Correlacióón de alertas y
n de alertas y
Correlaci
Correlación de alertas y
eventos en seguridad
eventos en seguridad
eventos en seguridad
informááticatica
inform
informática
IngIng. . Diego Osorio Reina
Diego Osorio Reina
Ing. Diego Osorio Reina
seguridad dede Redes
Redes
Especialista enen seguridad
Especialista en seguridad de Redes
Especialista
PolitPolitéécnico Grancolombiano
cnico Grancolombiano
Politécnico Grancolombiano
dosorior@@poligran
poligran..eduedu.co.co
dosorior
[email protected]
Bogotá, Colombia
Bogotá, Colombia
Bogotá, Colombia
Junio 16, 2006
16, 2006
Junio
Junio 16, 2006
Agenda
Agenda
Agenda
Mecanismo de seguridad
•• Mecanismo de seguridad
Deteccióón de Intrusos
n de Intrusos
•• Detecci
Porque?
•• Porque?
Requerimientos
•• Requerimientos
Common Intrusion Detection
•• Common Intrusion Detection
Framework
Framework
Taxonomia
•• Taxonomia
Agenda
Agenda
Agenda
•• OSSIM (
•• Correlaci
Correlacióón de alertas
n de alertas
Porque?
•• Porque?
Modelo teteóórico
rico
•• Modelo
OSSIM (Open source Security Information Management
Open source Security Information Management))
Componentes
•• Componentes
Diagrama Funcional
•• Diagrama Funcional
Arquitectura
•• Arquitectura
Normalizacióónn
•• Normalizaci
Agenda
Agenda
Agenda
•• OSSIM (
OSSIM (Open source Security Information Management
Open source Security Information Management))
Priorizacióónn
•• Priorizaci
Valoracióón del riesgo
n del riesgo
•• Valoraci
Correlacióónn
•• Correlaci
Monitores
•• Monitores
Demostracióón OSSIM
n OSSIM
•• Demostraci
Conclusiones
•• Conclusiones
Referencias
•• Referencias
Mecanismo dede seguridad
seguridad
Mecanismo
Mecanismo de seguridad
Attack Prevention
Attack Prevention
Control de acceso: autenticación de un sistema operativo,
firewalls
Attack Avoidance
Attack Avoidance
Criptografía de llave publica
Attack Detection
Attack Detection
Sistema de detección de intrusos
intrusos, , Porque
Porque??
Deteccióón de
Detecci
Detección de intrusos, Porque?
n de intrusos
Los sistema de detección de intrusos son motivados por:
Los sistemas no son absolutamente seguros
El control puede ser deshabilitado
Los usuarios legítimos pueden abusar
Es valioso conocer los ataques fallidos
Deteccióón n de de intrusos
intrusos, ,
Detecci
Detección de intrusos,
Requerimientos
Requerimientos
Requerimientos
Exactitud
Desempe
Cubrimiento
Exactitud: mínima cantidad de falsos positivos
Desempeññoo: Detección en tiempo real
Cubrimiento: mínima cantidad de falsos
negativos
Tolerancia a fallas: Resistente a ataques
Escalabilidad: Soportar la peor situación de
eventos sin perder información
Tolerancia a fallas
Escalabilidad
Deteccióón de
n de intrusos
intrusos, ,
Detecci
Detección de intrusos,
Exactitud y y Cubrimiento
Cubrimiento
Exactitud
Exactitud y Cubrimiento
Positivo
Positivo
Negativo
Negativo
Verdadero
Verdadero
Falso
Falso
Detectado y y
Detectado
es cierto
es cierto
No No detectado
detectado
y y es cierto
es cierto
Detectado y y
Detectado
no no es cierto
es cierto
No No Detectado
Detectado
y no es cierto
es cierto
y no
Deteccióón de
intrusos, , Common
Detecci
Detección de intrusos, Common
Common
Intrusion Detection Framework
Intrusion Detection Framework
Intrusion Detection Framework
n de intrusos
EE--Boxes:
AA--Boxes:
DD--Boxes:
RR--Boxes:
Boxes: Cajas de eventos
Boxes: Cajas de análisis
Boxes: Cajas de bases de datos
Boxes: Cajas de respuestas
Deteccióón de
intrusos, , Taxonomia
Taxonomia
Detecci
Detección de intrusos, Taxonomia
n de intrusos
Método de detección:
Basado en anomalías / Basado en errores
Comportamiento de la detección
Pasivo / Activo
Lugar auditado
Host / Aplicación / Red
Frecuencia de uso
Tiempo real / offline - periódico
alertas, , Porque
Porque??
Correlacióón de
Correlaci
Correlación de alertas, Porque?
n de alertas
Concentración de los logs de un ambiente
heterogéneo
Se obtienen demasiadas alertas y estas
no son fiables
Un IDS cubre solo una parte del espacio
de eventos y de acuerdo a eso solo cubre
una parte del espacio de ataques
Correlacióón de alertas, Modelo Te
n de alertas, Modelo Teóórico?
rico?
Correlaci
Correlación de alertas, Modelo Teórico?
