La Universidad Autónoma de Madrid (UAM) ha anunciado la realización de un proyecto consistente en el despliegue de la solución Enterasys Security Information & Event Manager (SIEM), una herramienta que permite gestionar de forma unificada y eficiente toda la información que generan los diferentes sistemas de seguridad presentes en la red.
La red de la Universidad Autónoma de Madrid soporta en torno a 40.000 usuarios. El 90% de los edificios de la universidad están ubicados en el Campus de Cantoblanco, que acoge en torno a 25 edificios, incluyendo facultades, escuelas, centros de investigación, etc. En total, hay conectados a la red en torno a 15.000 nodos y dispositivos. Toda esta infraestructura de red y seguridad es gestionada por un equipo de 7 personas pertenecientes a la UAM y por 5 profesionales externos más.
La red de la Universidad Autónoma de Madrid cuenta con una importante infraestructura dedicada a la seguridad de la red como son firewalls, IDSs, antivirus, aplicaciones de seguridad propias, etc. Todos estos sistemas generan una cantidad ingente de información y logs sobre eventos de seguridad que es necesario gestionar
A la UAM se le plantea la necesidad de gestionar de manera útil y eficiente esta ingente cantidad de información, y además tener visibilidad en tiempo real de los eventos de seguridad que suceden en la red. Además necesitaba una herramienta que asegurara la aplicación del cumplimiento de políticas de almacenamiento de registros.
Desde un punto de vista tecnológico, se persiguen dos objetivos. Por un lado se trata de almacenar los eventos de los distintos dispositivos de seguridad en un sistema que permitiera consultar toda esa información de una manera normalizada. Por otro lado, encontrar una manera de analizar todos los eventos almacenados, y en tiempo real, correlacionar toda esa información para generar alertas solo con la información relevante.
Como comenta Victor Barahona, responsable de seguridad TIC de la UAM, “El gran desafío de la gestión de la seguridad hoy en día es la de gestionar las gigas de información que se genera y hacerlo en tiempo real. Es absurdo y muy costoso, dedicar personal al análisis de toda esta información en bruto y llega un momento en que nadie es capaz de gestionar esta información de una manera útil y eficiente. Es para ayudarnos a gestionar toda esta información por lo que hemos decidido implementar Security Information & Event Manager (SIEM) de Enterasys”
Una de las funcionalidades más valoradas por la UAM de la solución SIEM desplegada son las capacidades avanzadas de gestión y análisis de flujos de red, que permiten obtener un valor añadido al resto de la información de seguridad de alto nivel. Asimismo, valoran el hecho de que se trate de una solución que aplica “inteligencia” en la correlación de eventos. Una vez realizada la configuración inicial y el afinado de reglas, ya no es necesario estar continuamente generando reglas de correlación generales y permite a los administradores centrarse en reglas para entornos específicos.
Otra de las funcionalidades destacadas es su capacidad de interoperar con sistemas heterogéneos. Precisamente, uno de objetivos del proyecto es el de almacenar normalizados los eventos procedentes de equipamiento de seguridad y red variados. SIEM soporta prácticamente todos los dispositivos de seguridad que están desplegados en la red.
A este respecto, Victor Barahona comenta: “SIEM es un producto muy completo, no solo gestiona eventos de dispositivos de seguridad sino también flujos de red. Su motor de correlación es potente y permite un despliegue rápido comparado con otras plataformas”.