SandaS: Respuesta inmediata a los ciberataques

lunes, 11 de julio de 2016

Hoy en día existen en el mercado proveedores que ofrecen diferentes soluciones de seguridad para organizaciones con presencia en Internet.

En los últimos tiempos, uno de los aspectos más importantes y que más preocupa a los CIO/CISO de las compañías es el tiempo transcurrido desde que un incidente de seguridad se produce en su organización y cuándo la organización es consciente del mismo.

Otro punto importante a destacar es el tiempo de reacción que cuentan las organizaciones para mitigar el ataque producido. En grandes corporaciones, un ataque que produzca un impacto importante y que no se resuelva a tiempo, puede suponer perdidas millonarias para el negocio y posiblemente la quiebra.

Con el fin de ofrecer una respuesta inmediata a los ciberataques actuales, SandaS permite orquestar todos los procesos que intervienen desde la detección del ataque hasta la mitigación del mismo, estando informada la organización en todo momento.

SandaS y su modularidad
SandaS aporta inteligencia sobre el ecosistema de correlación tradicional existente hoy en día, proporcionando información y visibilidad de los ataques producidos sobre los activos de las organizaciones en tiempo real. Se integra con los principales fabricantes de soluciones de seguridad, como son AlienVault, RSA Security Analytics, HP ArcSight y McAfee Nitro.

Posee una infraestructura distribuida y modular que se adapta a las necesidades específicas de las organizaciones

Por un lado es un correlador avanzado (CA) que permite complementar al correlador nativo de los SIEM de las organizaciones agregando una capa de inteligencia adicional y por otro lado realizando el envío de las alertas junto con sus eventos para su posterior categorización.

Posee un sistema colaborativo (SC) que permite compartir las alertas a un sistema central donde se anonimizan y sirven para que otros clientes puedan aprovechar el conocimiento de ataques comunes provenientes de Internet para así aplicar las contramedidas necesarias y reducir el tiempo de exposición a la posible amenaza.

Categoriza cada alerta y procesa en tiempo real acciones predefinidas, como pudiera ser la notificación a un grupo de operación o aplicar una mitigación en un dispositivo de seguridad.

Todos estos procesos son recogidos y visualizados en una consola única de gestión, permitiendo tener una visibilidad global de lo que está ocurriendo en tiempo real en las organizaciones.

SandaS y su modularidad
Los motores de correlación de las herramientas SIEM actuales tienen una serie de carencias:

- Dependencias de eventos - Revisión de correlaciones tras actualización sondas de IDS/IPS/Antivirus:
  • Correlaciones ya creadas
  • Creación de nuevas correlaciones
- Dependencia de tecnologías - Nuevos tipos de dispositivos requieren configurar nuevas correlaciones específicas ya que los eventos cambian:
  • Uso de taxonomía no muy extendida aún
  • Taxonomía no incluida en fuentes de logs propietarias
- Reducida flexibilidad - Utilización de distintos algoritmos para la detección:
  • Normalmente solo secuencia de eventos
- Fijación de umbrales - Correlaciones fijas y poco flexibles, que no tienen en cuenta información del entorno.

El módulo SandaS CA es el encargado de realizar la correlación avanzada y el envío de alertas de seguridad con sus eventos asociados.

Dicho módulo tiene una estrecha relación con el correlador desplegado en la infraestructura de cliente, ya que complementa al motor de correlación tradicional del dispositivo SIEM.

La Correlación Avanzada consta de 4 tipos diferentes de correlación:
  • Redes neuronales
  • Árboles de decisión
  • Eventos periódicos
  • Anomalías estadísticas
SandaS CA realiza un análisis detallado de los eventos registrados en la base de datos del correlador. Una vez aplicada la inteligencia basada en los correladores mencionados anteriormente, inyecta nuevos eventos en la base de datos del correlador.

Además, de forma periódica envía al módulo SandaS RA las alertas generadas en el correlador y los eventos asociados a las mismas.


