Enterasys, ha anunciado el lanzamiento de Dragon Security Command Console, una herramienta diseñada para ayudar a los administradores de red, administradores de seguridad y al responsable de seguridad de la organización en las tareas de operación, monitorización y medición.
Enterasys DSCC es una herramienta SIM (Security Information Managment) orientada a dotar a la organización de un repositorio común de información y eventos, dónde éstos sean guardados en formato nativo y normalizado. La normalización de la información permite la correlación de la misma, consiguiendo así pasar de múltiples eventos generados por los diferentes dispositivos de seguridad y red a ofensas reales sobre las que es necesario investigar y realizar actuaciones. DSCC ofrece una consola desde la que trazar rápidamente el origen del ataque, llegando incluso a dar información sobre el usuario que está detrás del ataque, y manteniendo intactas las evidencias por si es necesario su uso.
Ademas es capaz de monitorizar los flujos de tráfico que atraviesan la red, permitiendo crear líneas bases de comportamiento y poder ver hasta el último nivel qué tipo de aplicaciones están utilizando la infraestructura en cada momento. Esta información se combina con la correlación de eventos con el fin de tener una imagen más real de lo que pasa en la red, imagen basada tanto en la correlación de eventos como en la detección de anomalías en el tráfico.
Tambien ofrece asimismo un cuadro de mandos que permite conocer en todo momento que está pasando en la infraestructura. Desde este cuadro de mandos es fácil marcar las métricas que deben de ser monitorizadas y obtener reportes de forma periódica que justifiquen el cumplimiento de la normativa y la inversión de seguridad, contando ya con reportes definidos adecuados a las diferentes normativas vigentes.
Las infraestructuras de red y de seguridad desplegadas durante los últimos años han dado lugar a las bien llamadas redes multiservicio que a su vez se han convertido en redes multi-administradas. La realidad es que las operaciones de red, infraestructuras de seguridad y sistemas son llevadas a cabo por equipos en muchos casos independientes y con poca relación. Este escenario plantea varios problemas para la administración diaria de la infraestructura, para la resolución de incidencias de red y seguridad y, a nivel de dirección, para obtener información objetiva de que está pasando.
La problemática, pues, podría resumirse en los siguientes puntos:
Gestión independiente, cada grupo cuida con celo su infraestructura, repositorios de logs, eventos y sondas de flujo dispersas.
Elevada cantidad de información que no es procesada, sino que, en el mejor de los casos, es archivada.
Dificultad para valorar la eficiencia de los sistemas de seguridad implantados, pues las métricas definidas no aplican sobre un único punto de recogida de información. El cumplimiento de normativa y la justificación de inversión se ven resentidos.
Las diversas fuentes de información generan diferentes tipos de eventos que son difíciles de relacionar. Es complejo detectar aquellos eventos que realmente suponen una ofensa y requieren una intervención. Una vez detectados es complejo llegar a juntar todas las evidencias.
