![Page 1: Correlaci ón de alertas y Correlación de alertas y eventos ... · Politécnico Grancolombiano. Agenda ... Reporte de intrusión Administrador. OSSIM Open source Security Information](https://reader033.vdocuments.co/reader033/viewer/2022051408/6002781409a4d7137228501c/html5/thumbnails/1.jpg)
Bogotá, Colombia
Junio 16, 2006
Bogotá, ColombiaBogotá, Colombia
JunioJunio 16, 200616, 2006
Correlación de alertas y eventos en seguridad
informática
CorrelaciCorrelaci óón de alertas y n de alertas y eventos en seguridad eventos en seguridad
informinform ááticatica
[email protected]@@poligranpoligran..eduedu.co.co
Ing. Diego Osorio Reina
Especialista en seguridad de Redes
Politécnico Grancolombiano
IngIng. . Diego Osorio ReinaDiego Osorio Reina
EspecialistaEspecialista enen seguridadseguridad dede RedesRedes
PolitPolitéécnico Grancolombianocnico Grancolombiano
![Page 2: Correlaci ón de alertas y Correlación de alertas y eventos ... · Politécnico Grancolombiano. Agenda ... Reporte de intrusión Administrador. OSSIM Open source Security Information](https://reader033.vdocuments.co/reader033/viewer/2022051408/6002781409a4d7137228501c/html5/thumbnails/2.jpg)
AgendaAgendaAgenda
•• Mecanismo de seguridadMecanismo de seguridad•• DetecciDetecci óón de Intrusosn de Intrusos
•• Porque?Porque?•• RequerimientosRequerimientos•• Common Intrusion Detection Common Intrusion Detection
FrameworkFramework•• TaxonomiaTaxonomia
![Page 3: Correlaci ón de alertas y Correlación de alertas y eventos ... · Politécnico Grancolombiano. Agenda ... Reporte de intrusión Administrador. OSSIM Open source Security Information](https://reader033.vdocuments.co/reader033/viewer/2022051408/6002781409a4d7137228501c/html5/thumbnails/3.jpg)
AgendaAgendaAgenda
•• CorrelaciCorrelaci óón de alertasn de alertas•• Porque?Porque?•• Modelo Modelo teteóórico rico
•• OSSIM (OSSIM (Open source Security Information ManagementOpen source Security Information Management ))•• ComponentesComponentes•• Diagrama FuncionalDiagrama Funcional•• ArquitecturaArquitectura•• NormalizaciNormalizaci óónn
![Page 4: Correlaci ón de alertas y Correlación de alertas y eventos ... · Politécnico Grancolombiano. Agenda ... Reporte de intrusión Administrador. OSSIM Open source Security Information](https://reader033.vdocuments.co/reader033/viewer/2022051408/6002781409a4d7137228501c/html5/thumbnails/4.jpg)
AgendaAgendaAgenda
•• OSSIM (OSSIM (Open source Security Information ManagementOpen source Security Information Management ))•• PriorizaciPriorizaci óónn•• ValoraciValoraci óón del riesgon del riesgo•• CorrelaciCorrelaci óónn•• MonitoresMonitores•• DemostraciDemostraci óón OSSIMn OSSIM
•• ConclusionesConclusiones•• ReferenciasReferencias
![Page 5: Correlaci ón de alertas y Correlación de alertas y eventos ... · Politécnico Grancolombiano. Agenda ... Reporte de intrusión Administrador. OSSIM Open source Security Information](https://reader033.vdocuments.co/reader033/viewer/2022051408/6002781409a4d7137228501c/html5/thumbnails/5.jpg)
Mecanismo de seguridadMecanismoMecanismo dede seguridadseguridad
�� Attack PreventionAttack PreventionControl de acceso: autenticación de un sistema operativo,
firewalls
�� Attack AvoidanceAttack AvoidanceCriptografía de llave publica
�� Attack DetectionAttack DetectionSistema de detección de intrusos
![Page 6: Correlaci ón de alertas y Correlación de alertas y eventos ... · Politécnico Grancolombiano. Agenda ... Reporte de intrusión Administrador. OSSIM Open source Security Information](https://reader033.vdocuments.co/reader033/viewer/2022051408/6002781409a4d7137228501c/html5/thumbnails/6.jpg)
Detección de intrusos, Porque?DetecciDetecci óón de n de intrusosintrusos , , PorquePorque ??
