Esquema De Correlación De Eventos

SECRETARÍA DE MARINA

ARMADA DE MÉXICO

CENTRO DE ESTUDIOS SUPERIORES NAVALES

MAESTRÍA EN SEGURIDAD DE LA INFORMACIÓN

PROMOCIÓN III

TESIS

PROPUESTA DE UN ESQUEMA DE CORRELACIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS DE LA SECRETARÍA DE MARINA.

POR

EL C. TTE. NAV. CG. ECE. MSI.

JULIÁN MANUEL OTAÑEZ CALZA

14 de noviembre del 2008

El contenido de este trabajo refleja los puntos de vista del autor, que no necesariamente son apoyados por el Alto Mando de la Secretaría de Marina – Armada de México ó la Dirección del Centro de Estudios Superiores Navales

__________________

México, D.F., a 14 de noviembre del 2008

Índice

Índice iii

Extracto de: Propuesta de un esquema de correlación de eventos de seguridad en redes de datos de la Secretaria de Marina. iii

Introducción. 3

A.- Antecedentes. 3

B.- Problemática. 3

C.- Hipótesis. 3

D.- Justificación. 3

E.- Objetivos del proyecto. 3

Capítulo I, El proceso de monitorización de redes de datos. 3

A.- El proceso de monitoreo de la red. 3

B.- Correlación de eventos de seguridad. 3

1.- Correlación por el tipo de datos: 3

2.- Correlación por el tipo de modelo. 3

C.- Esquema de correlación de eventos de seguridad (Bidou). 3

1.- Principios básicos de la correlación de eventos. 3

Capítulo II, Descripción de la red de datos de la SEMAR. 3

A.- Descripción general. 3

B.- Red de datos de la SEMAR. 3

C.- Arquitectura de la red del edificio sede. 3

D.- Roles y responsabilidades. 3

E.- Esquema de seguridad. 3

1.- Políticas. 3

2.- Identificación. 3

3.- Autenticación. 3

4.- Monitoreo CSI. 3

5.- Monitoreo DOTIC. 3

Capítulo III, Evaluación de la red de datos de la SEMAR, como un sistema de información federal, en base a la publicación NIST SP 800-60. 3

A.- Descripción general. 3

B.- Metodología a emplear. 3

C.- Alcance del empleo de la metodología planteada. 3

D.- Etapa uno, categorización de la información y del sistema de información. 3

1.- Objetivos de seguridad y pérdidas potenciales. 3

2.- Evaluación del impacto. 3

3.- Establecimiento de las categorías de seguridad para los tipos de información. 3

4.- Categorización de seguridad y asignación de niveles de impacto de la red de datos de la SEMAR. 3

5.- Asignación de categoría de seguridad al sistema de información. 3

E.- Etapa dos, selección de los controles de seguridad. 3

1.- Publicación FIPS 200. 3

2.- NIST SP800-53. 3

3.- Selección y adaptación de la guía de seguridad para la red de datos de la SEMAR 3

F.- Etapa tres, suplemento de los controles de seguridad. 3

1.- Adaptabilidad de la guía de seguridad. 3

Capítulo IV, Selección de la tecnología SIM, en base al NIST SP800-36. 3

A.- Descripción general. 3

1.- Consideraciones generales. 3

B.- Análisis comparativo. 3

Capítulo V, Esquema de correlación de eventos de seguridad para la red de datos de la SEMAR. 3

A.- Propuesta de un esquema de correlación de eventos de seguridad para la red de datos de la SEMAR 3

B.- Objetivos de la propuesta. 3

C.- Centro de Operaciones de Seguridad para la red de datos de la Secretaria de Marina – Armada de México. 3

1.- Tecnología. 3

2.- Arquitectura. 3

3.- Organización. 3

4.- Proceso de respuesta a incidentes. 3

Capítulo VI, Conclusiones y recomendaciones. 3

A.- Conclusiones. 3

B.- Recomendaciones. 3

Bibliografía. 3

A.- Publicaciones. 3

B.- Direcciones WEB. 3

ANEXO A, Matriz de alineamiento estratégico del Estado Mayor General de la Armada de México. 3

ANEXO B, Procesos de información que dependen del Macro proceso, Administración de las Operaciones Navales 3

ANEXO C, Guía de planeamiento de la estrategia de la red de datos de la SEMAR. 3

ANEXO D, Controles mínimos de seguridad recomendados para un sistema de información Federal con categoría de seguridad de alto impacto en base a las publicaciones FIPS 200 y NIST SP800-53. 3

