2. Downloads SourceForge + Imagen + CVS 70.000 año OSSIM en la red OSSIM es una herramienta de monitorización de seguridad para administradores de sistema. Agrupa 22 programas libres, como cortafuegos, detectores de intrusos o antivirus, algunos tan conocidos como Nessus, Nmap o Snort, todos en un mismo paquete, que puede bajarse gratuitamente de Internet. Pero la función de OSSIM no es sólo poner a trabajar juntos estos programas: recoge y ordena la información que generan y la cruza, para hacer valoraciones sobre el estado de la red o buscar patrones que sirvan para detectar si está siendo atacada…. … La gracia de OSSIM es que, al integrar programas libres, no tiene que encargarse del desarrollo de éstos, que ya tienen su propia comunidad que los perfecciona. Así, todos los esfuerzos van a mejorar el motor que los pone a trabajar juntos. "Es el "efecto red" en su estado más puro: todo se reutiliza y no se hacen las cosas veinte veces. En nuestro caso, heredamos el esfuerzo de 22 productos y simplemente los ponemos a hablar entre ellos", explica Julio Casal, director del Área de Seguridad de IT Deusto y uno de los protagonistas de este éxito. … La utilizan empresas desde Sudáfrica a Singapur, incluidas corporaciones y bancos españoles. La aventura de estos hackers, cuya empresa compraba IT Deusto a principios de 2004, es un buen ejemplo de cómo hacer negocio con un producto que se regala.
3. Seguridad Open Source 100% Auditable Cualquiera puede auditar el código fuente OSSIM en cualquier momento. Gobierno y organizaciones estratégicas no deberían confiar en software ajeno. 100% Adaptable Tener acceso al código fuente nos ofrece adaptabilidad del sistema. 100% Seguridad Open Source
12. Interoperabilidad OSSIM puede recoger datos y enviarlos a través de múltiples protocolos.. Plg Plg Plg Sensor Agent Management Server Plg Syslog Syslog OPSEC SNMP SNMP SNMP Syslog Syslog SNMP + SQL Syslog SNMP Syslog SMTP SQL Syslog A través de un agente genérico es inmediato crear un plugin nuevo. Ejemplo de plugin de pads: [DEFAULT] plugin_id=1516 [config] type=detector enable=yes source=log location=/var/log/ossim/pads.csv # create log file if it does not exists, # otherwise stop processing this plugin create_file=true process=pads start=yes ; launch plugin process when agent starts stop=no ; shutdown plugin process when agent stops startup=%(process)s -D -w %(location)s shutdown=killall %(process)s [pads-service] event_type=host-service-event regexp="^(PV4),([^,]*),([^,]*),([^,]*),([^,]*),(+)$" host={$1} port={$2} protocol={$3} service={$4} application={$5} plugin_sid=1 Real Secure
29. SIM Functionality Comparison OSSIM ARCSIGHT RSA Net IQ IBM - ISS Symantec LogLogic General License Cost No Cost Very High High High Very High High Normal Functionality Sim/SIEM Yes Yes Yes Yes No Web Interface No (Win32) Yes Yes Log storing Yes Yes Yes Yes Yes Yes Log Correlation Yes Yes Yes Yes Yes Yes Indicent Mng Yes Yes Yes Yes Yes No DataMart Reporting Yes Only Reporting Only Reporting Yes Yes Yes Compliance Yes Yes Yes Yes Yes Yes Yes Tools Network IDS Snort No No No Yes Symantec IDS No Vulnerability Nessus No No No Yes Symantec Vulnerability Assessment No Network Mon Ntop No No No No No . Anomaly Detec Spade No No No Yes No Host IDS Snare & Osiris No No No Yes Symantec IDS No Inventory OCS No No No No No Antivirus ClamAv No No No Norton No . Hardware Appliances Yes No No Yes Yes No
30. Referencias de OSSIM Nota: La lista de empresas incluye organizaciones que usan OSSIM, esto no implica que la implantación hayan sido realizada por la empresa OSSIM o una de sus partners.
31. Nota: La lista de empresas incluye organizaciones que usan OSSIM, esto no implica que la implantación hayan sido realizada por la empresa OSSIM o una de sus partners.
32. Nota: La lista de empresas incluye organizaciones que usan OSSIM, esto no implica que la implantación hayan sido realizada por la empresa OSSIM o una de sus partners.
33. Nota: La lista de empresas incluye organizaciones que usan OSSIM, esto no implica que la implantación hayan sido realizada por la empresa OSSIM o una de sus partners.
34. Nota: La lista de empresas incluye organizaciones que usan OSSIM, esto no implica que la implantación hayan sido realizada por la empresa OSSIM o una de sus partners.
Hinweis der Redaktion
Los problemas principales a los que se enfrenta cualquier compañía que tenga un volumen mínimo de infraestructura informática son dos; el primero es que hay múltiples elementos de securización y normalmente no están relacionados entre ellos (firewall, IDS, antivirus, detector de anomalías, etc); y el segundo es que esos elementos de securización generan un volumen desmesurado de información de seguridad ó logs que nadie se lee. OSSIM da solución a esos dos problemas, por un lado es capaz de comunicarse con todos los elementos de securización para recoger y almancenar en un único punto los logs de vayan generando y por otro lado es capaz de correlar dichos log para determinar problemas de seguridad, todo ellos desde un único punto ó consola de seguridad (SIM). Así mismo incorpora muchos de los elementos de securización necesarios en una empresa (NESSUS, SNORT, etc)
Building a SOC is where we can give more value to our customers as we can provide a complete integral solution from the deepest technology levels (detectors) to the higher levels (Metrics and Dashboards) including all the Organization as defining for each process, the roles and the procedures (what does the analyst have to do, the engineer, how and when a forensic analysis should be done) We have built several big SOC’s these five last years