La intención inicial en el desarrollo de este proyecto es mejorar esta situación a través de una función que podrÃamos resumir con el nombre de:
CORRELACIÓN
O la posibilidad de obtener una visibilidad de todos los eventos de los sistemas en un punto y con un mismo formato, y a través de esta situación privilegiada relacionar y procesar la información permitiendo aumentar la capacidad de detección, priorizar los eventos según el contexto en que se producen, y monitorizar el estado de seguridad de nuestra red. La idea de correlación está también implÃcita en la visión de nuestro proyecto en el sentido de agregación e integración de productos: queremos incluir un número de magnÃficos productos desarrollados en estos años en un Framework general, que permitirá nuevas posibilidades al interrelacionar todas sus funcionalidades. En el camino nos hemos encontrado con nuevas necesidades que nos han permitido aumentar la precisión de nuestro sistema, desarrollando la capacidad que ya forma parte del núcleo de OSSIM:
VALORACIÓN DE RIESGOS
Como forma de decidir en cada caso la necesidad de ejecutar una acción a través de la valoración de la amenaza que representa un evento frente a un activo, teniendo en cuenta la fiabilidad y probabilidad de ocurrencia de este evento. Desde este momento nuestro sistema se vuelve más complejo pues ha de ser capaz de implementar una PolÃtica de Seguridad, el Inventario de la Red, nos ofrecerá un Monitor de Riesgos en tiempo Real, todo ello configurado y gestionado desde un Framework… No debemos en cualquier caso dejar que esta complejidad nos aparte de nuestro objetivo que es la integración de productos. El resultado es por lo tanto realmente ambicioso y hereda todas las funcionalidades y el gran esfuerzo de desarrollo de una comunidad de expertos siendo nuestro papel el de meros integradores y organizadores. Este proyecto quiere ser asà mismo una muestra de la capacidad del mundo de código abierto de crecer en sà mismo y aportar soluciones punteras en sectores concretos como el de la seguridad de redes, donde las soluciones del mundo libre aportan otro importante valor: la auditabilidad o capacidad de auditorÃa de los sistemas que instalamos en nuestra red.
Â
Nuestro sistema constará de las siguientes Herramientas de Monitorización:   a. Cuadro de Mandos para visibilidad a alto nivel
b. Monitores de Riesgo y Comportamiento para la monitorización a nivel medio
c. Consola Forense y Monitores de Red para el bajo nivelEstas herramientas se alimentarán de las nuevas capacidades desarrolladas en el “postproceso†de los SIM y cuyo objeto es aumentar la fiabilidad y sensibilidad de la detección:a. Correlación
b. Priorización
c. Valoración de RiesgosEl postproceso a su vez es alimentado por los preprocesadores, estos son un número de detectores y monitores ya conocidos por la mayorÃa de administradores que integraremos en nuestra distribución:
d. IDS (detectores de patrones)
e. Detectores de anomalÃas
f. Firewalls
g. Monitores variosPor último deberemos tener una herramienta de administración que configure y organice los diferentes módulos tanto externos como propios que integrará OSSIM, esta herramienta será el Framework y mediante ella podremos definir la TopologÃa, inventariar activos, definir una PolÃtica de seguridad, definir las reglas de Correlación y enlazar las diferentes herramientas integradas. Infraestructura Open-Source de Monitorización de SeguridadSolución vs ProductoOSSIM no quiere ser un producto, sino una solución, un sistema personalizado para las necesidades de cada organización formado por la conexión e integración de varios módulos especialistas.OSSIM no quiere ser un producto, sino una solución, un sistema personalizado para las necesidades de cada organización formado por la conexión e integración de varios módulos especialistas.En nuestra solución tan importante como el código son los conceptos o definiciones de:
OSSIM no quiere ser un producto, sino una solución, un sistema personalizado para las necesidades de cada organización formado por la conexión e integración de varios módulos especialistas.a. La Arquitectura
b. Los Modelos y Algoritmos de Correlación
c. La definición del Entorno y el Framework
d. La definición del Modelo de Gestión de la Seguridad Perimetral
e. El Mapa y los Procedimientos de AuditorÃa de la Capacidad de Detección
Nuestro interés en este proyecto gnu es tanto ofrecer para su mejora el código como generar la discusión y el conocimiento de estos modelos y algoritmos.
Arquitectura Abierta
OSSIM es una arquitectura de monitorización abierta pues integra diversos productos del mundo libre, intentando seguir siempre los estándares y las tendencias del mundo open source (los cuales creemos que en soluciones de monitorización serán los estándares en todos los entornos).
Solución IntegralEs una solución integral pues es capaz de ofrecer las herramientas y funcionalidad para monitorización de todos los niveles desde el más bajo (firmas detalladas de un IDS, dirigido al técnico de seguridad), hasta el más alto (El Cuadro de Mandos dirigido a la Dirección Estratégica), pasando por: Consolas Forenses, niveles de Correlación, Inventariado de Activos y Amenazas, y Monitores de Riesgos.Es una solución integral pues es capaz de ofrecer las herramientas y funcionalidad para monitorización de todos los niveles desde el más bajo (firmas detalladas de un IDS, dirigido al técnico de seguridad), hasta el más alto (El Cuadro de Mandos dirigido a la Dirección Estratégica), pasando por: Consolas Forenses, niveles de Correlación, Inventariado de Activos y Amenazas, y Monitores de Riesgos.Software de Código Libre
Es una solución integral pues es capaz de ofrecer las herramientas y funcionalidad para monitorización de todos los niveles desde el más bajo (firmas detalladas de un IDS, dirigido al técnico de seguridad), hasta el más alto (El Cuadro de Mandos dirigido a la Dirección Estratégica), pasando por: Consolas Forenses, niveles de Correlación, Inventariado de Activos y Amenazas, y Monitores de Riesgos.OSSIM se propone como un proyecto de integración, nuestra intención no es desarrollar nuevas capacidades sino aprovecharnos de la riqueza de “joyas” del software libre, programas desarrollados por la inspiración de los mejores especialistas del mundo (como pueden ser snort, rrd, nmap, nessus, o ntop…) integrándolas en una arquitectura abierta que heredará todo su valor y capacidades. Nuestro desarrollo será el encargado de integrar e interrelacionar la información de estos productos.
Estas herramientas de código libre son, por la naturaleza de este, probadas y mejoradas por decenas o centenas de miles de instalaciones en el mundo convirtiéndose en elementos robustos y altamente probados y por tanto fiables. Por el hecho de ser código abierto son asà mismo confiables y exentas de cualquier duda de posibles puertas traseras al ser auditables por cualquiera que lo desee.
*Se puede obtener más información en: http://www.ossim.net
Â
GRATIS – Plan de cyberseguridad para su empresa: 
Obtenga nuestro portfolio de servicios: 
Realiza su consulta cómo proteger su Negocio: 
Informe a sus colegas del area de tecnología
Comparte esta información con colegas y superiores
Guarda este post para consultas
Descargue las Tendencias de cyberseguridad: 
Suscribirse a nuestro canal de YouTube: 
Descargue nuestras infografías: 
Conozca la opinión de nuestros clientes: 
Acceda a Cursos Online de entrenamiento en seguridad informática: