Plataforma de Herramientas para la Gestión de Incidentes de Ciberseguridad en la OSRI

Abstract

La Oficina de Seguridad para las Redes Informáticas por sus siglas OSRI, cuenta en su estructura con el Centro Nacional de Ciberseguridad CNC y el Equipo de Respuesta a Incidentes Computacionales de Cuba CuCERT, el CNC es el encargado de la detección de los incidentes para su posterior gestión y seguimiento por el CuCERT. Para agilizar los procesos del CNC se determina realizar un aplicativo, el cual sustituya al factor humano en las actividades de mayor flujo de información y complejidad. Dicho aplicativo en su funcionamiento interactúa con los datos tributados por los sistemas de detección de intrusiones realizando búsquedas de patrones que constituyen una alerta, dentro del universo de eventos en un periodo específico de tiempo. El aplicativo además cuenta con una visibilidad tanto a lo interno como a lo externo de la entidad dando un campo de acción total en los host y servicios que estén activos para el intercambio de información entre la infraestructura de monitoreo y las entidades. Por último se incluye un dashboard con estadísticas y un mapa interactivo con animaciones en tiempo real desarrollado específicamente para adaptarse a los sistemas ya existentes y con una alta flexibilidad en cuanto a la estructura de los datos que ingesta, los cuales son altamente utilizados por los Centros de Operaciones de Seguridad por sus siglas en inglés SOC, a nivel mundial.

The Security Office for Computer Networks by its acronym OSRI, has in its structure the National Cybersecurity Center CNC and the Cuban Computer Incident Response Team CuCERT, the CNC is in charge of detecting incidents for their subsequent management and monitoring by CuCERT. To streamline the CNC processes, it is determined to create an application that replaces the human factor in activities with the greatest flow of information and complexity. In its operation, said application interacts with the data provided by the intrusion detection systems, searching for patterns that constitute an alert, within the universe of events in a specific period of time. The application also has visibility both internally and externally of the entity, giving a total field of action on the hosts and services that are active for the exchange of information between the monitoring infrastructure and the entities. Finally, it includes a dashboard with statistics and an interactive map with real-time animations developed specifically to adapt to existing systems and with high flexibility in terms of the structure of the data it ingests, which are highly used by the Centers. of Security Operations by its acronym in English SOC, worldwide.