O sistema de alerta temperá (SAT) de internet é un servizo desenvolvido e implantado polo Equipo de Resposta ante Incidentes de Seguridade da Información do Centro Criptolóxico Nacional (CCN-CERT) para a detección en tempo real das ameazas e incidentes existentes no tráfico que flúe entre a rede interna do organismo adscrito e internet. A súa misión é detectar patróns de distintos tipos de ataque e ameazas mediante a análise do tráfico e os seus fluxos. En ningún momento se centra na análise do contido do tráfico que non sexa relevante na detección dunha ameaza.
Para a súa posta en marcha, é necesaria a implantación dunha sonda individual na rede pública do organismo, que se encarga de recoller a información de seguridade relevante que detecta e, despois dun primeiro filtrado, enviar os eventos de seguridade cara ao sistema central que realiza unha correlación entre os distintos elementos e entre os distintos dominios (organismos). Inmediatamente despois, o organismo adscrito recibe os correspondentes avisos e alertas sobre os incidentes detectados.
A sonda é un servidor de alto rendemento e dedicado, que incorpora varias ferramentas de detección e monitorización opensource e comerciais (NIDS, arpwatch, ntop etc.) e que conta con dúas interfaces de rede diferenciadas:
- Interface de análise: recibe todo o tráfico que hai que analizar. Este interface só le o tráfico, sen modificalo en ningún momento, e só aquel que é necesario para a súa función (non datos que poidan considerarse sensibles —payload—).
- Interface de xestión: conecta a través de internet de forma segura co sistema central de monitorización/correlación, facendo uso da infraestrutura do organismo ou dunha conexión independente.
Fig. Arquitectura Sistema de Sondas de Internet
Contacto