SandaS RA
Realiza la categorización de las alertas recibidas y aplica acciones según las necesidades de cada cliente. Está integrado con soluciones comerciales de monitorización de salud de activos como OPSView, permitiendo la centralización de eventos de salud y eventos de seguridad en un solo sistema.

Por otra parte, permite la integración con sistemas de ticketing como Remedy, realizando la apertura, consulta y cierre automático de tickets en el sistema sin ningún tipo de interacción humana.

SANDAS DASHBOARD
Portal donde se muestra de manera gráfica y en detalle todos aquellos incidentes de seguridad y salud (en caso de estar integrado con un sistema de monitorización de salud) generados por los activos de cliente, pudiendo realizar diferentes filtros por localización, prioridad, servicio, etc.



Caso de uso
Cada día se producen múltiples ciberataques a las organizaciones con presencia en Internet, muchos de éstos pasan totalmente inadvertidos y el impacto en un activo en ocasiones llega a ser muy importante.

Por ejemplo, un acceso ssh remoto desde Internet configurado por la organización para que una empresa externa contratada pueda desarrollar una determinada aplicación interna, podría provocar un incidente de seguridad grave si se produjera un ataque y éste no fuera detectado a tiempo por la organización.

Gracias a la capacidad de integración con los fabricantes de seguridad más importantes del mercado, SandaS orquesta de forma eficaz y eficiente, por un lado la notificación del ataque producido y por otro lado la remediación automática contra dicho ataque, de tal forma que la organización esté totalmente informada del suceso y al mismo tiempo protegida, ejecutándose unas contramedidas específicas automáticamente y reduciendo el tiempo de respuesta producido desde que se detecta el ataque hasta que se aplica la contramedida efectiva para paliarlo.



En el caso de uso que nos ocupa, intervienen 2 fabricantes de seguridad integrados actualmente con SandaS: Security Analytics de RSA como correlador de eventos de seguridad y Palo Alto como dispositivo de seguridad perimetral.

Security Analytics
La correlación es una pieza clave de la seguridad de toda organización, ya que es capaz de generar alertas a partir de eventos generados de diferentes dispositivos.

Security Analytics permite la creación de reglas específicas para identificar posibles ataques. En nuestro caso hemos creado una regla que identifique como ataque más de tres intentos fallidos de inicio de sesión ssh dentro de un período de cinco minutos.




Si en el proceso de correlación de los eventos recibidos coincide con la regla creada anteriormente, una alerta es generada y enviada a través del módulo SandaS CA a SandaS RA para su categorización, notificación y remediación.



Notificación
Una vez categorizado el incidente, SandaS RA lanza el proceso de notificación y mitigación en paralelo. Existen diferentes modos de notificación. En este caso se realiza mediante correo electrónico al buzón de operación de la organización.



Palo Alto
Una vez categorizada la alerta por SandaS RA, se procesa una acción de mitigación del ataque en el firewall de nueva generación de Palo Alto.

Éste contiene una política que permite realizar sesiones SSH contra el servidor SSH, pero que deniega/corta una sesión SSH para cualquier ip contenida en un grupo dinámico con etiquetas definidas dentro de él.




Al generarse la alerta desde Security Analytics y enviada a SandaS RA, éste obtiene la ip de origen del atacante desde la alerta recibida, lo etiqueta y lo inyecta automáticamente a Palo Alto junto con la acción de ser incluida dentro del grupo dinámico existente en la política.

Finalmente el incidente es mostrado en SandaS Dashboard. En él se puede ver la severidad del incidente, la fecha y hora de cuando se ha producido, una breve descripción, el servicio al que afecta, la ip de origen del ataque, la localización, etc. Si estuviera integrada con la herramienta de ticketing indicaría además el número de ticket generado y asociado al incidente y el estado del mismo (en proceso, resuelto, etc).


Más información en:
elevenpaths.com

No hay comentarios:

Publicar un comentario en la entrada