Application of business intelligence for analyzing vulnerabilities to increase the security level in an academic CSIRT
Aplicación de Inteligencia de Negocios para el análisis de vulnerabilidades en pro de incrementar el nivel de seguridad en un CSIRT académico
Esta investigación tuvo como objetivo diseñar una solución para la toma de decisiones mediante Inteligencia de Negocios, que permite adquirir datos e información de una amplia variedad de fuentes y utilizarlos en la toma de decisiones en el análisis de vulnerabilidades de un equipo de respuesta ante incidentes informáticos (CSIRT). Este estudio se ha desarrollado en un CSIRT Académico que agrupa varias universidades miembros del Ecuador. Para llevarlo a cabo se aplicó la metodología de Investigación-Acción con un enfoque cualitativo, dividido en tres fases: Primera, se realizó una evaluación comparativa de dos herramientas de análisis de intrusos: Passive Vulnerability Scanner y Snort, que son utilizadas por el CSIRT, para verificar sus bondades y verificar si son excluyentes o complementarias; enseguida se han guardado los logs en tiempo real de los incidentes registrados por dichas herramientas en una base de datos relacional MySQL. Segunda, se aplicó la metodología de Ralph Kimball para el desarrollo de varias rutinas que permitan aplicar el proceso “Extraer, Transformar y Cargar” de los logs no normalizados, que luego serían procesados por una interfaz gráfica. Tercera, se construyó una aplicación de software mediante la metodología Ágil Scrum, que realice un análisis inteligente con los logs obtenidos mediante la herramienta Pentaho BI, con el propósito de generar alertas tempranas como un factor estratégico. Los resultados muestran la funcionalidad de esta solución que ha generado alertas tempranas y que, en consecuencia, ha incrementado el nivel de seguridad de las universidades miembros del CSIRT académico.
I. INTRODUCCIÓN
En la actualidad, las universidades y los centros educativos son objeto de ciberataques centrados en la alteración, extorsión y robo de información sensible [1]. Debido a estos peligros, surgen algunas preguntas: ¿Garantizan las universidades la confidencialidad, integridad y disponibilidad de la información frente a las ciberamenazas? ¿Mantiene su personal técnico procedimientos de seguridad adecuados para minimizar las vulnerabilidades? ¿Tiene la Universidad la capacidad de detectar y responder a cualquier ciberataque?
Para un adecuado control de los incidentes de seguridad, se han ido implantando estructuras organizativas conocidas como Computer Security Incident Response Team (CSIRT) o Computer Emergency Readiness Team (CERT) [2].
Recursos
-
Formatopdf
-
Idioma:inglés
-
Tamaño:1289 kb