Categoría:
Management Systems, Intrusion Detection System (IDS)
Modificación:
Software
Modificación:
Linux

ViPNet TIAS (Threat Intelligence Analytics System) es un componente del sistema de Threat Detection and Response (TD&R) para la detección automática de los Incidentes de seguridad basado en el análisis de los eventos de seguridad que reportan los sensores a nivel de abonado y de red (ViPNet IDS HS e IDS NS).

De las decenas de miles de eventos de seguridad que registran los IDS (sensores de detección de intrusiones), en un día, solamente unos cuantos pueden ser en realidad Incidentes de Seguridad.

El volumen de información que se genera no es posible procesarlo por un especialista. El módulo TIAS del TD&R de forma automática analiza todos los eventos recibidos desde los sensores, determina la correlación entre ellos e identifica la relevancia actual de los sucesos y determina si son incidentes de seguridad contra los que hay que tomar medidas inmediatas para su mitigación. 

TIAS automáticamente detecta los Incidentes de Seguridad usando para ello la combinación de dos métodos:

  • Análisis basado en meta - reglas de detección de incidente (firmas).
  • Un modelo matemático de toma de decisiones basado en el análisis estadístico de las incidencias y el uso de aprendizaje por máquina.

Los expertos de Infotecs desarrollan y actualizan las bases de las signaturas (meta-reglas) casi a diario y el modelo matemático de toma de decisiones acorde a los datos de los incidentes recibidos con las herramientas de ataque y análisis -  Threat Intelligence.

ViPNet TIAS flujo de trabajo

  1. ViPNet IDS NS/HS (sensores de la red y del abonado) recolectan los datos desde los diferentes equipos en la red y sobre la base del análisis de esos datos generan la información sobre la existencia de eventos de seguridad.
  2. ViPNet TIAS recolecta de forma automática los datos de los eventos desde los sensores de la red ViPNet IDS NS y de los abonados ViPNet IDS HS.
  3. ViPNet TIAS analiza los eventos usando el modelo matemático y las bases de signaturas.
  4. Como resultado del análisis, el sistema detecta los eventos no deseados o no esperados, que tienen alta probabilidad de ocasionar fallos en la red, provocar problemas o son amenazas de seguridad, los que son identificados como Incidentes de Seguridad.
  5. Al detectar un Incidente, ViPNet TIAS lo registra, identifica los eventos a él relacionados, los suplementa con información adicional de diferentes recursos y elabora recomendaciones para su mitigación. 
  6. ViPNet TIAS notifica a las partes que concierne sobre el incidente via Acceso WEB o por E-mail.
  7. El especialista de seguridad que recibe la notificación sobre el Incidente lo investiga y toma la decisión correspondiente para eliminar sus causas o las consecuencias en la red. 

Ventajas

  • Reducción del promedio de tiempo detección de incidentes de 30 a dos minutos (15 veces) en comparación con la detección manual.
  • Reducción de los costos de operación del IDS mediante la reducción del personal de mantenimiento y de los requerimientos a su calificación.
  • Simplifica la respuesta a las amenzas de la seguridad de la información mediante la generación automática de recomendaciones y recolección automática de los eventos e incidentes.
  • La viabilidad de investigación remota de los incidentes de la seguridad por especialistas calificados de Infotecs.
  • Soporte metodológico y servicio de consultas por los expertos de Infotecs.

ViPNet TIAS lo ayuda a monitorear la información sobre los eventos de seguridad y reaccionar de forma inmediata a estsos en los siguientes casos:

  • Una falla del personal calificado
  • Una falla en el tiempo de procesar cualquier mensaje relativo a eventos de seguridad informativa.
  • No existencia de herramientas par automatizar el análisis de los eventos y amenazas causas de ka investigación.