Los sistema de detección de intrusos son motivados por:
� Los sistemas no son absolutamente seguros� El control puede ser deshabilitado� Los usuarios legítimos pueden abusar
� Es valioso conocer los ataques fallidos
![Page 7: Correlaci ón de alertas y Correlación de alertas y eventos ... · Politécnico Grancolombiano. Agenda ... Reporte de intrusión Administrador. OSSIM Open source Security Information](https://reader033.vdocuments.co/reader033/viewer/2022051408/6002781409a4d7137228501c/html5/thumbnails/7.jpg)
Detección de intrusos, RequerimientosDetecciDetecci óón n de de intrusosintrusos , , RequerimientosRequerimientos
�� ExactitudExactitud : mínima cantidad de falsos positivos
�� DesempeDesempe ññoo: Detección en tiempo real
�� CubrimientoCubrimiento : mínima cantidad de falsos negativos
�� Tolerancia a fallasTolerancia a fallas : Resistente a ataques
�� EscalabilidadEscalabilidad : Soportar la peor situación de eventos sin perder información
![Page 8: Correlaci ón de alertas y Correlación de alertas y eventos ... · Politécnico Grancolombiano. Agenda ... Reporte de intrusión Administrador. OSSIM Open source Security Information](https://reader033.vdocuments.co/reader033/viewer/2022051408/6002781409a4d7137228501c/html5/thumbnails/8.jpg)
Detección de intrusos, Exactitud y CubrimientoDetecciDetecci óón de n de intrusosintrusos , , Exactitud Exactitud y y CubrimientoCubrimiento
No No DetectadoDetectadoy no y no es ciertoes cierto
DetectadoDetectado y y no no es ciertoes cierto
FalsoFalso
No No detectadodetectadoy y es ciertoes cierto
Detectado Detectado y y es ciertoes cierto
VerdaderoVerdadero
NegativoNegativoPositivoPositivo
![Page 9: Correlaci ón de alertas y Correlación de alertas y eventos ... · Politécnico Grancolombiano. Agenda ... Reporte de intrusión Administrador. OSSIM Open source Security Information](https://reader033.vdocuments.co/reader033/viewer/2022051408/6002781409a4d7137228501c/html5/thumbnails/9.jpg)
Detección de intrusos, Common Intrusion Detection FrameworkDetecciDetecci óón de n de intrusosintrusos , , Common Common Intrusion Detection FrameworkIntrusion Detection Framework
�� EE--Boxes:Boxes: Cajas de eventos
�� AA--Boxes: Boxes: Cajas de análisis
�� DD--Boxes: Boxes: Cajas de bases de datos
�� RR--Boxes: Boxes: Cajas de respuestas
![Page 10: Correlaci ón de alertas y Correlación de alertas y eventos ... · Politécnico Grancolombiano. Agenda ... Reporte de intrusión Administrador. OSSIM Open source Security Information](https://reader033.vdocuments.co/reader033/viewer/2022051408/6002781409a4d7137228501c/html5/thumbnails/10.jpg)
Detección de intrusos, TaxonomiaDetecciDetecci óón de n de intrusosintrusos , , TaxonomiaTaxonomia
� Método de detección : Basado en anomalías / Basado en errores� Comportamiento de la detecciónPasivo / Activo� Lugar auditadoHost / Aplicación / Red� Frecuencia de usoTiempo real / offline - periódico
![Page 11: Correlaci ón de alertas y Correlación de alertas y eventos ... · Politécnico Grancolombiano. Agenda ... Reporte de intrusión Administrador. OSSIM Open source Security Information](https://reader033.vdocuments.co/reader033/viewer/2022051408/6002781409a4d7137228501c/html5/thumbnails/11.jpg)
Correlación de alertas, Porque?CorrelaciCorrelaci óón de n de alertasalertas , , PorquePorque ??
