Arquitectura para la detección violaciones a políticas de seguridad

Abstract

Las trazas poseen una gran relevancia en la gestión de la seguridad informática, debido a que la información que en ellas se registran contribuye en las actividades de auditoría y análisis forense, en el apoyo a investigaciones internas, establecimiento de líneas base y en la identificación de tendencias operacionales y problemas de comportamiento de los sistemas de información. Entre las trazas asociadas a la seguridad se encuentran las trazas generadas por el acceso a los servicios de red, específicamente a internet a través de un proxy. El proceso de detección de violaciones de seguridad a partir del análisis de trazas de la navegación de Internet de los usuarios, requiere de variantes que normalicen los formatos existentes. Se deben definir estrategias de análisis y búsquedas que permitan la generación de alarmas y reportes ante la detección de alguna violación de seguridad a las políticas establecidas en la organización. En el presente artículo se expone un análisis de los diferentes formatos para definir la estructura de las trazas. Se propone una arquitectura para la detección de violaciones de seguridad a partir del análisis de trazas de navegación de internet de los usuarios, así como los componentes necesarios como resultado del análisis desarrollado. Se determina un formato común para la estandarización de la estructura de las trazas, permitiendo una mayor capacidad de análisis. Se evalúan las herramientas necesarias para la implantación de la arquitectura propuesta.

Logs are highly relevant in the management of computer security, because the information recorded in them contributes to auditing and forensic analysis activities, supporting internal investigations, establishing baselines and identifying operational trends and behavior problems of information systems. Among the logs associated with security are the logs generated by access to network services, specifically the internet through a proxy. The process of detecting security violations from the analysis of logs of users' Internet browsing requires variants that standardize the existing formats. Analysis and search strategies must be defined that allow the generation of alarms and reports in the event of the detection of any security violation to the policies established in the organization. This article presents an analysis of the different formats to define the structure of the Logs. An architecture is proposed for the detection of security violations from the analysis of Internet browsing Logs of users, as well as the necessary components as a result of the analysis developed. A common format is determined for the standardization of the structure of the logs, allowing a greater capacity for analysis. The tools necessary for the implementation of the proposed architecture are evaluated.