NSM (Network Security Monitoring) - Tecland Chapeco

907 visualizações

Publicada em

NSM (Network Security Monitoring) - Tecland Chapeco

Publicada em: Tecnologia
0 comentários
1 gostou
Estatísticas
Notas
  • Seja o primeiro a comentar

Sem downloads
Visualizações
Visualizações totais
907
No SlideShare
0
A partir de incorporações
0
Número de incorporações
5
Ações
Compartilhamentos
0
Downloads
3
Comentários
0
Gostaram
1
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide
  • Explicar a divisão da talk
    Problema atual que encontramos
  • Salientar porque essas passos são importantes e não usamos
  • Quanto tempo voce detectaria um invasor ?
    Resposta ativa (citar exemplo OSSEC) - IP Source / Usuário
  • O que aconteceu antes , foi pênalti ?
    Foi Gol ?
    Não tem replay (comentar NFL Challenge)
  • Depende contexto
    O que é uma ameaça para seu negocio ?
    Revolver
  • Probabilidade
    Chances de error, quao exposto esta, comentar CVSS

    Impacto
    - Prejuizos financeiros, imagem da empresa, fora do ar
  • Comentar lixo info
    Trafego cifrado x full capture
    Entender os pacotes e o trafego que suas aplicações geram
  • Profiling
  • Comentar tráfego packets per second
  • - Data criação
  • Mudança registro / conexão com pais suspeito / conta usuario
    modificaçao de integridade (FIM)
    Tor exit nodes / abuse.ch
    Listas IP publicas
    Top talkers / Servicos / banda
  • Onde o cerebro entra em ação, pegando info coletadas, alertas gerados, ameacas setadas.
    Analise aprofundada de tudo
  • NSM (Network Security Monitoring) - Tecland Chapeco

    1. 1. NSM (Network Security Monitoring) - Porque a invasão é “inevitável" e alertas somente não suficiente ! Rodrigo “Sp0oKeR” Montoro @spookerlabs
    2. 2. $ whois Rodrigo “Sp0oKeR” Montoro ● Security System Administrator @ Sucuri – Centenas de Web Application Firewall – Milhões alertas mês (Disneyland =) ) ● Autor de 2 patentes pendentes – Detecção Documentos maliciosos – Análise Cabeçalhos HTTP ● Palestrante em diversos eventos – FISL, Latinoware, CNASI, SecTor (Canada), H2HC, Bsides (São Paulo e Las Vegas), Source Seattle e Boston (EUA), Toorcon (EUA), Zoncon (EUA). ● Triatleta / Corredor de Trilhas
    3. 3. MOTIVAÇÃO
    4. 4. AGENDA ● Atual problema na detecção de um intrusão ● O conceito de NSM ● Como colocar isso em prática ? ● Perguntas
    5. 5. Atual problema na detecção ...
    6. 6. Como funciona um invasão ● Antes ● Durante ● Depois
    7. 7. Conceito de Detecção / Prevenção Intrusão Atacantes eventualmente terão sucesso.
    8. 8. Tempo é o fator chave ...
    9. 9. Sistemas de proteção genérico
    10. 10. Exemplo simples de genérico, “mundo fragmentação” ... Sistemas operacionais diferentes, necessitam configurações de proteção diferente
    11. 11. Timeout fragmentação da proteção < dispositivo
    12. 12. Timeout fragmentação da proteção > dispositivo
    13. 13. De brinde tem o overlaping ...
    14. 14. E o grande “problema” da maioria das proteções …
    15. 15. Alerta é apenas uma foto do momento ….
    16. 16. Conceito de Network Security Monitoring (NSM)
    17. 17. Porque apenas o alerta não é suficiente ….
    18. 18. Vulnerability Centric versus Threat Centric
    19. 19. Identificar ameaças
    20. 20. Quantificar risco Probabilidade x Impacto = Risco
    21. 21. Identificar as fonte de informações ● Full Packet Capture ● Logs ● Session Data ● Signature Based Alerts ● Anomaly Based Alerts
    22. 22. Ciclo do NSM Coleta DetecçãoAnálise
    23. 23. Coleta
    24. 24. Os componentes da coleta ● Full content ● Extracted content ● Session data ● Statical data ● Metadata ● Alert data
    25. 25. Full Content
    26. 26. Extracted Data
    27. 27. Session Data
    28. 28. Statical Data
    29. 29. Metadata
    30. 30. Alert Data
    31. 31. Detecção
    32. 32. Detecção ● IoC ( Indicators of Compromise ) ● Reputation ● Signatures ● Anomalias com dados estatísticos ● Honeypots
    33. 33. Análise
    34. 34. E como coloco isso em prática ?
    35. 35. Projeto Security Onion (Opensource) ● Snort / Suricata ● OSSEC ● Sguil ● Squert ● Snorby ● ELSA ● Xplico ● PRADS ● Outros
    36. 36. Snorby
    37. 37. Squert
    38. 38. Sguil ( Real Time )
    39. 39. O que realmente se “gasta” é com armazenamento Média utlização em Mbps x 1byte / 8bits x 60 seconds/minutes x 60 minutes / hours x 24 hours / day Em resumo: Rede Tráfego 100 Mbps aproximadamente 1.08 TB dia de log dia X quantidade de dias que deseja armazena
    40. 40. Referências
    41. 41. Referências 41 http://etplc.org/ http://blog.securityonion.net/ http://www.appliednsm.com/
    42. 42. Perguntas & Contatos Pessoal spooker@gmail.com @spookerlabs http://spookerlabs.blogspot.com Profissional rodrigo.montoro@sucuri.net @sucuri_security http://sucuri.net

    ×