Los sistemas de monitorización como línea de defensa

Con el paradigma actual, en el que el perímetro corporativo tradicional ha muerto, en el que los dispositivos móviles, el cloud y la tecnología IoT, han pasado a ser amenazas de alto riesgo y difícil control. Los responsables de la seguridad de las redes corporativas deben apoyarse de forma especial en los sistemas de monitorización continua y detección de intrusiones.

Podríamos decir que “Si conocemos lo que ocurre en nuestra red, podremos aplicar las respuestas adecuadas”.

Tras tomar la decisión de monitorizar la red, y antes de decidir que herramienta utilizar, será necesario conocer los distintos sistemas que existen, vamos a ver una posible clasificación de estos sistemas:

Monitorización de puertos y servicios

Los sistemas o aplicaciones incluidos en este grupo, solo cubren parcialmente un pilar muy definido de la seguridad, concretamente la disponibilidad. Estos sistemas monitorizan que los puertos de los servidores y los servicios vinculados a ellos se encuentren disponibles.

Dentro de este grupo podríamos encontrar herramientas muy conocidas, como: Fport, Netsat, Nmap, etc.

Monitorización de sistemas y servicios

Sistemas que nos permiten realizar tareas más complejas, dan opción a verificar y monitorizar el funcionamiento de los dispositivos y servicios existentes en una red. Estos sistemas analizan la red en búsqueda de dispositivos y servicios, los monitorizan de forma continua, informando de los eventos sucedidos. Podríamos monitorizar desde la disponibilidad en la red de una impresora, hasta la disponibilidad de un servidor SQL Server, pasando por otros importantes valores, como la carga de CPU de un servidor o el espacio disponible en el disco duro de un equipo concreto.

Dentro de este grupo podríamos encontrar herramientas muy completas y conocidas, como: Nagios, Cacti, PRTG Network Monitor, Total Network Monitor, The Dude, etc.

Gestión de información y eventos de seguridad (SIM/SEM/SIEM)

En los puntos anteriores nos hemos centrado en sistemas que permiten la monitorización de los sistemas, servicios y puertos de las redes informáticas, los cuales pueden cumplir de forma muy efectiva el control de la disponibilidad de la información y sistemas pero están muy limitados en lo que respecta a garantizar la seguridad de los mismos.

Para poder ir más allá en la seguridad, necesitamos sistemas más complejos, que permitan la monitorización de los propios datos y eventos ocurridos, podríamos decir, que nos permitan monitorizar el comportamiento y realizar una defensa en profundidad. Para ello vamos a ver los siguientes sistemas:

SIM (Administración de información de seguridad)

Sistemas de monitorización cuya función principal es la recolección, comparación, relación y análisis de información y eventos de seguridad de la red, para su posterior análisis.

Como características principales, nos encontramos con:

• Centralización, administración y análisis de Logs.
• Detección de riesgos.
• Permiten realizar informes de cumplimiento.

SEM (Administración de eventos de seguridad)

Sistemas de cuya función principal es la de monitorización y gestión de información y eventos de seguridad de la red en tiempo real.

Como características principales, nos encontramos con:

• Monitorización y captura de eventos de la red y aplicaciones en tiempo real.
• Respuestas automatizadas a incidentes de seguridad.
• Detección de riesgos y situaciones anómalas.
• Informes de seguridad.

SIEM (Administración de eventos e información de seguridad)

Son los sistemas más recientes y también los más completos ya que se basan en una combinación de los SIM y los SEM. Permiten el análisis en tiempo real de las alertas de seguridad de la red, registrar y analizar los Logs, analizar comportamientos, así como generar informes de seguridad y cumplimiento. Estos sistemas están en continuo desarrollo, utilizando en muchos casos, recursos como el intercambio de información entre las comunidades de usuarios y técnicas de Inteligencia Artificial para mejorar la detección de incidencias de seguridad.

Como características principales, nos encontramos con:

• Centralización, administración y análisis de Logs.
• Monitorización y captura de eventos de la red y aplicaciones en tiempo real.
• Detección de anomalías y amenazas de la red.
• Respuestas automatizadas a incidentes de seguridad.
• Análisis en profundidad y continuo de ataques.
• Captura del tráfico de la red.
• Análisis del comportamiento de los usuarios o el tráfico de datos.
• Cumplimiento normativo.
• Administración del riesgo.

En sistemas SIEM encontramos excelentes herramientas como:

OSSIM, QRadar, SolarWinds, ADAudit, LogRhythm y muchas otras.

Por último cabe recordar que la continua evolución de estos sistemas y aplicaciones, hace necesario revisar las herramientas y sistemas existentes en el mercado, cada vez que se desea implementar un método de monitorización de la seguridad de una red.