PDF de programación - Correlación de alertas y eventos en seguridad informática

Correlacióón de alertas y
n de alertas y
Correlaci
Correlación de alertas y
eventos en seguridad
eventos en seguridad
eventos en seguridad
informááticatica
inform
informática

IngIng. . Diego Osorio Reina
Diego Osorio Reina
Ing. Diego Osorio Reina
seguridad dede Redes
Redes
Especialista enen seguridad
Especialista en seguridad de Redes
Especialista
PolitPolitéécnico Grancolombiano
cnico Grancolombiano
Politécnico Grancolombiano

dosorior@@poligran
poligran..eduedu.co.co
dosorior
[email protected]

Bogotá, Colombia
Bogotá, Colombia
Bogotá, Colombia
Junio 16, 2006
16, 2006
Junio
Junio 16, 2006

Agenda
Agenda
Agenda

Mecanismo de seguridad
•• Mecanismo de seguridad
Deteccióón de Intrusos
n de Intrusos
•• Detecci
Porque?
•• Porque?
Requerimientos
•• Requerimientos
Common Intrusion Detection
•• Common Intrusion Detection
Framework
Framework
Taxonomia
•• Taxonomia

Agenda
Agenda
Agenda

•• OSSIM (

•• Correlaci

Correlacióón de alertas
n de alertas
Porque?
•• Porque?
Modelo teteóórico
rico
•• Modelo
OSSIM (Open source Security Information Management
Open source Security Information Management))
Componentes
•• Componentes
Diagrama Funcional
•• Diagrama Funcional
Arquitectura
•• Arquitectura
Normalizacióónn
•• Normalizaci

Agenda
Agenda
Agenda

•• OSSIM (

OSSIM (Open source Security Information Management
Open source Security Information Management))
Priorizacióónn
•• Priorizaci
Valoracióón del riesgo
n del riesgo
•• Valoraci
Correlacióónn
•• Correlaci
Monitores
•• Monitores
Demostracióón OSSIM
n OSSIM
•• Demostraci
Conclusiones
•• Conclusiones
Referencias
•• Referencias

Mecanismo dede seguridad
seguridad
Mecanismo
Mecanismo de seguridad

Attack Prevention
Attack Prevention
Control de acceso: autenticación de un sistema operativo,

firewalls

Attack Avoidance
Attack Avoidance
Criptografía de llave publica

Attack Detection
Attack Detection
Sistema de detección de intrusos

intrusos, , Porque
Porque??
Deteccióón de
Detecci
Detección de intrusos, Porque?

n de intrusos

Los sistema de detección de intrusos son motivados por:

Los sistemas no son absolutamente seguros
El control puede ser deshabilitado
Los usuarios legítimos pueden abusar
Es valioso conocer los ataques fallidos

Deteccióón n de de intrusos
intrusos, ,
Detecci
Detección de intrusos,
Requerimientos
Requerimientos
Requerimientos

Exactitud
Desempe
Cubrimiento

Exactitud: mínima cantidad de falsos positivos
Desempeññoo: Detección en tiempo real
Cubrimiento: mínima cantidad de falsos
negativos
Tolerancia a fallas: Resistente a ataques
Escalabilidad: Soportar la peor situación de
eventos sin perder información

Tolerancia a fallas
Escalabilidad

Deteccióón de
n de intrusos
intrusos, ,
Detecci
Detección de intrusos,
Exactitud y y Cubrimiento
Cubrimiento
Exactitud
Exactitud y Cubrimiento

Positivo
Positivo

Negativo
Negativo

Verdadero
Verdadero

Falso
Falso

Detectado y y
Detectado
es cierto
es cierto

No No detectado
detectado
y y es cierto
es cierto

Detectado y y
Detectado
no no es cierto
es cierto

No No Detectado
Detectado
y no es cierto
es cierto
y no

Deteccióón de
intrusos, , Common
Detecci
Detección de intrusos, Common
Common
Intrusion Detection Framework
Intrusion Detection Framework
Intrusion Detection Framework

n de intrusos

EE--Boxes:
AA--Boxes:
DD--Boxes:
RR--Boxes:

Boxes: Cajas de eventos
Boxes: Cajas de análisis
Boxes: Cajas de bases de datos
Boxes: Cajas de respuestas

Deteccióón de
intrusos, , Taxonomia
Taxonomia
Detecci
Detección de intrusos, Taxonomia

n de intrusos

Método de detección:
Basado en anomalías / Basado en errores
Comportamiento de la detección
Pasivo / Activo
Lugar auditado
Host / Aplicación / Red
Frecuencia de uso
Tiempo real / offline - periódico

alertas, , Porque
Porque??
Correlacióón de
Correlaci
Correlación de alertas, Porque?

n de alertas

Concentración de los logs de un ambiente

heterogéneo

Se obtienen demasiadas alertas y estas

no son fiables

Un IDS cubre solo una parte del espacio

de eventos y de acuerdo a eso solo cubre
una parte del espacio de ataques

Correlacióón de alertas, Modelo Te
n de alertas, Modelo Teóórico?
rico?
Correlaci
Correlación de alertas, Modelo Teórico?