� Concentración de los logs de un ambiente heterogéneo
� Se obtienen demasiadas alertas y estas no son fiables
� Un IDS cubre solo una parte del espacio de eventos y de acuerdo a eso solo cubre una parte del espacio de ataques
![Page 12: Correlaci ón de alertas y Correlación de alertas y eventos ... · Politécnico Grancolombiano. Agenda ... Reporte de intrusión Administrador. OSSIM Open source Security Information](https://reader033.vdocuments.co/reader033/viewer/2022051408/6002781409a4d7137228501c/html5/thumbnails/12.jpg)
Correlación de alertas, Modelo Teórico?CorrelaciCorrelaci óón de alertas, Modelo Ten de alertas, Modelo Te óórico?rico?
Alertas Sensor
NormalizaciónVerificación
de alertasPre-procesamiento
Fusión de alertas
PriorizaciónReconocimiento
del objetivoAnálisis del
impactoCorrelación de
multi pasos
ReconstrucciónDe la amaneza
ReconstrucciónDel ataque
Base de datos sensor
Base de datos Alertas
Reporte de intrusión
Administrador
![Page 13: Correlaci ón de alertas y Correlación de alertas y eventos ... · Politécnico Grancolombiano. Agenda ... Reporte de intrusión Administrador. OSSIM Open source Security Information](https://reader033.vdocuments.co/reader033/viewer/2022051408/6002781409a4d7137228501c/html5/thumbnails/13.jpg)
OSSIM Open source Security Information Management, ComponentesOSSIM OSSIM Open source Security Information Open source Security Information Management, Management, ComponentesComponentes
Componentes
� Arpwatch: usado para detectar anomalías de arp� P0f: usado para detección pasiva del SO pasiva y análisis de cambios del SO� Pads: usado por el servicio de detección de anomalías� Nessus: Usado para identificar las vulnerabilidades y cruzar la correlación con
el IDS� Snort: IDS, usado para cruzar la correlación con Nes sus� Spade, Detector de anomalías, usado para detectar ataques sin firma existente� Tcptrack, Guarda la información de sesiones de red, información usada para la
correlación� Ntop, impresionante base de datos de información de red que sirve para
detectar anomalías.� Nagios. Monitorea host e información de servicio disponible� Osiris, un gran IDS de host
![Page 14: Correlaci ón de alertas y Correlación de alertas y eventos ... · Politécnico Grancolombiano. Agenda ... Reporte de intrusión Administrador. OSSIM Open source Security Information](https://reader033.vdocuments.co/reader033/viewer/2022051408/6002781409a4d7137228501c/html5/thumbnails/14.jpg)
OSSIM Open source Security Information Management, Diagrama FuncionalOSSIM OSSIM Open source Security Information Open source Security Information Management, Management, Diagrama FuncionalDiagrama Funcional
![Page 15: Correlaci ón de alertas y Correlación de alertas y eventos ... · Politécnico Grancolombiano. Agenda ... Reporte de intrusión Administrador. OSSIM Open source Security Information](https://reader033.vdocuments.co/reader033/viewer/2022051408/6002781409a4d7137228501c/html5/thumbnails/15.jpg)
OSSIM Open source Security Information Management, AquitecturaOSSIM OSSIM Open source Security Information Open source Security Information Management, Management, AquitecturaAquitectura
![Page 16: Correlaci ón de alertas y Correlación de alertas y eventos ... · Politécnico Grancolombiano. Agenda ... Reporte de intrusión Administrador. OSSIM Open source Security Information](https://reader033.vdocuments.co/reader033/viewer/2022051408/6002781409a4d7137228501c/html5/thumbnails/16.jpg)
OSSIM Open source Security Information Management, NormalizaciónOSSIM OSSIM Open source Security Information Open source Security Information Management, Management, NormalizaciNormalizaci óónn
�� UnificarUnificar y y centralizarcentralizar�� Parser o Parser o traductortraductor�� Router, Firewall, IDS,, Router, Firewall, IDS,, SyslogSyslog ……
