La Universidad Autónoma de Madrid gestiona su seguridad de red con Enterasys - Seguridad Mania.com - España y América Latina

La Universidad Autónoma de Madrid (UAM) ha anunciado la realización de un proyecto consistente en el despliegue de la solución Enterasys Security Information & Event Manager (SIEM), una herramienta que permite gestionar de forma unificada y eficiente toda la información que generan los diferentes sistemas de seguridad presentes en la red.

La red de la Universidad Autónoma de Madrid soporta en torno a 40.000 usuarios. El 90% de los edificios de la universidad están ubicados en el Campus de Cantoblanco, que acoge en torno a 25 edificios, incluyendo facultades, escuelas, centros de investigación, etc. En total, hay conectados a la red en torno a 15.000 nodos y dispositivos. Toda esta infraestructura de red y seguridad es gestionada por un equipo de 7 personas pertenecientes a la UAM y por 5 profesionales externos más.

La red de la Universidad Autónoma de Madrid cuenta con una importante infraestructura dedicada a la seguridad de la red como son firewalls, IDSs, antivirus, aplicaciones de seguridad propias, etc. Todos estos sistemas generan una cantidad ingente de información y logs sobre eventos de seguridad que es necesario gestionar

A la UAM se le plantea la necesidad de gestionar de manera útil y eficiente esta ingente cantidad de información, y además tener visibilidad en tiempo real de los eventos de seguridad que suceden en la red. Además necesitaba una herramienta que asegurara la aplicación del cumplimiento de políticas de almacenamiento de registros.

Desde un punto de vista tecnológico, se persiguen dos objetivos. Por un lado se trata de almacenar los eventos de los distintos dispositivos de seguridad en un sistema que permitiera consultar toda esa información de una manera normalizada. Por otro lado, encontrar una manera de analizar todos los eventos almacenados, y en tiempo real, correlacionar toda esa información para generar alertas solo con la información relevante.

Una de las funcionalidades más valoradas por la UAM de la solución SIEM desplegada son las capacidades avanzadas de gestión y análisis de flujos de red, que permiten obtener un valor añadido al resto de la información de seguridad de alto nivel. Asimismo, valoran el hecho de que se trate de una solución que aplica "inteligencia" en la correlación de eventos. Una vez realizada la configuración inicial y el afinado de reglas, ya no es necesario estar continuamente generando reglas de correlación generales y permite a los administradores centrarse en reglas para entornos específicos.

Otra de las funcionalidades destacadas es su capacidad de interoperar con sistemas heterogéneos. Precisamente, uno de objetivos del proyecto es el de almacenar normalizados los eventos procedentes de equipamiento de seguridad y red variados. SIEM soporta prácticamente todos los dispositivos de seguridad que están desplegados en la red.

A este respecto, Victor Barahona comenta: “SIEM  es un producto muy completo, no solo gestiona eventos de dispositivos de seguridad sino también flujos de red. Su motor de correlación es potente y permite un despliegue rápido comparado con otras plataformas”.

La seguridad es un asunto de importancia crítica para la UAM. Al tratarse de una institución académica, no sólo debe asegurar los activos propios de la organización, sino también información académica y  la privacidad de nuestros propios usuarios.

Un buen ejemplo de cómo el despliegue de Enterasys SIEM ha mejorado la posición de seguridad de la Universidad es el control y detección de intrusiones. El sistema IDS de la red detecta cuando una máquina ha caído bajo el control de una “red zombi” y está siendo utilizada para enviar “spam”. Pero esa información sólo se consultaba a posteriori, para confirmar el evento, cuando ya millones de correos habían sido distribuidos. Ahora, cuando se da esta situación, se genera una alerta y se actúa de forma mucho más temprana. En un futuro cercano, la actuación será automática y se reducirá más aun el tiempo que media entre el incidente y la remediación.

La implantación de Enterasys SIEM ha contribuido sobre todo a mejorar la productividad y los procesos de gestión de la seguridad. La UAM estima que se ha reducido el volumen de información que el departamento de TI tiene que analizar en una tasa de 1 a 100.000.