Procedimiento para la implementación de una herramienta SIEM en empresas que cuenten con un sistema de gestión de seguridad de la información.

Arias Bernal, Luis Ernesto; Cogollo Bustamante, Jhony

View/Open

Trabajo de Grado (1.587Mb)

Date

2013-09-11

Author

Arias Bernal, Luis Ernesto

Cogollo Bustamante, Jhony

Metadata

Show full item record

Abstract

Las empresas que tienen implementadas herramientas para seguridad de la información, típicamente utilizan componentes como firewalls, routers, IDS, IPS, entre otros. Cada uno de estos componentes reporta tanto las actividades permitidas como denegadas que suceden en ellos, e identifican desde su perspectiva los potenciales ataques, basados en una serie de comportamientos predefinidos. Los servidores son componentes de la red que aunque no hacen parte de la infraestructura de seguridad, también reportan las actividades que permiten determinar si a través de ellos se han producido accesos permitidos o denegados. Según la XII Encuesta de Seguridad Informática de ACIS, los virus/caballos de Troya, ataques y accesos no autorizados a la web y a las bases de datos, se encuentran entre los incidentes más presentados en las empresas22. Con los reportes de actividades de estos servicios se identifica por ejemplo, si un usuario ha intentado escalar privilegios o ingresar al sistema por fuerza bruta. Los profesionales de seguridad de las empresas utilizan los logs generados por los dispositivos mencionados para analizar por separados los comportamientos evidenciados en cada uno de ellos. Para estos profesionales representa un trabajo arduo el análisis de los logs recopilados de los diferentes dispositivos, precisamente por la vasta cantidad de información que deben analizar. Aun haciendo un análisis concienzudo y pormenorizado de los registros obtenidos por distintas fuentes, existe la posibilidad de que el profesional pase por alto comportamientos que podrían ser identificados como ataques debido a la limitación que representa analizar manualmente los logs recopilados. Si a esto se le suma el crecimiento de las redes de cómputo de las organizaciones, el aumento de aplicaciones que funcionan permanentemente en línea y el crecimiento vertiginoso de ciber - delincuentes (se estima que en el mundo se presentan 18 víctimas de ataques informáticos por segundo, más de 1.5 millones de víctimas al día y 556 millones de víctimas por año),23 se aumentan las probabilidades de que se produzca un número mayor de ataques imperceptibles para los profesionales de seguridad.

URI

http://repository.unipiloto.edu.co/handle/20.500.12277/2586

Collections

Especialización en Seguridad Informática [765]