Alertas
Sensor

Normalización

Pre-procesamiento

Fusión de

alertas

Verificación

de alertas

Base de datos

sensor

Reconstrucción
De la amaneza

Base de datos

Alertas

Reconstrucción

Del ataque

Reporte de

intrusión

Priorización

Análisis del

impacto

Correlación de

multi pasos

Reconocimiento

del objetivo

Administrador

OSSIM Open source Security Information
OSSIM
OSSIM Open source Security Information
Open source Security Information
Management, Componentes
Componentes
Management,
Management, Componentes

Componentes

Arpwatch: usado para detectar anomalías de arp
P0f: usado para detección pasiva del SO pasiva y análisis de cambios del SO
Pads: usado por el servicio de detección de anomalías
Nessus: Usado para identificar las vulnerabilidades y cruzar la correlación con

el IDS

Snort: IDS, usado para cruzar la correlación con Nessus
Spade, Detector de anomalías, usado para detectar ataques sin firma existente
Tcptrack, Guarda la información de sesiones de red, información usada para la

correlación

Ntop, impresionante base de datos de información de red que sirve para

detectar anomalías.

Nagios. Monitorea host e información de servicio disponible
Osiris, un gran IDS de host

OSSIM Open source Security Information
OSSIM
OSSIM Open source Security Information
Open source Security Information
Management, Diagrama Funcional
Diagrama Funcional
Management,
Management, Diagrama Funcional

OSSIM Open source Security Information
OSSIM
OSSIM Open source Security Information
Open source Security Information
Management, Aquitectura
Aquitectura
Management,
Management, Aquitectura

OSSIM Open source Security Information
OSSIM
OSSIM Open source Security Information
Open source Security Information
Management, Normalizaci
Normalizacióónn
Management,
Management, Normalización

Unificar
Parser o
Router, Firewall, IDS,,

Unificar y y centralizar
centralizar
Parser o traductor
traductor
Router, Firewall, IDS,, Syslog

Syslog……

OSSIM Open source Security Information
OSSIM
OSSIM Open source Security Information
Open source Security Information
Management, Priorizaci
Priorizacióónn
Management,
Management, Priorización

Si la alerta se refiere a un ataque para apache y

el servidor de la organización es ISS de
microsoft la alerta tiene baja prioridad

Evaluación de la importancia de la alerta

respecto al contexto o escenario de la
organización

OSSIM Open source Security Information Management, Priorizaci
Priorizacióónn
OSSIM Open source Security Information Management,
OSSIM Open source Security Information Management, Priorización

OSSIM Open source Security Information
OSSIM
OSSIM Open source Security Information
Open source Security Information
Management, Valoraci
n del riesgo
riesgo
Management,
Management, Valoración del riesgo

Valoracióón del

Valor del activo
Amenaza que representa
Probabilidad de ocurrencia
Riesgo Intrínseco
Riesgo Instantáneo

OSSIM Open source Security Information
OSSIM
OSSIM Open source Security Information
Open source Security Information
Management, Correlaci
Correlacióónn
Management,
Management, Correlación

Patrones especificaos
Patrones ambiguos
Maquina de inferencia a través de

reglas

Enlace recursivo de detectores y

monitores

Desarrollo de algoritmos que ofrezcan

una visión general

OSSIM Open source Security Information
OSSIM
OSSIM Open source Security Information
Open source Security Information
Management, Correlaci
Correlacióónn
Management,
Management, Correlación

MMéétodos
todos
Heuristicos
•• Heuristicos
CALM (Compromise and Attack Level Monitor), “C”

nivel de compromiso, “A” nivel de ataque

Secuencia de de eventos
eventos

•• Secuencia
Listas de reglas

OSSIM Open source Security Information Management, Correlaci
Correlacióónn
OSSIM Open source Security Information Management,
OSSIM Open source Security Information Management, Correlación

Correlacióónn
OSSIM Open source Security Information Management, Correlaci
OSSIM Open source Security Information Management,
OSSIM Open source Security Information Management, Correlación

OSSIM Open source Security Information
OSSIM
OSSIM Open source Security Information
Open source Security Information
Management, Monitores
Monitores
Management,
Management, Monitores

Monitores

Monitor de riesgos

Monitor de uso, sesiones y perfiles

OSSIM Open source Security Information Management, Monitores
Monitores
OSSIM Open source Security Information Management,
OSSIM Open source Security Information Management, Monitores

OSSIM Open source Security Information Management, Monitores
Monitores
OSSIM Open source Security Information Management,
OSSIM Open source Security Information Management, Monitores

OSSIM Open source Security Information
OSSIM
OSSIM Open source Security Information
Open source Security Information
Management, Demostraci
Demostracióónn
Management,
Management, Demostración

OSSIM Open source Security Information
OSSIM
OSSIM Open source Security Information
Open source Security Information
Management, Conclusiones
Conclusiones
Management,
Management, Conclusiones

La correlación de alertas no es por si

misma la panacea en seguridad, pero si
esta llamada a cumplir un papel
importante como pie