![Page 17: Correlaci ón de alertas y Correlación de alertas y eventos ... · Politécnico Grancolombiano. Agenda ... Reporte de intrusión Administrador. OSSIM Open source Security Information](https://reader033.vdocuments.co/reader033/viewer/2022051408/6002781409a4d7137228501c/html5/thumbnails/17.jpg)
OSSIM Open source Security Information Management, PriorizaciónOSSIM OSSIM Open source Security Information Open source Security Information Management, Management, PriorizaciPriorizaci óónn
� Si la alerta se refiere a un ataque para apache y el servidor de la organización es ISS demicrosoft la alerta tiene baja prioridad
� Evaluación de la importancia de la alerta respecto al contexto o escenario de la organización
![Page 18: Correlaci ón de alertas y Correlación de alertas y eventos ... · Politécnico Grancolombiano. Agenda ... Reporte de intrusión Administrador. OSSIM Open source Security Information](https://reader033.vdocuments.co/reader033/viewer/2022051408/6002781409a4d7137228501c/html5/thumbnails/18.jpg)
OSSIM Open source Security Information Management, PriorizaciónOSSIM Open source Security Information Management, OSSIM Open source Security Information Management, PriorizaciPriorizaci óónn
![Page 19: Correlaci ón de alertas y Correlación de alertas y eventos ... · Politécnico Grancolombiano. Agenda ... Reporte de intrusión Administrador. OSSIM Open source Security Information](https://reader033.vdocuments.co/reader033/viewer/2022051408/6002781409a4d7137228501c/html5/thumbnails/19.jpg)
OSSIM Open source Security Information Management, Valoración del riesgoOSSIM OSSIM Open source Security Information Open source Security Information Management, Management, ValoraciValoraci óón deln del riesgoriesgo
� Valor del activo� Amenaza que representa� Probabilidad de ocurrencia� Riesgo Intrínseco� Riesgo Instantáneo
![Page 20: Correlaci ón de alertas y Correlación de alertas y eventos ... · Politécnico Grancolombiano. Agenda ... Reporte de intrusión Administrador. OSSIM Open source Security Information](https://reader033.vdocuments.co/reader033/viewer/2022051408/6002781409a4d7137228501c/html5/thumbnails/20.jpg)
OSSIM Open source Security Information Management, CorrelaciónOSSIM OSSIM Open source Security Information Open source Security Information Management, Management, CorrelaciCorrelaci óónn
� Patrones especificaos� Patrones ambiguos� Maquina de inferencia a través de
reglas� Enlace recursivo de detectores y
monitores� Desarrollo de algoritmos que ofrezcan
una visión general
![Page 21: Correlaci ón de alertas y Correlación de alertas y eventos ... · Politécnico Grancolombiano. Agenda ... Reporte de intrusión Administrador. OSSIM Open source Security Information](https://reader033.vdocuments.co/reader033/viewer/2022051408/6002781409a4d7137228501c/html5/thumbnails/21.jpg)
OSSIM Open source Security Information Management, CorrelaciónOSSIM OSSIM Open source Security Information Open source Security Information Management, Management, CorrelaciCorrelaci óónn
MMéétodostodos•• HeuristicosHeuristicosCALM (Compromise and Attack Level Monitor), “C”
nivel de compromiso, “A” nivel de ataque
•• SecuenciaSecuencia de de eventoseventosListas de reglas
![Page 22: Correlaci ón de alertas y Correlación de alertas y eventos ... · Politécnico Grancolombiano. Agenda ... Reporte de intrusión Administrador. OSSIM Open source Security Information](https://reader033.vdocuments.co/reader033/viewer/2022051408/6002781409a4d7137228501c/html5/thumbnails/22.jpg)
OSSIM Open source Security Information Management, CorrelaciónOSSIM Open source Security Information Management, OSSIM Open source Security Information Management, CorrelaciCorrelaci óónn
