O documento discute os desafios trazidos pela mudança para a nuvem para as operações de segurança e uso de SIEM. Apresenta como a complexidade crescente levou à necessidade de SOCs e SIEMs para monitoramento e resposta a incidentes de segurança. Discute os desafios da coleta de logs em nuvem e a tendência futura de automação, machine learning e novas habilidades para equipes de segurança.
1. SIEM IN CLOUD TIMES
HOW THE CLOUD AFFECTS AND CHANGES SECURITY OPERATIONS AND SIEM USE
2. SIEM IN CLOUD TIMES - AGENDA
• Challenges, motivations and needs
• SOC and SIEM
• Cloud challenges
• The (now) future
3. SIEM IN CLOUD TIMES – ABOUT ME
EDUARDO ALVES
• Santista
• +17 anos no setor
• Experience in Security Operations Centers, Cloud Computing, Security Infrastructure,
Security Projects and team’s leadership
• Led security teams at some major events, such as FIFA’s 2014 World Cup, Rock in Rio and
ONU’s RIO+20 conference. Speaker of security conferences Mindthesec.
• Has some certifications, like PMP, ISO27001 Lead Auditor, CCSK, Exin CloudF, PaloAlto
ACE, MCSO, CobiT, ITIL, Comptia Security+, Fortinet NSE 3, IBM ISS – CA.
Linkedin/in/edualves
4. SIEM IN CLOUD TIMES
• Challenges, motivations and needs
• SOC and SIEM
• Cloud challenges
• The (now) future
5. CHALLENGES, MOTIVATIONS AND NEEDS
...o que antes eram “AD-HOC”, problemas “pontuais, ex:
Worm Melissa
Explorava Macro para se auto-enviar para 50 contatos Causou: perda de produtividade
....Comprovadamente, ficou sério:
Muita coisa mudou desde
Captain Crunch...
Com essa evolução tecnológica, houve:
+ Conectividade
+ Volumetria
+ Complexidade
+ Sofisticação
Logo, aumentaram-se muito as possibilidades de exploração
7. CHALLENGES, MOTIVATIONS AND NEEDS
• https://www.darkreading.com/perimeter/iot-botnets-by-the-
numbers/d/d-id/1330924?
Provider OVH atacado por um DDoS de IoT
Fonte: Cisco
Viabilizados por mais oferta:
9. CHALLENGES, MOTIVATIONS AND NEEDS
• Fatos:
• Aumento da complexidade, vetores de ataque e “acessibilidade” a ataques
• Reconhecimento da importância do tema
• Geram necessidades:
• Funções de Security Officer, IT Security, Security Analyst, etc, etc para ações pontuais
• E com o crescimento, é preciso foco:
• Aqui entra o Security Operations Center !
10. SIEM IN CLOUD TIMES
• Challenges, motivations and needs
• SOC and SIEM
• Cloud challenges
• The (now) future
13. SOC AND SIEM
E TEM O LADO OBSCURO:
Socorrista (Bombeiro)
Configurar coletores novos, administrar fluxos de logs,
normalizar e reorganizar logs de fontes que foram
atualizadas.... E ISSO LEVA MUITO TEMPO !
Enquanto isso os incidentes não param !
Tier 1
Tier 2
Tier 3
Tier 4
Faz monitoria, triagem, atende
telefone, recebe primeiros tickets,
olha caixa abuse e de contato...
