correlaci ón de alertas y correlación de alertas y eventos ... · politécnico grancolombiano....
TRANSCRIPT
Bogotá, Colombia
Junio 16, 2006
Bogotá, ColombiaBogotá, Colombia
JunioJunio 16, 200616, 2006
Correlación de alertas y eventos en seguridad
informática
CorrelaciCorrelaci óón de alertas y n de alertas y eventos en seguridad eventos en seguridad
informinform ááticatica
[email protected]@@poligranpoligran..eduedu.co.co
Ing. Diego Osorio Reina
Especialista en seguridad de Redes
Politécnico Grancolombiano
IngIng. . Diego Osorio ReinaDiego Osorio Reina
EspecialistaEspecialista enen seguridadseguridad dede RedesRedes
PolitPolitéécnico Grancolombianocnico Grancolombiano
AgendaAgendaAgenda
•• Mecanismo de seguridadMecanismo de seguridad•• DetecciDetecci óón de Intrusosn de Intrusos
•• Porque?Porque?•• RequerimientosRequerimientos•• Common Intrusion Detection Common Intrusion Detection
FrameworkFramework•• TaxonomiaTaxonomia
AgendaAgendaAgenda
•• CorrelaciCorrelaci óón de alertasn de alertas•• Porque?Porque?•• Modelo Modelo teteóórico rico
•• OSSIM (OSSIM (Open source Security Information ManagementOpen source Security Information Management ))•• ComponentesComponentes•• Diagrama FuncionalDiagrama Funcional•• ArquitecturaArquitectura•• NormalizaciNormalizaci óónn
AgendaAgendaAgenda
•• OSSIM (OSSIM (Open source Security Information ManagementOpen source Security Information Management ))•• PriorizaciPriorizaci óónn•• ValoraciValoraci óón del riesgon del riesgo•• CorrelaciCorrelaci óónn•• MonitoresMonitores•• DemostraciDemostraci óón OSSIMn OSSIM
•• ConclusionesConclusiones•• ReferenciasReferencias
Mecanismo de seguridadMecanismoMecanismo dede seguridadseguridad
�� Attack PreventionAttack PreventionControl de acceso: autenticación de un sistema operativo,
firewalls
�� Attack AvoidanceAttack AvoidanceCriptografía de llave publica
�� Attack DetectionAttack DetectionSistema de detección de intrusos
Detección de intrusos, Porque?DetecciDetecci óón de n de intrusosintrusos , , PorquePorque ??
Los sistema de detección de intrusos son motivados por:
� Los sistemas no son absolutamente seguros� El control puede ser deshabilitado� Los usuarios legítimos pueden abusar
� Es valioso conocer los ataques fallidos
Detección de intrusos, RequerimientosDetecciDetecci óón n de de intrusosintrusos , , RequerimientosRequerimientos
�� ExactitudExactitud : mínima cantidad de falsos positivos
�� DesempeDesempe ññoo: Detección en tiempo real
�� CubrimientoCubrimiento : mínima cantidad de falsos negativos
�� Tolerancia a fallasTolerancia a fallas : Resistente a ataques
�� EscalabilidadEscalabilidad : Soportar la peor situación de eventos sin perder información
Detección de intrusos, Exactitud y CubrimientoDetecciDetecci óón de n de intrusosintrusos , , Exactitud Exactitud y y CubrimientoCubrimiento
No No DetectadoDetectadoy no y no es ciertoes cierto
DetectadoDetectado y y no no es ciertoes cierto
FalsoFalso
No No detectadodetectadoy y es ciertoes cierto
Detectado Detectado y y es ciertoes cierto
VerdaderoVerdadero
NegativoNegativoPositivoPositivo
Detección de intrusos, Common Intrusion Detection FrameworkDetecciDetecci óón de n de intrusosintrusos , , Common Common Intrusion Detection FrameworkIntrusion Detection Framework
�� EE--Boxes:Boxes: Cajas de eventos
�� AA--Boxes: Boxes: Cajas de análisis
�� DD--Boxes: Boxes: Cajas de bases de datos
�� RR--Boxes: Boxes: Cajas de respuestas
Detección de intrusos, TaxonomiaDetecciDetecci óón de n de intrusosintrusos , , TaxonomiaTaxonomia
� Método de detección : Basado en anomalías / Basado en errores� Comportamiento de la detecciónPasivo / Activo� Lugar auditadoHost / Aplicación / Red� Frecuencia de usoTiempo real / offline - periódico
Correlación de alertas, Porque?CorrelaciCorrelaci óón de n de alertasalertas , , PorquePorque ??
� Concentración de los logs de un ambiente heterogéneo
� Se obtienen demasiadas alertas y estas no son fiables
� Un IDS cubre solo una parte del espacio de eventos y de acuerdo a eso solo cubre una parte del espacio de ataques
Correlación de alertas, Modelo Teórico?CorrelaciCorrelaci óón de alertas, Modelo Ten de alertas, Modelo Te óórico?rico?