ANEXO E, Selección y adaptación de la guía de seguridad para la red de datos de la SEMAR. 3

ANEXO F, Controles mínimos de seguridad recomendados para un sistema de información Federal con categoría de seguridad de alto impacto en base a las publicaciones FIPS 200 y NIST SP800-53 y su cumplimiento en la red de datos de la SEMAR. 3

ANEXO G, Matriz comparativa de las especificaciones técnicas de los principales productos SIM, en el mercado. 3

ANEXO H, consideraciones generales para la selección de un producto SIM para la SEMAR. 3

ANEXO I, Descripción de OSSIM. 3

A.- Descripción de OSSIM. 3

1.- Pre proceso. 3

2.- Colección/normalización. 3

3.- Post proceso. 3

Extracto de: Propuesta de un esquema de correlación de eventos de seguridad en redes de datos de la Secretaria de Marina.

La información es la materia prima para proporcionar a quien toma decisiones, conocimiento acerca de algo que se pretende evaluar a fin de tomar una decisión correcta y fundamentada.

La Secretaria de Marina / Armada de México (SEMAR) es una Institución Federal Militar de Carácter Permanente cuya Misión es “emplear el poder naval de la Federación, para la defensa exterior y coadyuvar a la seguridad interior del país” ; razón por la cual la información que es manejada en sus procesos críticos es muy sensible en la Seguridad Nacional pudiendo impactar en los campos de poder económico, político, social y militar de la Nación. Esta información debe ser protegida durante su ciclo de vida, a través de una infraestructura telemática que garantice su confidencialidad, integridad y disponibilidad.

Actualmente se cuenta con mecanismos de monitoreo y detección de intrusos que nos proporcionan la información necesaria para ver qué sucede en un momento determinado en la red de datos de la SEMAR, sin embargo la cantidad de información que generan es muy grande acarreando el problema de su administración a fin de detectar un posible evento de seguridad.

La propuesta realizada en esta investigación pretende resolver la problemática que representa la administración de toda la información generada por los mecanismos y herramientas de seguridad de la red de datos de la SEMAR, por medio de un esquema de correlación de eventos de seguridad para la red de datos de la Secretaria de Marina que sea capaz de agrupar eventos provenientes de varias fuentes con el objetivo final de obtener una defensa proactiva hacia los ataques, automatizando la labor de análisis de los administradores reduciendo el tiempo de análisis, el numero de falsos positivos y falsos negativos; fortaleciendo las propiedades de la seguridad de la información que se maneja en la red de datos de la SEMAR.

Introducción.

A.- Antecedentes.

En los tiempos modernos el mundo se encuentra en un constante proceso de cambio, transformación y evolución, llevándolo inevitablemente hacia su globalización, nuestro país no es indiferente a esto, sino que es parte del proceso y por ende sus instituciones lo son también.

En este contexto la SEMAR ha buscado en forma constante desarrollarse y estar a la vanguardia haciendo uso de las Tecnologías de Información (TI), a fin de tener la capacidad de alcanzar los objetivos asignados por el Estado Mexicano a nuestra Institución.

Sin embargo este fenómeno conocido como globalización en conjunto con el uso de nuevas TI atraen nuevos riesgos a la información durante su ciclo de vida, estos riesgos deben manejarse apropiadamente para garantizar la confidencialidad, integridad y disponibilidad de la información.

Firewalls, Proxys inversos, Sistemas de Detección de Intrusos (IDS), etc; son algunas de las herramientas que utilizan los administradores de sistemas y responsables de la seguridad para evitar que las vulnerabilidades sean aprovechadas por las amenazas y evitar los ataques o intentos de intrusión. Aunque estas herramientas no son la solución final si pueden ser consideradas, en buena medida una barrera para los intrusos.

No solo los agentes externos representan una amenaza a las organizaciones, diversas encuestas de seguridad, entre ellas la que efectúa cada año el FBI a través de Computer Crime and Security Survey, han revelado que el mayor porcentaje de amenazas que enfrentan las organizaciones son los agentes internos, ya sea de manera accidental (falta de capacitación) o intencional.

B.- Problemática.

La SEMAR, cuenta con una red de datos interna (Intranet), para la administración de la información manejada en sus procesos sustantivos para el cumplimiento de su Misión. La afectación de la confidencialidad, integridad y disponibilidad de esta información, tiene un impacto directo en los campos de poder económico,

...