Palestra de Alexandro Silva - Alexos na Latinoware

378 visualizações

Publicada em

OSSIM – Monitorando ameaças tecnológicas em
tempo real.

Publicada em: Tecnologia
0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
378
No SlideShare
0
A partir de incorporações
0
Número de incorporações
2
Ações
Compartilhamentos
0
Downloads
20
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Palestra de Alexandro Silva - Alexos na Latinoware

  1. 1. OSSIM – Monitorando ameaças tecnológicas em tempo real Alexandro Silva alexos@alexos.org http://alexos.org
  2. 2. Quem é esse “cabra”? Gerente de Operações na  iBLISS Segurança e  Inteligência Professor Co­fundador da Nullbyte  Security Conference
  3. 3. Prevenção Ferramentas de proteção  estão preparadas para  acompanhar a evolução  das ameaças?
  4. 4. Ameaças
  5. 5. Ameaças Externas vs Ameaças Internas Managing cyber risks in an interconnected world http://www.dol.gov/ebsa/pdf/erisaadvisorycouncil201 5security3.pdf
  6. 6. Ameaças
  7. 7. Como vocês se  previnem hoje?
  8. 8. Prevenção
  9. 9. Prevenção
  10. 10. Prevenção
  11. 11. Prevenção Como se previnir?
  12. 12. Prevenção Usando processos e  procedimentos
  13. 13. O processo Planejar Auditar Corrigir Monitorar
  14. 14. Prevenção Auditar  Ativos  Aplicações  Sistemas  Pessoas Gerencimento de ameaças tecnológicas TDI Monitoração continuada
  15. 15. Cenário Foi possível identificar que em certos horários do  dia, ocorre um grande fluxo de pacotes saindo da  rede interna para Internet deixando a rede lenta. Após horas de análise Severino, o Sysadmin,  identificou o servidor comprometido e localizou  os seguintes arquivos dentro do diretório /tmp :  • Jonh the ripper  • Shadows e Passwd  • Um arquivo contendo senhas “crackeadas”
  16. 16. Monitorar Monitoração  Contínua de  Ameaças
  17. 17. Security Information and Event Management (SIEM) Coleta, normaliza e relaciona  informações enviada de diversas  origens: Firewalls Servidores IDS/IPS Aplicações
  18. 18. Security Information and Event Management (SIEM) A partir da correlação desses eventos  é possível gerar várias ações: Alertas (email, SMS,etc) Bloqueios Abertura de tickets Relatórios
  19. 19. Security Information and Event Management (SIEM)
  20. 20. Security Information and Event Management (SIEM)
  21. 21. Alienvault OSSIM Arquitetura
  22. 22. Alienvault OSSIM PRADS ­ Identifica hosts e serviços  passivamente. OpenVAS ­ Análise de vulnerabilidade e  correlação cruzada com alertas de IDS Snort ­ Detecção de intrusão também  usado para correlação com Nessus. Suricata ­ Sistema de detecção de intrusão  padrão do OSSIM
  23. 23. Alienvault OSSIM Tcptrack – Obtém informações sobre sessão  para correlação de ataques. Nagios ­  Monitoramento de ativos OSSEC ­ Sistema de detecção de intrusão  para hosts Munin ­  Análise de tráfego de rede . NFSen/NFDump ­ Coleta e analisa  informações de NetFlow. FProbe, gera o NetFlow de dados capturados.
  24. 24. Alienvault OSSIM https://www.alienvault.com/doc-repo/usm/security-intelligence/AlienVault_Correlation_Reference_Guide.pdf
  25. 25. Alienvault OSSIM Correlação de Eventos https://www.alienvault.com/doc-repo/usm/security-intelligence/AlienVault_Correlation_Reference_Guide.pdf
  26. 26. Alienvault OSSIM Correlação de Eventos
  27. 27. Alienvault OSSIM Brute force https://www.alienvault.com/doc-repo/usm/security-intelligence/AlienVault_Correlation_Reference_Guide.pdf
  28. 28. Alienvault OSSIM Cross-correlação https://www.alienvault.com/doc-repo/usm/security-intelligence/AlienVault_Correlation_Reference_Guide.pdf
  29. 29. Alienvault OSSIM Casos 
  30. 30. Alienvault OSSIM Negócios Fraudes 
  31. 31. Alienvault OSSIM Infraestrutura 
  32. 32. Alienvault OSSIM Segurança
  33. 33. Alienvault OSSIM Hands On
  34. 34. Ferramenta SIEM
  35. 35. Ferramenta SIEM
  36. 36. Rua Nestor Pestana, 30 cj 156 São Paulo-SP +55 11 3255-3926 Tel www.ibliss.com.br alexos@ibliss.com.br Alexandro Silva

×