 Con ViPNet TIAS, usted puede hacer también lo siguiente:

  • Crea reportes sobre los eventos e incidentes de seguridad.
  • Descargar datos sobre los incidentes utilizando sistemas externos.
  • Conectar fuentes externas para complementar la información sobre los eventos durante la investigación.

Productividad

ViPNet TIAS realiza las siguietnes operaciones:

  • Recolecta de forma automática datos de los eventos de los sistemas de detección de intrusos (ViPNet IDS).
  • Analiza los eventos entrantes y de forma automática identifica la información de los incidentes de seguridad.
  • Notifica a las partes concernients sobre los incidentes de seguridad a través de acceso WEB y Correo Electrónico.
  • Complementa la información de los incidente y eventos de seguridad con datos de otros recursos adicionales.
  • Provee una interfaz gráfica para el monitoreo en tiempo real dela información de los incidentes de seguridad.
  • Provee una interfaz gráfica para la investigación y análisis de los incidentes.
  • Provee de heramientas para el análisis de eventos y detección de incidentes de forma manual.
  • Permite la creaciónde reportes sobre los eventos e incidentes detectados.

Modelos

Especificaciones

ViPNet TIAS 100
  • VMware vSphere 5.0 o posterior.
  • Oracle VM VirtualBox 4.3 y posterior.
  • Microsoft Hyper-V 2008 R2 y posterior.
Capacidad máxima Valor
Eventos analizados (por segundo) 300
Eventos analizados (por día) 10 millón
Cantidad de ViPNet IDS NS que pueden ser conectados al TIAS 1
   Cantidad de ViPNet IDS HS que pueden ser conectados al TIAS 100
   Cantidad de ViPNet IDS HS Server que pueden ser conectados al TIAS 1
ViPNet TIAS 1000
  • VMware vSphere 5.0 y posterior.
  • Oracle VM VirtualBox 4.3 y posterior.
  • Microsoft Hyper-V 2008 R2 y posterior.
Capacidad máxima  Valor
   Eventos analizados (por segundo) 1 000
   Eventos analizados (por día) 30 millones
     Cantidad de ViPNet IDS NS que pueden ser conectados al TIAS 10
   Cantidad de ViPNet IDS HS que pueden ser conectados al TIAS 1 000
   Cantidad de ViPNet IDS HS Server que pueden ser conectados al TIAS 1
ViPNet TIAS 2000
Maximum Capacities Value
    Eventos analizados (por segundo) 2 000
   Eventos analizados (por día) 62 million
   Cantidad de ViPNet IDS NS que pueden ser conectados al TIAS 20
   Cantidad de ViPNet IDS HS que pueden ser conectados al TIAS 2 000
   Cantidad de ViPNet IDS HS Server que pueden ser conectados al TIAS 2
ViPNet TIAS 5000
  • VMware vSphere 5.0 y posterior.
  • Oracle VM VirtualBox 4.3 y posterior.
  • Microsoft Hyper-V 2008 R2 y posterior.
Capacidad Máxima Valor
   Eventos analizados (por segundo)  5 000
   Eventos analizados (por día) 104 millones
   Cantidad de ViPNet IDS NS que pueden ser conectados al TIAS 50
   Cantidad de ViPNet IDS HS que pueden ser conectados al TIAS  5 000
   Cantidad de ViPNet IDS HS Server que pueden ser conectados al TIAS 5

Nombre del producto

Cantida de eventos analizados (en 1 segundo)

Productividad de análisis de los eventos en GB/s

(por día)

ViPNet IDS NS cantidad máxima

ViPNet IDS

HS Server cantidad máxima

ViPNet IDS HS cantidad máxima

Cisco ASA maximum quantity

Firepower maximum quantity

ViPNet TIAS VA100

300

5

3

1

100

-

-

ViPNet TIAS VA1000

1,000

15

10

1

1,000

10

10

ViPNet TIAS VA2000

2,000

30

20

2

2,000

20

20

ViPNet TIAS VA5000

5,000

30

50

5

5,000

50

50