Ossim
| ||||||||||||||||
OSSIM, la consola informática de seguridad central para las empresas. OSSIM quiere suplir las necesidades que un grupo profesionales del mundo de la seguridad día a día encuentran. Sorprende que con el fuerte desarrollo tecnológico producido en los últimos años que ha provisto de herramientas con capacidades como las de los IDS(Sistema de detección de intrusos), sea tan complejo desde el punto de vista de seguridad de obtener una visión de una red con un grado de abstracción que permita una revisión práctica y asumible. La intención inicial en el desarrollo de este proyecto es mejorar esta situación a través de una función que se resume con el nombre de correlación.
Sumario
Correlación
Posibilidad de obtener una visibilidad de todos los eventos de los sistemas en un punto y con un mismo formato, y a través de esta situación privilegiada relacionar y procesar la información permitiendo aumentar la capacidad de detección, priorizar los eventos según el contexto en que se producen, y monitorizar el estado de seguridad de la red. La idea de correlación está también implícita en la visión del en el sentido de agregación e integración de productos con el fin de incluir un número de magníficos productos desarrollados en estos años en un Framework general, que permitirá nuevas posibilidades al interrelacionar todas sus funcionalidades. En el camino se han encontrado nuevas necesidades que han permitido aumentar la precisión del sistema, desarrollando la capacidad que ya forma parte del núcleo de OSSIM.
Valoración de riesgos
Como forma de decidir en cada caso la necesidad de ejecutar una acción a través de la valoración de la amenaza que representa un evento frente a un activo, teniendo en cuenta la fiabilidad y probabilidad de ocurrencia de este evento. Desde este momento el sistema se vuelve más complejo pues ha de ser capaz de implementar una Política de Seguridad, el Inventario de la Red, ofrecerá un Monitor de Riesgos en tiempo Real, todo ello configurado y gestionado desde un Framework. No se debe en cualquier caso dejar que esta complejidad aparte al proyecto del objetivo, que es la integración de productos.
El resultado es por lo tanto realmente ambicioso y hereda todas las funcionalidades y el gran esfuerzo de desarrollo de una comunidad de expertos siendo su papel el de meros integradores y organizadores. Este proyecto quiere ser así mismo una muestra de la capacidad del mundo de código abierto de crecer en sí mismo y aportar soluciones punteras en sectores concretos como el de la seguridad de redes, donde las soluciones del mundo libre aportan otro importante valor: la auditabilidad o capacidad de auditoría de los sistemas que se instalan en la red.
Utilidades
El proyecto OSSIM consiste en una consola de seguridad central, que permite gestionar y saber el nivel de seguridad (métrica) que tiene la empresa. Se trata de un proyecto Open Source, con lo que todo el mundo puede disfrutar de él sin ningún coste, además de poder colaborar en su código para formar parte de su evolución. OSSIM engloba más de 22 herramientas de seguridad, entre ellas: IDS (Snort), detector de vulnerabilidades (Nessus), firewall (Iptables), detector de sistema operativo (Pof), monitorización en tiempo real y estadísticas (Ntop), detector de anomalías (Rrd), escaneadores (Nmap), y otros.
Todas estas utilidades son las más usadas en su categoría y todas ellas son Open Source, con lo que contamos con un gran número de personas mejorando y actualizando cada una de ellas. Pero además OSSIM no sólo consigue englobar estas herramientas, sino que la fuerza real de OSSIM reside en su motor de correlación antes mencionando, gracias al cual podemos tener una red o varias con millones de alertas de diferentes dispositivos y mediante su potente motor disponer de alarmas reales, sin falsos positivos y de manera centralizada.
Con esto conseguimos que una empresa pueda, no sólo tener un gran número de dispositivos tecnológicos, sino que además sepa en cada momento el nivel de seguridad que tiene y el que desea tener. Gracias al motor de correlación de OSSIM conseguimos detectar entre otras cosas, virus antes incluso que los propios fabricantes de antivirus, ya que al trabajar de manera centralizada con muchas herramientas, es capaz de detectar anomalías en el funcionamiento de las máquinas, detectando nuevos virus que aún no han sido identificados por nadie
Ejemplo de correlación del motor de OSSIM
- Hay un intento de conexión
- Hay una respuesta a la conexión
- Tenemos persistencia en la misma (aumenta la prioridad)
- El comportamiento es anómalo
- Se produce la alarma
Equipo de trabajo
El proyecto fue creado y desarrollado por un grupo de especialista en seguridad informática de la empresa Ipsoluciones. Entre sus miembros principales se encuentran: Julio Casal, Dominque Kang, David Gil, Fabio Ospitia, y un largo número de analistas de seguridad dedicados a OSSIM.
Actualmente Ipsoluciones ha sido adquirida por It-Deusto, desde donde el grupo de seguridad realiza instalaciones, configuraciones y explotación de OSSIM en empresas de toda España, tanto privadas como importantes instituciones públicas.
