El Sistema d’Alerta Precoç (SAP) d’Internet és un servei desenvolupat i implantat per l'Equip de Resposta davant Incidents de Seguretat de la Informació del Centre Criptològic Nacional (CCN-CERT) per a la detecció en temps real de les amenaces i incidents existents en el tràfic que flueix entre la xarxa interna de l'Organisme adscrit i Internet. La seva missió és detectar patrons de diferents tipus d'atac i amenaces mitjançant l'anàlisi del tràfic i els seus fluxos. En cap moment se centra en l'anàlisi del contingut del tràfic, que no sigui rellevant en la detecció d'una amenaça.
Per a la seva posada en marxa és necessari implantar una sonda individual a la xarxa pública de l'Organisme, que s'encarrega de recollir la informació de seguretat rellevant que detecta i, després d'un primer filtrat, enviar els esdeveniments de seguretat cap al sistema central que realitza una correlació entre els diferents elements i entre els diferents dominis (organismes). Immediatament després, l'Organisme adscrit rep els corresponents avisos i alertes sobre els incidents detectats.
La sonda és un servidor d'alt rendiment que incorpora diverses eines de detecció i monitoratge de codi obert i comercials (NIDS, arpwatch, ntop, etc.) i que compta amb dues interfícies de xarxa diferents:
- Interfície d'anàlisi: rep tot el tràfic a analitzar. Aquesta interfície només llegeix el tràfic, sense modificar-lo en cap moment, i només aquell que és necessari per a la seva funció (no dades que puguin ser considerades sensibles –payload-).
- Interfície de gestió: connecta a través d'Internet de forma segura amb el sistema central de monitoratge/correlació, fent ús de la infraestructura de l'Organisme o d'una connexió independent.
Fig. Arquitectura Sistema de Sondes d'Internet
Contacto
