Sistemas de detección de intrusiones y gestión de eventos e información de seguridad basados en nuevas tecnologías de código abierto.

Abstract

La rápida evolución de las redes de datos ha provocado la aparición de nuevas tecnologías para compartir, transferir y distribuir cualquier tipo de información. Esto ha provocado una mayor conciencia sobre la importancia y necesidad de salvaguardar la integridad de los datos y protegerlos contra las amenazas basadas en red (introducción de código dañino en sistemas, ataques a páginas web, filtración de información, fraude electrónico, etc.). En temas de seguridad informática, una de las soluciones más aplicadas para detectar comportamientos anómalos o maliciosos y registrar tales eventos son los sistemas de detección de intrusiones (Intrusion Detection System - IDS). Esta solución se puede entender como la evolución del concepto “antivirus”, y permite detectar más tipos de ataques como la denegación de servicio (Denial of Service - DoS) o su variante, la denegación de servicio distribuido (Destributed Denial of Service – DDoS), robo de información, ataque por encuentro a medio camino (Meet-in-the-Middle - MITM), [1], entre otros. Para analizar la información generada por el IDS, se propone la implementación de un sistema de Gestión de Eventos e Información de Seguridad (Security Information and Event Management - SIEM), el cual combina las funciones de un sistema de Gestión de Información de Seguridad (Security Information Management - SIM) y un sistema de Gestión de Eventos de Seguridad (Security Event Management - SEM). El sistema SIM se encarga del almacenamiento, el análisis y la comunicación de los datos de seguridad. El sistema SEM se encarga del monitoreo en tiempo real, correlación de eventos, notificaciones y vistas de la consola de la información de seguridad. De esta manera, el sistema SIEM, centraliza el almacenamiento y el análisis de la información relevante de seguridad con la finalidad de permitir a los equipos de seguridad controlar todo lo que está pasando en la red en tiempo real y reaccionar rápidamente ante posibles ataques y vulnerabilidades.