1 65 67 180

Seguritecnia 343

66 SEGURITECNIA Julio -Agosto 2008 II Jornadas de Seguridad en Entidades Financieras Capacidad operativa actual La capacidad operativa actual del entorno SIEM de GE Money Bank se corresponde con los objetivos y el al- cance determinados en las fases iniciales del proyecto, donde es posible destacar los siguientes puntos:  Se han implementado una serie de alertas específicas para la organización, además de otras alertas prede- terminadas, entre las cuales destacan:  Control de autenticación/autorización y cambios de configuración de aplicaciones internas.  Control de acceso a sistemas fuera del horario habi- tual de trabajo.  Correlación entre eventos de seguridad física y ló- gica, proporcionando información de usuarios que utilizan los sistemas de forma local sin estar presen- tes, físicamente en las instalaciones.  Se ha generado, de forma adicional a los informes pre- determinados, un conjunto de informes relativos al negocio, entre los que es posible seleccionar:  Monitorización del acceso físico a determinados lu- gares con especial criticidad como archivos o Cen- tros de Proceso de Datos (CPDs).  Monitorización de las tarjetas temporales activas para acceso físico a las delegaciones.  Control y monitorización de acciones o transaccio- nes críticas para el negocio.  Monitorización de nuevos accesos a partes críticas de la lógica de negocio de las aplicaciones corpora- tivas. Capacidad operativa futura En futuras fases es posible realizar la integración de nue- vos entornos que han sido implantados recientemente,  Secure Data Warehouse (SDW): guardan los datos en crudo, información procesada proveniente de los DAs, alertas generadas por TDs y TEs, además de toda la configuración de ISM.  Threat Evaluator (TE) y Threat Detector (TD): reciben la información recogida para realizar tareas de corre- lación de alertas según las reglas definidas. La infor- mación recogida es reenviada al SOC.  Security Operations Center (SOC): recoge la informa- ción proveniente de los servicios TD y TE para aplicar las reglas de enrutado de alertas, además de propor- cionar dicha información a las consolas de adminis- tración u operaciones.  Consolas de operación o administración: Proporcio- nan el interfaz de usuario a ISM. Durante esta integración de la plataforma SIEM en el entorno de producción se ha conseguido minimizar el impacto sobre la arquitectura tecnológica de GE Money Bank España. En un entorno como el que nos ocupa, con diferentes delegaciones distantes geográficamente, es ne- cesario conservar el ancho de banda empleado, especial- mente en horario de producción. Debido a esta distribu- ción geográfica y a la propia infraestructura de red, ha sido necesario permitir el paso del tráfico generado a tra- vés de los firewalls Los diferentes métodos de obtención de logs intentan evitar una carga elevada en los sistemas, por ejemplo minimizando los accesos a bases de datos. La integración de agentes de recogida de información, nece- saria para algunos servicios o aplicaciones, supone tam- bién un inapreciable impacto debido a su sencillez y su alta compatibilidad. Una medida muy habitual para ga- rantizar un bajo impacto en este proyecto ha sido la reco- gida de información en horario nocturno, especialmente cuando los servicios o aplicaciones han sido identificados como críticos. Figura 1 - Arquitectura genérica ISM Figura 2 - Alertas en ISM

RkJQdWJsaXNoZXIy MTI4MzQz