Dentro de la gran variedad de servicios que podemos ofrecer basados en Software Libre, está el de monitorización de la seguridad de la red, con ayuda de Ossim. Esta herramienta es todo un referente entre las de su género y resulta complicado decir con exactitud qué es, por ello usaré la definición que usa la Wikipedia: OSSIM (Open Source Security Information Management) es una colección de herramientas bajo la licencia BSD, diseñadas para ayudar a los administradores de la red en la seguridad de los equipos, la detección de intrusos y la prevención.
Inicialmente nos pueden contratar para el despliegue inicial de la herramienta y la correcta configuración de todas y cada una de las herramientas que componen la suite: Esto no sólo consiste en instalar la ISO que podemos descargar desde la web. Deberíamos considerar realizar trabajos como:
- Revisión y actualización de firmware de servidores con los que trabajar
- Instalación y configuración del sistema operativo en los equipos destinados a Ossim
- Instalación y configuración básica de Ossim y agentes en las sondas. Configuración jerárquica.
- Configuración de switches.
- Desarrollo de scripts, y programas que permitan la integración entre las diferentes herramientas y Ossim (purgas de BBDD, recuperaciones, backups, agentes windows, linux, ossec... )
- Desarrollo de nuevos plugins para Ossim según se requiera (monitorización desde Nagios, monitorización Windows Update, NRPE-Windows, etc)
- Instalación y configuración de los agentes necesarios en los equipos a monitorizar (snare, syslog, etc)
- Y por supuesto, lograr la adecuación de Ossim al Plan de Seguridad:
- Configuración de activos (servidores, redes), alertas, respuestas, notificaciones,
- Programación de análisis de vulnerabilidades, Ponderación de los riesgos, y priorización de activos
- Definición de nuevas reglas de correlación
Pero una vez que hemos realizado estos trabajos... ¿qué pasa?, somos conscientes que la seguridad es un proyecto del día a día, y no es algo con un comienzo y final, se debe estar contínuamente encima de ello, ¿cómo podemos vender esto?. Esta es mi propuesta:
- Trabajos de mantenimiento de la infraestructura Ossim que incluyen, la serie de tareas que habría que realizar para mantener operativa tal cual se diseñó todo el despliegue de Ossim:
- la actualización controlada del sistemas Debian y aplicación de actualizaciones,
- Solución y respuesta de alertas reportadas por Nagios sobre los equipos OSSIM
- Revisión periódica de la base de datos y el resto de servidores, para detectar problemas de capacidad y rendimiento
- Adaptar las configuraciones a los cambios que pudiera haber en la red y en la infraestructura de servidores
- Configuración de servidores Windows y Linux, para reportar correctamente los eventos de seguridad a las sondas
- Mantenimiento de la política de seguridad, que consistiría en mantener actualizados el inventario de hosts, redes, Assets, Niveles C&A, etc.
- Trabajos de soporte de Ossim, que incluirían los trabajos para adaptar y mejorar el despliegue el diseño inicial en base a los nuevos retos y problemas que vayan surgiendo en el futuro:
- Desarrollo de nuevas alertas, directivas y plugins para monitorizar nuevos eventos de seguridad Implantación de nuevas sondas para adecuar la infraestructura de monitorización a cambios de topología de red y cambios en la infraestructura de la red
- Revisión periódica de las alertas de seguridad para detectar la necesidad de configurar nuevas directivas y adaptar la política de seguridad
- Actualización de las sondas a las nuevas versiones de OSSIM, que en la mayoría de los casos requerirán de modificar el fuente de la aplicación (phps de la consola web, cambios en BBDD), como ya me ha sucedido con las actualizaciones realizadas.
- Aumentar el nivel de monitorización con el despliegue de agentes de Ossim en los propios servidores herramienta.
- Revisión periódica de las anomalías detectadas y solución
- Gestión y mantenimiento periódicos de informes de la herramienta
- Trabajos de soporte avanzados de seguridad para aumentar y mejorar el nivel de monitorización y dar respuesta a los incidentes de seguridad detectados por OSSIM
- Dar respuesta a los tickets generados por OSSIM: El administrador de seguridad generará tickets a partir de las alertas, y estos tickets habrá que darles una solución, en la mayoría de los casos interviniendo en la configuración del servidor que presenta la alerta
- Programación de escaneado de vulnerabilidades y solución a las mismas en base al informe de OpenVAS y la aplicación de cambios en la configuración del servidor afectado
- Aumentar el nivel de monitorización implantado HIDS (Ossec) en los servidores más sensibles a la seguridad.
El primer grupo de trabajos, mantenimiento de la infraestructura, debería ser posible acometerlos con la documentación que se adjunte con el proyecto inicial, de forma que se mantenga la infraestructura tal cual está diseñada.
El segundo grupo de trabajos requiere de un conocimiento más avanzado sobre la herramienta e incluso multidisciplinar dado que algunos de ellos requieren de desarrollos en diferentes lenguajes de programación y sistemas al tratarse de tareas no rutinarias. Para llevarlos a cabo con éxito se requiere de una formación exhaustiva en la herramienta Ossim que se puede conseguir leyendo la documentación oficial o en su defecto, se recomienda contar con apoyo de un técnico experto formado para ello.
El tercer grupo requiere de conocimientos expertos más avanzados en diferentes sistemas para dar solución a cada uno de los incidentes que puedan detectarse y que en la mayoría de los casos tendrán solución distinta: Montar cortafuegos, configurar sistemas Windows y Linux, securizar servicios, actualizar versiones de software, etc.
Para cada uno de estos tipos de trabajos el procedimiento de actuación consistirá en solucionar el incidente de seguridad, pero lo que variará serán las entradas y salidas de ellos:
- Como entradas de estos incidentes, se tendrán tickets generados en Ossim, que se comunicarán al responsable de solucionarlos con una llamada telefónica, una solicitud de asistencia. Ello derivará en un diagnóstico inicial y la elaboración de una propuesta de solución.
- Las salidas de estos incidentes deberían ser informes de actuación donde se detalle el origen y diagnóstico del problema y las medidas realizadas para solucionarlo.
La propuesta para la contratación de ayuda externa podría ir en función de diferentes factores:
- En función del tiempo de respuesta ante incidentes para la elaboración de un diagnóstico preventivo, y en función del tiempo en el que existe compromiso de resolver el incidente.
- En función de una cantidad fija horas en las que el apoyo realizaría labores proactivas que darían como resultado una serie de informes periódicos y otra cantidad de horas destinada a solucionar incidentes y realización de tareas.
Bueno, este es mi punto de vista.
No hay comentarios:
Publicar un comentario