INFORME Nº 067-2011-GTI INFORME TÉCNICO PREVIO DE EVALUACIÓN DE SOFTWARE 1. Nombre del Área El área encargada de la evaluación técnica para la adquisición e implementación de una solución Network Intrusion Prevention System (IDP) es la Gerencia de Tecnologías de Información (GTI) de esta Superintendencia. 2. Nombre y Cargo del Responsable de la Evaluación El analista responsable de la evaluación es el Sr. Manuel Escudero Cervantes, Analista de Seguridad Informática de la Gerencia de Tecnologías de Información (GTI). 3. Fecha La fecha del presente informe es el 29 de diciembre del 2011. 4. Justificación La Superintendencia de Banca, Seguros y Administradoras Privadas de Fondos de Pensiones (SBS) utiliza diversos medios de comunicación, tales como Internet, como medios para obtener, transmitir e intercambiar información con las entidades supervisadas y el mundo en general. Sin embargo, estos medios están sometidos a diversas amenazas y ataques informáticos, siendo las más comunes los ataques de virus, spyware y malware en general, pero existiendo amenazas y ataques más especializados, tales como tales como ataques de denegación de servicios (DoS y/o DDoS), robo de información e intentos de intrusión originados por hackers experimentados o por usuarios no autorizados con malas intenciones, perjudicando directa o indirectamente a los usuarios finales de nuestros servicios informáticos institucionales, situación que hace necesario el tomar medidas de seguridad proactivas que permitan identificar y detener la amenaza y/o ataque antes que origine un daño a la plataforma informática de la Superintendencia. Para reducir los riesgos y minimizar los problemas ocasionados por las amenazas existentes, la Superintendencia hace uso de un sistema IDP compuesto por dos (02) equipos IBM ISS Proventia GX4004 y el software Site Protector como consola administrativa. Este sistema permite, de manera centralizada, el monitoreo y gestión en tiempo real, asegurando perimetralmente la privacidad de la información institucional, minimizando la vulnerabilidad de los sistemas internos y de la información contenida en ellos. Sin embargo, la fecha límite del vencimiento de las licencias y del servicio de mantenimiento anual de estos productos es el 18 de febrero del 2012, haciéndose necesario renovar el licenciamiento y los servicios de mantenimiento y soporte técnico que aseguren su funcionamiento o evaluar la posibilidad de implementar una solución de similar o superiores características. En este contexto, la Gerencia de Tecnologías de Información (GTI) manifiesta la necesidad de seguir contando con este sistema, a fin de continuar proporcionando un óptimo nivel de seguridad para los sistemas de la Superintendencia y los servicios que la Superintendencia proporciona.
5. Alternativas Para la formulación y análisis de alternativas, debido a que los equipos en producción cuentan ya con cinco (05) años, periodo considerado por los fabricantes como el estándar máximo del ciclo de vida de este tipo de soluciones, se procederá a comparar las características técnicas y económicas de otras soluciones similares y/o de características superiores a la solución actualmente en producción, para su posterior adquisición e implementación en la red de la Superintendencia. En ese contexto, debe tomarse en cuenta que existen costos asociados a esta adquisición, tales como la capacitación requerida para los usuarios responsables del software para asegurar su normal funcionamiento. Para realizar este análisis comparativo técnico, se seleccionaron los siguientes productos: SOURCEFIRE 3D3500 RADWARE Defense Pro 1016 Así, se han evaluado las características técnicas de los productos mencionados, cada uno de los cuales es de fácil implementación, uso y mantenimiento, no siendo necesario realizar modificaciones o cambios radicales en la plataforma actualmente en uso. 6. Análisis Comparativo Técnico Adjunto al presente informe, se encuentra el Anexo Nº 01, en el que se comparan las características técnicas de las alternativas evaluadas para las soluciones de Network IDP. En dicho análisis, se presentan los resúmenes de los aspectos evaluados, habiéndose considerado los datos oficiales proporcionados por los fabricantes y los resultados de las pruebas efectuadas a las soluciones evaluadas. Cabe señalar que el análisis realizado puede incluir a más de un producto, por lo que se mencionan los aspectos más resaltantes de cada uno de los productos evaluados. 7. Análisis Comparativo de Costo Beneficio En el Anexo N 02, se presenta los costos de los productos evaluados. Estos costos han sido proporcionados por los representantes oficiales de los productos en el Perú. Las propuestas de adquisición de productos nuevos incluyen costos por inducción de uso para los usuarios administradores, necesaria debido a que se trataría de una herramienta nueva en la plataforma de seguridad de la Superintendencia. Cabe señalar que se han seleccionado el periodo de cinco (05) años como criterio de análisis, debido a que es el plazo del ciclo de vida, establecido por los fabricantes, de los componentes de hardware de las respectivas soluciones. 8. Conclusiones Las conclusiones del presente informe son las siguientes: La proximidad de la fecha de vencimiento de las licencias de la solución Network IDP, actualmente en uso por parte de la Superintendencia, hace necesario considerar la renovación de este servicio.
