información puede ser filtrada por red o sensor con el objetivo de proveer únicamente la información requerida por un usuario específico, permitiendo una buena granularidad en un ambiente de seguridad multiusuario.

10

* Advertencia de escritura en fichero propiedad de root.

Entre algunos de sus componentes de software más destacados encontramos:    

Arpwatch, utilizado para detección de anomalías en direcciones MAC. P0f, utilizado para la identificación pasiva de OS. Pads, utilizado para detectar anomalías en servicios. Openvas, utilizado para la evaluación y correlación cruzada (Sistema de

detección de intrusos vs Escáner de vulnerabilidad).  Snort, utilizado como sistema de detección de intrusos (IDS) como también para la correlación cruzada con Nessus.  Spade, es un motor de detección de anomalías en paquetes. Utilizado para obtener conocimiento de ataques sin firma.  TcpTrack, utilizado para conocer la información de las sesiones, lo cual puede conceder información útil relativa a los ataques.  NTop, el mismo construye una impresionante base de datos con la      

información de la red, para la detección de anomalías en el comportamiento. Nagios, utilizado para monitorear la disponibilidad de los host y servicios. NfSen, visor de flujos de red para la detección de anomalías de red. Osiris, es un sistema de detección de intrusos basado en host (HIDS). Snare, colecciona los logs de sistemas Windows. OSSEC, es un sistema de detección de intrusos basado en host. OSSIM también incluye herramientas desarrolladas específicamente para él, siendo el más importante un motor de correlación con soporte de directivas lógicas e integridad de logs con plugins.

11

* OSSIM Web Framework.

ARCSIGHT ESM HP ArcSight ESM es el gestor de sucesos de seguridad estreno que analiza y correlaciona cada evento con el fin de ayudar a su equipo SOC IT con detección de eventos de seguridad, de cumplimiento y gestión de riesgos para operaciones de inteligencia y seguridad. ESM tamiza a través de millones de registros, y los correlaciona para encontrar los eventos críticos que importan en tiempo real a través de cuadros de mando, las notificaciones y los informes, así que usted puede priorizar con precisión los riesgos de seguridad y violaciones de cumplimiento.

12

Características principales:  Una solución económica para todas sus necesidades de cumplimiento    

normativo. Recopilación de registros automatizada y archivo. La detección del fraude. La detección de amenazas en tiempo real. Capacidades de análisis forense para la seguridad cibernética.

Recomendaciones del Sistema Procesadores Memoria Almacenamiento OS System OS Consola

Pequeño

Medio

Grande

8 núcleos 36 GB de RAM 250 GB/RAID

16 núcleos 64 GB de RAM 1.5 TB/RAID

32 núcleos 128 GB de RAM