4. Nuevos modelos de seguridad
• “Sexy defense” Ian Amit
• “Intrusion Detection Along the Kill Chain:
Why Your Detection System Sucks and
What To Do About It” John Flynn
6. Importancia de….
• “84% de los incidentes de seguridad
(intrusiones exitosas) se han reflejado en
los logs” *
• “Sólo el 8% de los incidentes de seguridad
detectados por las empresas han sido por
minar sus logs”*
* [Verizon 2012]
8. Y ahora? Que hago?
Cuida, quiere y “apapacha” a tus
logs :)
9. ¿Cómo?
Modelo
§ LogManagement
(Reac0vo)
— “Jefe!
Fueron
los
hackers!”,
§ Abarca
todos
los
logs
Modelos
– SIEM
(Proac0vo)
• “Jefe!
Hubo
intentos
de
ataque
en
X
y
Y
vector…”
• Sólo
seguridad
12. Lo bueno (ventajas)
• Ventaja visualización de eventos
(gráficas)
• “Inteligencia” en la detección de
eventos.
• Compliance (PCI, ISO etc) / Auditoria.
• Forense
15. Obligación del SIEM,
(para llamarse así)
1. Recolección de datos
2. Normalización
3. Correlación
4. Generación y envio de informes (reportes)
5. Soporte en el flujo de seguridad en el
manejo a incidentes (SOC, respuesta a
incidentes)
19. Regla de oro #1:
“No basarse en la tecnología,
sino en la inteligencia y el
pentest”
20. Receta
1. Que deseo resolver con el SIEM
2. Elegir el alcance de los datos a recolectar
(sistemas)
3. Desarrollar la arquitectura
4. Crear un sistema de Log Management y
después un SIEM J
5. Generar casos de uso del SIEM
27. Fases de implementación
• Fase 2: Llegar al SIEM como tal
-Definir primeras pruebas de filtrado
— Ejecutar primeros pasos de filtrado de
logs
– (auténticaciones fallidas,web hacking, core dumps)
30. Casi Final! “Inteligencia” del
SIEM
¿Cómo?
• Vía el framework del SIEM
• Todo es un evento (normalización)
31. Casos de uso, ejemplos:
• “Los usuarios no deben reenviar automáticamente correo
fuera de la organización”
Evento 1: Email de entrada, dominio del emisor es ejemplo.com
Evento2: Email de salida, donde:
• SUBJECT es el mismo que Evento1 pero con FWD: al inicio
(contatenado)
• SRCUSER es el mismo que Event 1
• DST USER (el dominio NO es ejemplo.com)
Evento 3: sucede a los 3 segundos del evento 1
32. Casos de uso, ejemplos:
• “Detección de un escaneo de puertos en el ids y firewall ”
If the system sees an event E1 where
E1.eventType=portscan followed by an event E2 where
E2.srcip=E1.srcip and E2.dstip=E1.dstip and
E2.eventType=fw.reject then doSomething
33. Casos de uso, ejemplos:
“Detección de puertos, vía escaneo”
if (event E1.dstport != (Known_Open_Ports on event
E1.dstip)) then doSomething
34. Pensemos/Imaginación
• Fuentes a integrar:
• Nuestras propias fuentes:
§ Horarios de trabajo
§ Ciclos de vacaciones
§ Segmentos de red
§ Comportamiento típico de nuestras aplicaciones
• SANS TOP 7 logs reports
35. Más casos
Detección de equipo comprometido:
Impresora HP como punto ciego, la
cual fue comprometida
36. Más casos
"Un dispositivo envía trafico HTTP/
SSH/FTP etc en lugar de LPD/IPR,
IPP"
Fuentes:
Cruzar: NetFlow + Firewall + Sniffer
37. Pensemos/Imaginación
• Identificar autenticación (fallida o exitosa) a más
de 5 computadoras en un periodo de 5 minutos
• Un usuario se autentica a la VPN en diferentes
computadores en menos de 6 horas
• Se establece una conexión de VPN desde una
computadora que no está en el sistema de
administración activos y no es conocida por el
servidor de antivirus
38. Pensemos/Imaginación
• Identifcar una cuenta que se ha firmado en una
PC que no corresponde a su área
• (Idem en segmentos de la red)
• Desde la DMZ identificar una dirección de red
que se comunique a más de 1 host por
diferentes puertos en menos de 5 minutos.
• SPAM proveniente de las mismas IPs
detectadas por el sistema IDS
39. Herramientas existentes
• Recolección de logs
§ NXLog, Syslog-ng, logger,
Apache2Syslog
• Pre-procesamiento de logs:
LogPP
• Storage:
§ PostgreSQL, MongoDB, etc
• Análisis
§ R
§ Hoja de cálculo
§ LogStash
• Inteligencia
§ OSSEC
§ OSSIM
§ Echidna
§ iView
• Correlación
§ SEC y Jess
§ Echidna
§ NXLog
• Reporteo
§ Graphviz y Secviz.org
40. Conlusión
• Usar y encender tus Logs
• Primero un LM antes de SIEM
• No hay “balas de plata”
• Gana el pensamiento vs la tecnología
• Menos es más
• Casos de uso , caso de uso, casos de
uso!.
41. Referencias
• Kent,Karen;Souppaya, Murugiah.Guide to Computer
Security Log Management, NIST.
• Chuvakin, Anton; Schmidt, Kevin; Phillips, Chris. Logging
and Log Management: The Authoritative Guide to
Dealing with Syslog, Audit Logs, Events, Alerts and
other IT ‘Noise’.
• Zeltser,Lenny;Chuvakin, Anton;Critical Log Review
Checklist for Security Incidents
• Sweeny, Jonathan. Creating Your Own SIEM and
Incident Response Toolkit Using Open Source Tools,
SANS.
42. Gracias por su atención!
Dudas?
Víctor Gómez
— victor@vgomez.com
— @bytevic