Alertas
Sensor
Normalización
Pre-procesamiento
Fusión de
alertas
Verificación
de alertas
Base de datos
sensor
Reconstrucción
De la amaneza
Base de datos
Alertas
Reconstrucción
Del ataque
Reporte de
intrusión
Priorización
Análisis del
impacto
Correlación de
multi pasos
Reconocimiento
del objetivo
Administrador
OSSIM Open source Security Information
OSSIM
OSSIM Open source Security Information
Open source Security Information
Management, Componentes
Componentes
Management,
Management, Componentes
Componentes
Arpwatch: usado para detectar anomalías de arp
P0f: usado para detección pasiva del SO pasiva y análisis de cambios del SO
Pads: usado por el servicio de detección de anomalías
Nessus: Usado para identificar las vulnerabilidades y cruzar la correlación con
el IDS
Snort: IDS, usado para cruzar la correlación con Nessus
Spade, Detector de anomalías, usado para detectar ataques sin firma existente
Tcptrack, Guarda la información de sesiones de red, información usada para la
correlación
Ntop, impresionante base de datos de información de red que sirve para
detectar anomalías.
Nagios. Monitorea host e información de servicio disponible
Osiris, un gran IDS de host
OSSIM Open source Security Information
OSSIM
OSSIM Open source Security Information
Open source Security Information
Management, Diagrama Funcional
Diagrama Funcional
Management,
Management, Diagrama Funcional
OSSIM Open source Security Information
OSSIM
OSSIM Open source Security Information
Open source Security Information
Management, Aquitectura
Aquitectura
Management,
Management, Aquitectura
OSSIM Open source Security Information
OSSIM
OSSIM Open source Security Information
Open source Security Information
Management, Normalizaci
Normalizacióónn
Management,
Management, Normalización
Unificar
Parser o
Router, Firewall, IDS,,
Unificar y y centralizar
centralizar
Parser o traductor
traductor
Router, Firewall, IDS,, Syslog
Syslog……
OSSIM Open source Security Information
OSSIM
OSSIM Open source Security Information
Open source Security Information
Management, Priorizaci
Priorizacióónn
Management,
Management, Priorización
Si la alerta se refiere a un ataque para apache y
el servidor de la organización es ISS de
microsoft la alerta tiene baja prioridad
Evaluación de la importancia de la alerta
respecto al contexto o escenario de la
organización
OSSIM Open source Security Information Management, Priorizaci
Priorizacióónn
OSSIM Open source Security Information Management,
OSSIM Open source Security Information Management, Priorización
OSSIM Open source Security Information
OSSIM
OSSIM Open source Security Information
Open source Security Information
Management, Valoraci
n del riesgo
riesgo
Management,
Management, Valoración del riesgo
Valoracióón del
Valor del activo
Amenaza que representa
Probabilidad de ocurrencia
Riesgo Intrínseco
Riesgo Instantáneo
OSSIM Open source Security Information
OSSIM
OSSIM Open source Security Information
Open source Security Information
Management, Correlaci
Correlacióónn
Management,
Management, Correlación
Patrones especificaos
Patrones ambiguos
Maquina de inferencia a través de
reglas
Enlace recursivo de detectores y
monitores
Desarrollo de algoritmos que ofrezcan
una visión general
OSSIM Open source Security Information
OSSIM
OSSIM Open source Security Information
Open source Security Information
Management, Correlaci
Correlacióónn
Management,
Management, Correlación
MMéétodos
todos
Heuristicos
•• Heuristicos
CALM (Compromise and Attack Level Monitor), “C”
nivel de compromiso, “A” nivel de ataque
Secuencia de de eventos
eventos
•• Secuencia
Listas de reglas
OSSIM Open source Security Information Management, Correlaci
Correlacióónn
OSSIM Open source Security Information Management,
OSSIM Open source Security Information Management, Correlación
Correlacióónn
OSSIM Open source Security Information Management, Correlaci
OSSIM Open source Security Information Management,
OSSIM Open source Security Information Management, Correlación
OSSIM Open source Security Information
OSSIM
OSSIM Open source Security Information
Open source Security Information
Management, Monitores
Monitores
Management,
Management, Monitores
Monitores
Monitor de riesgos
Monitor de uso, sesiones y perfiles
OSSIM Open source Security Information Management, Monitores
Monitores
OSSIM Open source Security Information Management,
OSSIM Open source Security Information Management, Monitores
OSSIM Open source Security Information Management, Monitores
Monitores
OSSIM Open source Security Information Management,
OSSIM Open source Security Information Management, Monitores
OSSIM Open source Security Information
OSSIM
OSSIM Open source Security Information
Open source Security Information
Management, Demostraci
Demostracióónn
Management,
Management, Demostración
OSSIM Open source Security Information
OSSIM
OSSIM Open source Security Information
Open source Security Information
Management, Conclusiones
Conclusiones
Management,
Management, Conclusiones
La correlación de alertas no es por si
misma la panacea en seguridad, pero si
esta llamada a cumplir un papel
importante como pie
Comentarios de: Correlación de alertas y eventos en seguridad informática (0)
No hay comentarios