¿Qué es AlientVault y que es OSSIM?

La plataforma propietaria del SIEM AlienVault dispone de dos desarrollos distintos orientados hacia segmentos productivos totalmente distintos, por una parte desarrolla el programa USIEM compuesto por un SIEM que implementa todo tipo de hardware y software unificado en un servidor y por otra parte distribuye a la Comunidad Online el software OSSIM de forma gratuita para conformar una red global de alerta de la que la empresa es totalmente propietaria y administradora. AlienVault explota las alertas, logs y detecciones de malware detectados por la plataforma OSSIM para desarrollar un mapa en tiempo real de la situación global de Internet y de los activos comprometidos, mediante los reportes remitidos por OSSIM a la empresa. En la confección de dicho mapa colaboran igualmente los USIEM instalados a nivel corporativo en linea.

El modelo de negocio de AlienVault se cimenta sobre una estructura empresarial mixta, al proporcionar el software gratuitamente permite que aquellas PYMES o consumidores finales con pocos recursos informáticos creen una red de alerta que AlienVault posteriormente explota para los clientes corporativos en linea. Diferente es cuando el sistema USIEM se instala en administraciones o entes gubernativos que disponen de recursos informáticos e informativos offline, en dichos casos la empresa ejecuta las reglas implementadas en el negocio online, para que la red auditada disponga de recursos de detección actualizados y aunque la misma disponga de procedimientos o procesos de introducción de información y medios que dificulten la explotación de vulnerabilidades.

Arquitectura básica del USIEM	Escenario típico de implementación del USIEM

Recolección de Logs	Port Mirroring

Escaneado de vulnerabilidades	Despliegue del USIEM

Existen dos tipos de despliegues para las plataformas USIEM de hardware y software, por un lado están las simples y por otro las complejas o combinadas.

Las simples se caracterizan por estar contratadas por un único cliente, que dispone de una sola localidad de su empresa, tiene escasos dispositivos y una arquitectura informática simple, el número de eventos a monitorizar y trazar son escasos y dispone de una red de baja capacidad y ancho de banda que monitorizar.

Puede darse el caso de que exista una arquitectura simple con varias localizaciones, para ello el sistema implementa sensores remotos de forma que se minimice el despliegue a implementar. Este despliegue se caracteriza por multiples localizaciones (sedes) y que cada sensor escanea un tramo de su red en exclusiva para no sobrecargarlo y redundar en la labor de detección al sobreexponerse los eventos en tramos distintos de la red, siendo la segmentación de la misma la mejor solución.

El otro despliegue disponible es el complejo o combinado, que permite una implementación y detección superior reforzando el despliegue de medios tanto de USIM como de Loggers y sensores autónomos. De dicha forma y redundando los medios se puede lograr un mejor despliegue que otorgue mayor confibiabilidad al sistema de detección de alerta temprana o de las ytrazas de eventos mediante el ticketing de los eventos detectados.

En cualquier caso esta esctructura se caracteriza por multiples clientes, multiples localizaciones, algunos clientes pueden disponer de sus propios Loggers de forma independiente para su análisis individiualizado, la correlación de eventos y el almacenamiento se produce en diferentes niveles.

El número de sensores, Loggers y USIEM pueden variar mucho dado que la existencia de diferentes sedes, arquitecturas, sistemas operativos, hardware de red y dispositivos asociados a la explotación pueden variar de una sede a otra y ello generará una mayor necesidad de almacenamiento de los logs para su correlación y análisis.

Este despligue sin duda requiere que exista un sensor por sede, asociado si fuese necesario a un USIEM que haga las veces de gestor del Dashboard o escritorio, para ayudar a los sistemas locales de soporte informático de la sede de forma independiente, perop conectados al sistema global de despliegue. En ocasiones el USIEM puede tener los roles de Dashboard y sensor o Dashboard y Logger, abaratando el despliegue.

La gestión de las licencias de hardware por despliegue también representan un verdadero quebradero de cabeza para los servicios de soporte, por lo que abaratar los mismos con sensores de OSSIM puede ser una buena solución para no tener que adquirir o arrendar los USIEM, Loggers o sensores de forma recurrente. Se debe tener en cuenta que el software de OSSIM puede realizar en un servidor propio dichas funciones de forma gratuita, aunque sin el soporte de AlienVault para dicho despliegue independiente.

Cada Logger puede remitir sus eventos a otro Logger de superior jerarquía en la estructura o a un SIEM directamente. Los Logger usan arquitecturas SAN o NAS para almacenar los eventos. Cuantos más Loggers existan en un despliegue mayor será la complejidad a nivel de arquitectura de la red y de almacenamiento dado que los Loggers periféricos almacenarán menos eventos, pero los centralizados requerirán de una gran cantidad de recursos de almacenamiento. Cada Logger almacena los eventos detectados por sus sensores o por otros loggers o SIEM.

Los SIEM remiten la información a otros SIEMs de superior jerarquía o a su Logger. Estos almacenan la información en bases de datos tipo SQL. Existirá un SIEM central que recibirá la información del resto para centralizar el análisis de los datos. Usualmente un despliegue no es efectivo desde el primer día, sino que para que se genere la necesaria información del despliegue se requieren al menos quince días, a excepción de que generemos tráfico propio de detección de los activos con los consecuentes falsos positivos de intrusión en el sistema, por lo que no es muy recomendable realizar dicho tipo de detecciones activas tipo nmap que generen tickets de eventos con falsos ataques, generados por nosotros mismos.