Analisando pacotes for Fun & Detection – O interessante
conceito de NSM (Network Security Monitoring)
Rodrigo “Sp0oKeR” Mo...
$ whois Rodrigo “Sp0oKeR” Montoro
Security System Administrator @ Sucuri
– Centenas de Web Application Firewall
– Milhões...
MOTIVAÇÃO
AGENDA
 Atual problema na detecção de intrusos
 O conceito de NSM
 Como colocar isso em prática ?
 Perguntas
Como funciona um invasão

Antes

Durante

Depois
Conceito de Detecção / Prevenção Intrusão
Atacantes sempre terão sucesso, se o conceito de sucesso for previnir isso,
semp...
Tempo é o fator chave ...
Sistemas genéricos
Exemplo simples de genérico, “mundo fragmentação” ...
Sistemas operacionais diferentes, necessitam configurações de
proteç...
Timeout fragmentação da proteção < dispositivo
Timeout fragmentação da proteção > dispositivo
Evasão usando TTL + Timeout
De brinde tem o overlaping ...
E o grande “problema” da maioria das proteções …
Alerta é apenas uma foto do momento ….
Network Security Monitoring (NSM)
Porque apenas o alerta
não é suficiente ….
Os componentes de um NSM

Full Content

Extracted Content

Session Data

Statical Data

Metadata

Alert Data
Full Content
Extracted Data
Session Data
Statical Data
Metadata
Alert Data
E como coloco isso em prática ?
Mas isso não é caro ? Empresa não tem recursos ….
Projeto Security Onion

Snort / Suricata

OSSEC

Sguil

Squert

Snorby

ELSA

Xplico

PRADS

Outros
Snorby
Squert
Sguil ( Real Time )
O que realmente “gasta” é com Storage ...
Média utlização em Mbps x 1byte / 8bits x 60 seconds/minutes x 60
minutes / hour...
Links interessantes
taosecurity.blogspot.com
securityonion.blogspot.com
www.nsmwiki.org
Perguntas & Contatos
Pessoal
spooker@gmail.com
@spookerlabs
http://spookerlabs.blogspot.com
Profissional
rodrigo.montoro@s...
Próximos SlideShares
Carregando em…5
×

Analisando pacotes for fun and packet - Conceito de Network Security Monitoring (NSM - Qualitek Security Day)

1.539 visualizações

Publicada em

Palestra no Qualitek Security Day sobre Analise de Pacote e conceito de Network Security Monitoring (NSM)

Publicada em: Internet
0 comentários
2 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

Sem downloads
Visualizações
Visualizações totais
1.539
No SlideShare
0
A partir de incorporações
0
Número de incorporações
82
Ações
Compartilhamentos
0
Downloads
19
Comentários
0
Gostaram
2
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Analisando pacotes for fun and packet - Conceito de Network Security Monitoring (NSM - Qualitek Security Day)

  1. 1. Analisando pacotes for Fun & Detection – O interessante conceito de NSM (Network Security Monitoring) Rodrigo “Sp0oKeR” Montoro
  2. 2. $ whois Rodrigo “Sp0oKeR” Montoro Security System Administrator @ Sucuri – Centenas de Web Application Firewall – Milhões alertas mês (Disneyland =) ) Autor de 2 patentes pendentes – Detecção Documentos maliciosos – Análise Cabeçalhos HTTP Palestrante em diversos eventos – FISL, Latinoware, CNASI, SecTor (Canada), H2HC, Bsides (São Paulo e Las Vegas), Source Seattle e Boston (EUA), Toorcon (EUA), Zoncon (EUA). Triatleta / Corredor de Trilhas
  3. 3. MOTIVAÇÃO
  4. 4. AGENDA  Atual problema na detecção de intrusos  O conceito de NSM  Como colocar isso em prática ?  Perguntas
  5. 5. Como funciona um invasão  Antes  Durante  Depois
  6. 6. Conceito de Detecção / Prevenção Intrusão Atacantes sempre terão sucesso, se o conceito de sucesso for previnir isso, sempre perderemos.
  7. 7. Tempo é o fator chave ...
  8. 8. Sistemas genéricos
  9. 9. Exemplo simples de genérico, “mundo fragmentação” ... Sistemas operacionais diferentes, necessitam configurações de proteção diferente
  10. 10. Timeout fragmentação da proteção < dispositivo
  11. 11. Timeout fragmentação da proteção > dispositivo
  12. 12. Evasão usando TTL + Timeout
  13. 13. De brinde tem o overlaping ...
  14. 14. E o grande “problema” da maioria das proteções …
  15. 15. Alerta é apenas uma foto do momento ….
  16. 16. Network Security Monitoring (NSM)
  17. 17. Porque apenas o alerta não é suficiente ….
  18. 18. Os componentes de um NSM  Full Content  Extracted Content  Session Data  Statical Data  Metadata  Alert Data
  19. 19. Full Content
  20. 20. Extracted Data
  21. 21. Session Data
  22. 22. Statical Data
  23. 23. Metadata
  24. 24. Alert Data
  25. 25. E como coloco isso em prática ?
  26. 26. Mas isso não é caro ? Empresa não tem recursos ….
  27. 27. Projeto Security Onion  Snort / Suricata  OSSEC  Sguil  Squert  Snorby  ELSA  Xplico  PRADS  Outros
  28. 28. Snorby
  29. 29. Squert
  30. 30. Sguil ( Real Time )
  31. 31. O que realmente “gasta” é com Storage ... Média utlização em Mbps x 1byte / 8bits x 60 seconds/minutes x 60 minutes / hours x 24 hours / day Em resumo: Rede Tráfego 100 Mbps aproximadamente 1.08 TB dia de log dia X quantidade de dias que deseja armazena
  32. 32. Links interessantes taosecurity.blogspot.com securityonion.blogspot.com www.nsmwiki.org
  33. 33. Perguntas & Contatos Pessoal spooker@gmail.com @spookerlabs http://spookerlabs.blogspot.com Profissional rodrigo.montoro@sucuri.net @sucuri_security http://sucuri.net

×