![Page 23: Correlaci ón de alertas y Correlación de alertas y eventos ... · Politécnico Grancolombiano. Agenda ... Reporte de intrusión Administrador. OSSIM Open source Security Information](https://reader033.vdocuments.co/reader033/viewer/2022051408/6002781409a4d7137228501c/html5/thumbnails/23.jpg)
OSSIM Open source Security Information Management, CorrelaciónOSSIM Open source Security Information Management,OSSIM Open source Security Information Management, CorrelaciCorrelaci óónn
![Page 24: Correlaci ón de alertas y Correlación de alertas y eventos ... · Politécnico Grancolombiano. Agenda ... Reporte de intrusión Administrador. OSSIM Open source Security Information](https://reader033.vdocuments.co/reader033/viewer/2022051408/6002781409a4d7137228501c/html5/thumbnails/24.jpg)
OSSIM Open source Security Information Management, MonitoresOSSIM OSSIM Open source Security Information Open source Security Information Management, Management, MonitoresMonitores
Monitores
� Monitor de riesgos
� Monitor de uso, sesiones y perfiles
![Page 25: Correlaci ón de alertas y Correlación de alertas y eventos ... · Politécnico Grancolombiano. Agenda ... Reporte de intrusión Administrador. OSSIM Open source Security Information](https://reader033.vdocuments.co/reader033/viewer/2022051408/6002781409a4d7137228501c/html5/thumbnails/25.jpg)
OSSIM Open source Security Information Management, MonitoresOSSIM Open source Security Information Management, OSSIM Open source Security Information Management, MonitoresMonitores
![Page 26: Correlaci ón de alertas y Correlación de alertas y eventos ... · Politécnico Grancolombiano. Agenda ... Reporte de intrusión Administrador. OSSIM Open source Security Information](https://reader033.vdocuments.co/reader033/viewer/2022051408/6002781409a4d7137228501c/html5/thumbnails/26.jpg)
OSSIM Open source Security Information Management, MonitoresOSSIM Open source Security Information Management, OSSIM Open source Security Information Management, MonitoresMonitores
![Page 27: Correlaci ón de alertas y Correlación de alertas y eventos ... · Politécnico Grancolombiano. Agenda ... Reporte de intrusión Administrador. OSSIM Open source Security Information](https://reader033.vdocuments.co/reader033/viewer/2022051408/6002781409a4d7137228501c/html5/thumbnails/27.jpg)
OSSIM Open source Security Information Management, DemostraciónOSSIM OSSIM Open source Security Information Open source Security Information Management, Management, DemostraciDemostraci óónn
![Page 28: Correlaci ón de alertas y Correlación de alertas y eventos ... · Politécnico Grancolombiano. Agenda ... Reporte de intrusión Administrador. OSSIM Open source Security Information](https://reader033.vdocuments.co/reader033/viewer/2022051408/6002781409a4d7137228501c/html5/thumbnails/28.jpg)
OSSIM Open source Security Information Management, ConclusionesOSSIM OSSIM Open source Security Information Open source Security Information Management, Management, ConclusionesConclusiones
La correlación de alertas no es por si misma la panacea en seguridad, pero si esta llamada a cumplir un papel importante como pieza integral en los esquemas de protección que defienden las complejas infraestructuras tecnológicas de hoy día
![Page 29: Correlaci ón de alertas y Correlación de alertas y eventos ... · Politécnico Grancolombiano. Agenda ... Reporte de intrusión Administrador. OSSIM Open source Security Information](https://reader033.vdocuments.co/reader033/viewer/2022051408/6002781409a4d7137228501c/html5/thumbnails/29.jpg)
ReferenciasReferenciasReferencias
� Nortcutt y Novak (2001) Detección de intrusos. Guía Avanzada. Prentice Hall
� Christopher Krugel, Fredrik Valuer, Giovanni Vigna (2005) Intrusion Detection and Correlation. Springer
� Proyecto OSSIM Open Source Security Information Management http://www.ossim.net