Abrir sesión
logo

DEFENSA FRENTE A LAS CIBERAMENAZAS

barra-separadora

El Sistema de Alerta Temprana (SAT) de Internet es un servicio desarrollado e implantado por el Equipo de Respuesta ante Incidentes de Seguridad de la Información del Centro Criptológico Nacional (CCN-CERT) para la detección en tiempo real de las amenazas e incidentes existentes en el tráfico que fluye entre la red interna del Organismo adscrito e Internet. Su misión es detectar patrones de distintos tipos de ataque y amenazas mediante el análisis del tráfico y sus flujos. En ningún momento se centra en el análisis del contenido del tráfico, que no sea relevante en la detección de una amenaza.

Para su puesta en marcha es necesaria la implantación de una sonda individual en la red del Organismo, que se encarga de recolectar la información de seguridad relevante que detecta y, después de un primer filtrado, enviar los eventos de seguridad hacia el sistema central que realiza una correlación entre los distintos elementos y entre los distintos dominios (organismos). Inmediatamente después, el Organismo adscrito recibe los correspondientes avisos y alertas sobre los incidentes detectados.

La sonda es un servidor de alto rendimiento y dedicado, que incorpora varias herramientas de detección y monitorización opensource y comerciales (NIDS, arpwatch, ntop, etc..) y que cuenta con dos interfaces de red diferenciados:

  • Interfaz de análisis: recibe todo el tráfico a analizar. Este interfaz sólo lee el tráfico, sin modificarlo en ningún momento, y sólo aquel que es necesario para su función (no datos que puedan considerarse sensibles –payload-).
  • Interfaz de gestión: conecta a través de Internet de forma segura con el sistema central de monitorización/correlación, haciendo uso de la infraestructura del Organismo o de una conexión independiente.

 

 

Fig. Arquitectura Sistema de Sondas de Internet

 

El despliegue de la sonda se realiza del siguiente modo:

  • Instalación de la sonda en el Organismo y configuraciones necesarias en la arquitectura de red para enviar hacia la sonda el tráfico a analizar.
  • La conexión entre la sonda y el sistema central se realiza siempre de forma segura, a través del establecimiento de un túnel OpenVPN. Esta conexión puede realizarse de forma directa (a través de una salida dedicada hacia Internet, ej. adsl) o indirecta (a través de los firewalls del Organismo adscrito). El establecimiento de este túnel cifrado se inicia desde la sonda hacia el sistema central, no siendo necesaria ninguna infraestructura adicional por parte del organismo para el establecimiento de túneles cifrados.
  • La sonda se gestiona completamente desde el CCN-CERT, no siendo necesaria la realización de tareas de administración por parte del personal del Organismo. Eventualmente se solicitaría apoyo al Organismo en el caso que fuera necesaria la realización de tareas puntuales que no pudieran realizarse de manera remota.
  • De forma general, salvo que se pacte otra cosa, la sonda vigilará el tráfico de salida a Internet, o de alguna de las DMZ’s que se decidan, no entrando en el tráfico interno del Organismo. Con los eventos recibidos se realiza una correlación avanzada de eventos en el sistema central, permitiendo la detección de ataques hacia los distintos organismos adscritos al sistema.
  • La gestión, actualización y mantenimiento del sistema central está a cargo del CCN-CERT, que lleva a cabo tareas de administración, maduración de las reglas de detección e inclusión de nuevas funcionalidades y herramientas. De hecho, periódicamente se realiza la integración de numerosas reglas de detección, propias y externas, completando y ampliando la inteligencia del servicio y su capacidad de detección. Las reglas propias son generadas a partir de la inteligencia que se produce en el análisis “multidominio”, a partir de la información obtenida durante la investigación de otros incidentes de seguridad y a partir de la información recibida de otros organismos con los que se mantiene un intercambio de información referente a incidentes de seguridad. Asimismo, el sistema incorpora adicionalmente otros mecanismos de detección no basados en firmas, como los basados en anomalías de paquetes, flujos de aplicaciones o en el análisis de información de tráfico.
  • Los usuarios pueden acceder en tiempo real a información relevante de los eventos recibidos, a través de la consola de explotación o a través de los informes restringidos, donde cada Organismo puede ver exclusivamente los eventos e informes relacionados con su red monitorizada.

Más información en pdf

 

Contacto

Clave PGP Descargar

FINGERPRINT BC86 2955 94E2 647D D5E2 CA77 C9A8 E098 A940 BCA9

Volver

Esta web utiliza cookies, puedes ver nuestra política de cookies Si continuas navegando estás aceptándola Modificar configuración