Las características técnicas de las soluciones Network IDP analizadas son superiores a la solución actualmente en uso. Los servicios ofrecidos por los sistemas de la Superintendencia son críticos y de alta importancia para las labores diarias de los usuarios, por lo que se requiere contar con una plataforma de seguridad acorde con las tecnologías y amenazas actuales existentes, que asegure a su vez el correcto funcionamiento de los sistemas institucionales. Los nuevos proyectos a desarrollar por la Gerencia de Tecnologías de Información durante los próximos meses necesitan también de una plataforma segura. Por las razones anteriormente expuestas, se recomienda la adquisición de una solución Network IDP. 9. Firmas Igor Sakuma Carbonel Gerente de Tecnologías de Información Manuel Alcides Escudero Cervantes Analista de Seguridad Informática
ANEXO N o 01 Análisis Comparativo Técnico para Sistemas de Filtro de Contenido Web CARACTERISTICA SOURCEFIRE 3D3500 RADWARE Defense Pro 1016 Facilidad de Uso Solución tipo appliance. Solución tipo appliance. Características del 04 interfases 10/100/1000 cobre RJ-45. 08 interfases 10/100/1000 cobre RJ-45. Hardware 04 interfases SFP modulares. 04 interfases SFP modulares. Características del Software Técnicas de análisis y detección de tráfico Consola Administrativa y Herramientas de reporte estadístico Incluye función fail-over. SO propietario. Soporta hasta 1.5M sesiones concurrentes. Throughput de hasta 1Gbps en modalidad de inspección. Latencia menor a 1 milisegundo. Port Assignment. Port Following. Port Variability. Protocol Tunneling Recognition. Heuristics. Protocol Analysis. Aplication-layer Pre-processing. Reconnaissance. RFC Compliance Checking. Protocol Anomaly Detection. TCP Reassembly. Flow Reassembly. Protocol Modeling. Incluye opciones de descubrimiento de red y vulnerabilidades asociadas. Consola administrativa tipo appliance o appliance virtual. Administración remota vía consola WEB. La consola administrativa permite administrar varios dispositivos IPS. Administración en tiempo real. Envío de reportes y notificaciones automáticos al administrador vía SMTP. Período de envío configurable. Reportes personalizables. Permite la exportación de reportes en diversos formatos. Permite el despliegue centralizado de las actualizaciones. Idioma Inglés. Inglés. Servicio de Mantenimiento Actualizaciones periódicas, gratuitas y en tiempo real por el período de soporte contratado. No requiere reinicio ni apagado del equipo. Incluye función fail-over. SO propietario. Soporta hasta 1.5M sesiones concurrentes. Throughput de hasta 1Gbps en modalidad de inspección. Latencia máxima de 100 microsegundos. Soporta hasta 5M paquetes por segundo. Port Assignment. Port Following. Port Variability. Protocol Tunneling Recognition. Heuristics. Protocol Analysis. Aplication-layer Pre-processing. Reconnaissance. Signatures. RFC Compliance Checking. TCP Reassembly. Flow Reassembly. Statistical Threshold Analysis. Stateful Pattern Matching. Consola administrativa tipo appliance. Administración remota vía consola WEB. La consola administrativa permite administrar varios dispositivos IPS. Administración en tiempo real. Envío de reportes y notificaciones automáticos al administrador vía SMTP. Período de envío configurable. Reportes personalizables. Permite la exportación de reportes en diversos formatos. Permite el despliegue centralizado de las actualizaciones. Actualizaciones periódicas, gratuitas y en tiempo real por el período de soporte contratado. No requiere reinicio ni apagado del equipo.
ANEXO N o 02 Cuadro Resumen Económico de Alternativas Nº Alternativa Producto N o de Costo del servicio a 3 años Costo del servicio a 5 años Unidades 1 SOURCEFIRE 3D3500 02 No se obtuvo esta cotización US$ 115,578.00 inc IGV 2 RADWARE Defense Pro 1016 02 US$ 163,852.35 inc IGV US$ 226,909.38 inc IGV