Alertas Sensor
NormalizaciónVerificación
de alertasPre-procesamiento
Fusión de alertas
PriorizaciónReconocimiento
del objetivoAnálisis del
impactoCorrelación de
multi pasos
ReconstrucciónDe la amaneza
ReconstrucciónDel ataque
Base de datos sensor
Base de datos Alertas
Reporte de intrusión
Administrador
OSSIM Open source Security Information Management, ComponentesOSSIM OSSIM Open source Security Information Open source Security Information Management, Management, ComponentesComponentes
Componentes
� Arpwatch: usado para detectar anomalías de arp� P0f: usado para detección pasiva del SO pasiva y análisis de cambios del SO� Pads: usado por el servicio de detección de anomalías� Nessus: Usado para identificar las vulnerabilidades y cruzar la correlación con
el IDS� Snort: IDS, usado para cruzar la correlación con Nes sus� Spade, Detector de anomalías, usado para detectar ataques sin firma existente� Tcptrack, Guarda la información de sesiones de red, información usada para la
correlación� Ntop, impresionante base de datos de información de red que sirve para
detectar anomalías.� Nagios. Monitorea host e información de servicio disponible� Osiris, un gran IDS de host
OSSIM Open source Security Information Management, Diagrama FuncionalOSSIM OSSIM Open source Security Information Open source Security Information Management, Management, Diagrama FuncionalDiagrama Funcional
OSSIM Open source Security Information Management, AquitecturaOSSIM OSSIM Open source Security Information Open source Security Information Management, Management, AquitecturaAquitectura
OSSIM Open source Security Information Management, NormalizaciónOSSIM OSSIM Open source Security Information Open source Security Information Management, Management, NormalizaciNormalizaci óónn
�� UnificarUnificar y y centralizarcentralizar�� Parser o Parser o traductortraductor�� Router, Firewall, IDS,, Router, Firewall, IDS,, SyslogSyslog ……
OSSIM Open source Security Information Management, PriorizaciónOSSIM OSSIM Open source Security Information Open source Security Information Management, Management, PriorizaciPriorizaci óónn
� Si la alerta se refiere a un ataque para apache y el servidor de la organización es ISS demicrosoft la alerta tiene baja prioridad
� Evaluación de la importancia de la alerta respecto al contexto o escenario de la organización
OSSIM Open source Security Information Management, PriorizaciónOSSIM Open source Security Information Management, OSSIM Open source Security Information Management, PriorizaciPriorizaci óónn
OSSIM Open source Security Information Management, Valoración del riesgoOSSIM OSSIM Open source Security Information Open source Security Information Management, Management, ValoraciValoraci óón deln del riesgoriesgo
� Valor del activo� Amenaza que representa� Probabilidad de ocurrencia� Riesgo Intrínseco� Riesgo Instantáneo
OSSIM Open source Security Information Management, CorrelaciónOSSIM OSSIM Open source Security Information Open source Security Information Management, Management, CorrelaciCorrelaci óónn
� Patrones especificaos� Patrones ambiguos� Maquina de inferencia a través de
reglas� Enlace recursivo de detectores y
monitores� Desarrollo de algoritmos que ofrezcan
una visión general
OSSIM Open source Security Information Management, CorrelaciónOSSIM OSSIM Open source Security Information Open source Security Information Management, Management, CorrelaciCorrelaci óónn
MMéétodostodos•• HeuristicosHeuristicosCALM (Compromise and Attack Level Monitor), “C”
nivel de compromiso, “A” nivel de ataque
•• SecuenciaSecuencia de de eventoseventosListas de reglas
OSSIM Open source Security Information Management, CorrelaciónOSSIM Open source Security Information Management, OSSIM Open source Security Information Management, CorrelaciCorrelaci óónn
OSSIM Open source Security Information Management, CorrelaciónOSSIM Open source Security Information Management,OSSIM Open source Security Information Management, CorrelaciCorrelaci óónn
OSSIM Open source Security Information Management, MonitoresOSSIM OSSIM Open source Security Information Open source Security Information Management, Management, MonitoresMonitores
Monitores
� Monitor de riesgos
� Monitor de uso, sesiones y perfiles
OSSIM Open source Security Information Management, MonitoresOSSIM Open source Security Information Management, OSSIM Open source Security Information Management, MonitoresMonitores
OSSIM Open source Security Information Management, MonitoresOSSIM Open source Security Information Management, OSSIM Open source Security Information Management, MonitoresMonitores
OSSIM Open source Security Information Management, DemostraciónOSSIM OSSIM Open source Security Information Open source Security Information Management, Management, DemostraciDemostraci óónn
OSSIM Open source Security Information Management, ConclusionesOSSIM OSSIM Open source Security Information Open source Security Information Management, Management, ConclusionesConclusiones
La correlación de alertas no es por si misma la panacea en seguridad, pero si esta llamada a cumplir un papel importante como pieza integral en los esquemas de protección que defienden las complejas infraestructuras tecnológicas de hoy día
ReferenciasReferenciasReferencias
� Nortcutt y Novak (2001) Detección de intrusos. Guía Avanzada. Prentice Hall
� Christopher Krugel, Fredrik Valuer, Giovanni Vigna (2005) Intrusion Detection and Correlation. Springer
� Proyecto OSSIM Open Source Security Information Management http://www.ossim.net