A estas alturas casi todo el mundo conoce a Cisco. Es uno de los fabricantes más representativos en la industria actual, con soluciones que con toda probabilidad nos hayamos encontrado más de una vez en instalaciones informáticas. Quedan excluídos los ambientes domésticos, donde Cisco tiene una presencia mucho menor, pese a disponer de filiales muy conocidas y orientadas plenamente a estos segmentos.

Cisco es un fabricante especializado en tecnologías de comunicación, si bien dispone en su cartera de otros productos orientados a dar soporte a otras funciones de control. Es el caso de MARS (Monitoring, Analysis and Response System), un appliance suministrado en 3U montable en rack, cuya misión es la monitorización, el análisis y la respuesta ante incidentes de seguridad, lo que se conoce en el argot como Security Threat Mitigation System (STM), o Sistema de Mitigación de Amenazas. Cisco MARS fue desarrollado originalmente por Protego Networks, Inc, compañía que fue adquirida posteriormente por el gigante norteamericano.


Es frecuente, al menos en grandes instalaciones informáticas, que Cisco Security MA vaya de la mano de su compañero Cisco Security Manager, integrando entre ambos lo que la compañía denomina Cisco Security Management Suite, un complejo producto modular que proporciona soporte al concepto de red de seguridad autogestionada (Cisco Self-Defending Network)

Pese a que estos productos no gozan de la popularidad de otros elementos más conocidos, como los switches y routers, sí que cuentan con elevadas tasas de implantación, especialmente en entornos críticos donde la seguridad es un valor cotizado y crucial para la continuidad de las operaciones. La mayoría de la bibliografía orientada a la administración de MARS es de la propia compañía, y pese a que es de una indudable calidad, quizás sea extremadamente compleja para que los administradores extraigan de sus contenidos los pasos concretos a seguir cuando se quiere gobernar adecuadamente un MARS.

SANS Information Security Reading Room ha publicado recientemente un paper donde se habla precisamente de los aspectos básicos de la administración práctica de Cisco MARS. El documento se llama Configuring and Tuning Cisco CS-MARS, y es un material de estudio de la GCIA Gold Certification. El apartado más atractivo para mí es el de ajustes, que comprende 5 tareas básicas cuando se dispone de un MARS en funcionamiento:

  • Reducción de falsos positivos
  • Focalización de alertas en positivos verdaderos
  • Extracción de informes para la Gerencia
  • Auditoría sobre servidores de acceso críticos
  • Extracción de información forense


Merece una lectura. Son sólo 37 páginas, muy digeribles. Si os interesa aprender más sobre Cisco MARS, podéis ojear las especificaciones del fabricante. Hay más contenidos en la página oficial del producto y en este blog no oficial que mantiene Chris Durkin, un experto en seguridad de productos Cisco.


En cuanto a literatura oficial, quizás el texto más representativo sea Security Monitoring with Cisco Security MARS, escrito por Gary Halleen y Greg Kellogg. Confieso que sólo he utilizado partes del texto, concretamente la sección que habla de la fortificación del producto, pero me da la sensación de que es un manual completo y accesible. Eso sí, no es precisamente barato

Fuente:
http://www.sahw.com/wp/archivos/2008...cisco-cs-mars/