Atendimentos mais
focados (por
plataforma/tecnologia/
fabricante)
Reagir a Incidentes e casos
investigativos ou de maior
gravidade
(CSIRT apartado em muitos casos)
Coordena ações, faz Followup,
Revisões de relatórios e
relacionamento
14. SOC AND SIEM
SIEM – Security Information and Event Management
SIM – Security Information Management
SEM – Security Event Management
15. SOC AND SIEM
Security Devices: FW,
AV, IPS, etc
Network: Router,
Switch, VPN
Servers: OS,
Webserver, AppServ
Mobile/Cloud
Syslog, WMI, coletor
nativo, ODBC, SFTP e
outros
1. COLETA
3. Agregação
4. Engine Central:
Console de gestão, dashboard,
Reporting, Alarmes/alertas,
correlações, Thread Intelligence
5. Archive
2. Normalização
Pesquisas básicas,
busca de logs recentes,
coleta de dados
preliminares, etc
16. SOC AND SIEM
Devices
SIEM
Regras de correlação:
https://otx.alienvault.com/
Thread Intelligence ex:
Indicators of Compromisse – IOC’s
• Alertar um Scanneamento | Fontes: IDS ou IPS ou Endpoint, Alvo, IP Origem
• Múltiplas sessões TCP parcialmente abertas | Fontes: Webserver, Router, switch ou Firewall, IP Origem
• Consultas internas/externas ou externas/internas a porta UDP 67 e IP não está na listagem de IP’s oficiais – (DHCP
fake) | Fonte: DHCP, Firewall, router ou switch
Fonte: alienvault
17. SIEM IN CLOUD TIMES
• Challenges, motivations and needs
• SOC and SIEM
• Cloud challenges
• The (now) future
19. CLOUD CHALLENGES
• Qual o desafio para a TI/Security ?
• Provedores oferecem soluções para viabilizar negócios de forma mais rápida
e mais barata
• Mas estão em datacenters em qualquer local do mundo, os dados podem estar
replicados em qualquer parte (PII)
20. CLOUD CHALLENGES
Compliance ?
Resposta a incidentes ?
Desconhecimento de aplicações
e usos ?
WhatsApp, office365, Google
Docs....
A formas seguras de se usar
Cloud...
Responsabilidades:
Fonte: https://pen-testing.sans.org/blog/2012/07/05/pen-testing-in-the-cloud
25. CLOUD CHALLENGES
1. Data breaches
2. Insufficient identity, credential, and access management
3. Insecure interfaces and application programming interfaces (APIs)
4. System vulnerabilities
5. Account hijacking
6. Malicious insiders
7. Advanced persistent threats (APTs)
8. Data loss
9. Insufficient due diligence
10. Abuse and nefarious use of cloud services
11. Denial of service (DoS)
12. Shared technology vulnerabilities
https://downloads.cloudsecurityalliance.org/assets/research/top-threats/treacherous-12-top-threats.pdf
26. SIEM IN CLOUD TIMES
• Challenges, motivations and needs
• SOC and SIEM
• Cloud challenges
• The (now) future
27. THE (NOW) FUTURE
Fonte: https://www.rightscale.com/blog/cloud-industry-insights/cloud-computing-trends-2018-state-cloud-survey
28. THE (NOW) FUTURE
Microserviço, imagem tudo
embarcado
Características de autoscaling,
tende a ser elástico e perder
rastreabilidade
Logs dinâmicos -> desafio de
centralizar logs
Cababilities -> DDoS
Uso desenfreado de API’s
https://blog.docker.com/2016/09/4-biggest-questions-docker-vmworld-2016/
Docker: Microserviços / DevOps
29. THE (NOW) FUTURE
Tier 1
Tier 2
Tier 3
Tier 4
Faz monitoria, triagem, atende
telefone, recebe primeiros tickets,
olha caixa abuse e de contato...
Atendimentos mais
especializados (por
plataforma/tecnologia/
fabricante)
Resposta a Incidentes e
casos investigativos ou de
maior gravidade
Coordena ações, faz Followup
AUTOMAÇÃO
Detecção, busca de informações
preliminares
Followups, maiores dados e
rapidez na resposta
Referências e casos de soluções
para a tomada de decisão
Melhorar a detecção e reação
30. THE (NOW) FUTURE
• AI – tomada de decisão, minerar informações, automação
• Machine Learning - auxilio a detecção e analise != regras de correlação
• New Skills for Security Staff
• Industria se adequando (Sqrrl (roots NSA))
Mas a velha máxima ainda se mantem: FAÇA O BÁSICO, MANTENHA TUDO ATUALIZADO !!!!!
31. SIEM IN CLOUD TIMES
OBRIGADO PELA SEU TEMPO E ATENÇÃO !
linkedin/in/edualves