Este documento resume uma dissertação de mestrado sobre análise de eventos de segurança usando a ferramenta OSSIM. O trabalho configurou o OSSIM para monitorar uma rede experimental e avaliou os resultados, procurando soluções para diminuir falsos positivos, como ativar plugins relevantes e calibrar correlações de eventos. Após as melhorias, os alarmes verdadeiros aumentaram e os eventos e alarmes totais diminuíram, demonstrando que o OSSIM pode fornecer análise de segurança eficiente quando devidamente configurado.
1. Análise de eventos de segurança:
baseado no OSSIM
Orientador:
Professor Doutor Henrique Manuel Denis Santos
Mestrando:
Luís Amílcar Dias Neves Tavares
UNIVERSIDADE DO MINHO
ESCOLA DE ENGENHARIA
DISSERTAÇÃO DE MESTRADO EM ENGENHARIA INFORMATICA
Braga, Dezembro de 2015
2. Introdução
Por mais que consideremos um ambiente seguro os utilizadores acabam por ser sempre
a maior vulnerabilidade da rede;
Cada vez mais são usadas ferramentas e aplicações que possibilitam uma melhor
gestão da rede, criando regras de permissões, acesso e uso do sistema;
Sistemas com boa gestão e sem falhas internas estão sujeitos a sofrer falhas
provocadas por agentes externos, que podem ser devastadoras;
3. Motivação
Segurança em Redes de computadores tem sido cada vez mais exigida pelo facto
da rápida evolução da tecnologia, que além de trazer melhorias traz também
diversos problemas.
Ferramentas de gestão de redes têm sido uma das soluções para resolver tais
problemas. Só que nada é totalmente satisfatório para sanar os problemas que vão
ocorrendo com o tempo.
É relevante explorar as potencialidades, capacidades e limitações dos gestores de
redes, para dar continuidade a melhor e maior garantia em monitorização de rede;
Interesse e curiosidade pessoal na segurança em redes.
4. Objetivos
Usar a ferramenta de gestão de eventos de segurança OSSIM;
Estudar e avaliar os logs de eventos e alertas gerados pelo OSSIM;
Configurar o OSSIM na tentativa de apresentar somente eventos desejados;
Otimizar a análise de resultados obtidos com o OSSIM, nomeadamente no que
respeita aos falsos positivos.
5. Problema
OSSIM pode gerar milhares de eventos, dependendo da rede onde estiver
instalado; e nesses eventos o numero de falsos positivos é normalmente elevado.
Como podemos diminuir esse numero aumentando a eficiência deste controlo
de segurança?
6. Enquadramento Teórico
Questões:
Como avaliar o nível de risco a que estamos exposto?
Que ferramentas promovem a gestão de segurança, sem comprometer os objetivos do
negocio?
A que tipo de ataques somos vulneráveis?
Ferramentas Distintas:
Autenticação de utilizadores;
Antivírus;
Firewall;
Métodos de prevenção de ataques;
IDS (Host e Network).
Solução:
Security Information and Event Managment (SIEM)
7. Enquadramento Teórico
Líder do Mercado
IBM Security
HP/ArcSight
Splunk
Visionário
AlienVault
USM
OSSIM
Magic Quadrant for SIEM (Gartner, Junho 2014)
OSSIM – Open Source Security
Information Managment
Solução gratuita para gestão de
eventos de segurança;
Inteligência para classificar riscos
de eventos e ativos;
Gestão de incidentes de
segurança, tudo integrado em
uma única plataforma;
Elevado desempenho no
tratamento de dados;
Componentes
Sensor
Servidor de gestão
Base de dados
Frontend
8. Metodologia
Topologia da Rede
Interfaces da rede (5):
Router
OSSIM (com todos os componentes)
Servidor Web
Máquina com Windows XP
9. Metodologia
Ataque a rede (LabOSSIM)
Construída em três etapas – baseado em Attack Tree
Coleta de informações
Scanner de vulnerabilidade
Pós Exploração
10. Testes/Resultados
Relatório dos resultados iniciais Plugins ativos no teste
5 Monitorização
tcptrack-monitor
ossim-monitor
nmap-monitor
nessus-monitor
opennms-monitor
11 Gestão de dados
sudo
ossim-agente
snort-syslog
snortunified
ossec-idm-singleline
ossec-singleline
nagios
snare
nessus
prads
pam_unix
OSSIM v4.13 (default)
183 gestão
12 monitorização
Eventos e Alarmes
2 dias
159.515 eventos
46 alarmes
Alarmes – Falso Positivo
Nagios: hard critical/down (serviço ou host indisponível)
WebServer Attack – XXS (correlação de eventos sucessivo, scanner OSSIM)
WebServer Attack – SQL Injection (log com linhas de query suspeita)
11. Procura de soluções que ajudem a diminuir o numero de falsos positivos.
Soluções:
Ativar plugins existentes e logs de ativos necessário da rede;
Criar plugins que satisfaçam a necessidade e vão ao encontro da estrutura de rede;
“Calibrar” a correlação entre os eventos, de acordo com as atividades da rede;
Reformular as regras, além de desativar as que sejam obsoletas;
Otimizar as diretivas de alarmes existentes;
Lista base de plugins, levando em conta os mais populares em função de:
Deteção e prevenção de Intrusões;
Monitorização da rede e gestão de segurança;
Servidor Web;
Scanner de Vulnerabilidade;
Serviço de inteligência a ameaça.
Soluções a considerar
12. Resultados após melhorias
Resultado com o OSSIM, após aplicar as soluções propostas.
OSSIM Dia Ativo Eventos Alarmes
Default 1 159.515 46
Melhorias 2 120.337 2
Alarmes – Verdadeiro Positivo
2 – Brute force autentication
Ataque usando medusa (dias diferentes)
13. Conclusão
A segurança é fundamental, nos sistemas de hoje, assim como a compreensão e uso
das ferramentas SIEM.
OSSIM:
Código livre,
Poderoso, robusto e bem estruturado;
Instalação escalonada (web, BD, servidor, sensor)
Inúmeras possibilidades de configurações;
Fácil configurar as ferramentas (ex: Snort, Nessus, OSSEC);
Inúmeras possibilidade de correlação de eventos e criação de regras.
Frontend muito intuitivo e com usabilidade elevada (eventos e relatórios)
14. Analise critica / Trabalhos futuros
Análise Crítica
Falta de documentação atualizada e oficial sobre OSSIM;
Falta de recursos (hardware);
Maioria de Plugins existentes encontra-se desatualizado;
Inconsistência entre as release (erros ao reconhecer hardware).
Trabalhos Futuros
Plugins, para plataformas web.
Monitorizar redes com dispositivos móveis.
Conformidade da segurança de informação, norma PCIDSS e ISO 27001
Alternativas de alertas – usar python e representar dados em tabelas.