SlideShare uma empresa Scribd logo
Auditoria e Controles de Segurança
Detecção de ameaças internas
com Linux Audit
Eduardo S. Scarpellini
Ivani A. Nascimento
Profª Cristiane Ikenaga
São Paulo
Setembro/2010
Sumário
● Introdução
● Estatísticas
● Distribuição dos casos de ameaça interna
● Ações associadas à sabotagem de TI
● Linux Audit
● Definição e escopo
● Arquitetura
● Exemplo
● Ferramentas de apoio
● Conclusão
● Referências
Introdução
● Descentralização e distribuição de recursos proporcionou o aumento de
sistemas informatizados.
● A Internet está presente no ambiente corporativo.
● Muitos aplicativos são desenvolvidos sem preocupação com a segurança.
● Vulnerabilidades.
● Mudanças ocorrem sem avaliação apropriada dos aspectos envolvidos.
● A má conduta por parte de usuários autorizados representa graves
ameaças a uma organização.
●
Quase metade dos incidentes de segurança são de origem interna (CSI-FBI,
Computer Crime and Security Survey - 2005).
Distribuição dos casos de ameaça interna
*Fonte: Carnegie Mellon's CERT e
US Secret Services NTAC - National
Threat Assessment Center
*Setor de TI e Telecom:
63% dos agentes maliciosos ocuparam cargos técnicos
58% dos casos foram utilizadas ferramentas sofisticadas
*Setor financeiro:
23% dos usuários maliciosos ocuparam cargos técnicos
87% dos ataques foram simples, partindo de usuários legítimos.
190 tipos de ataques internos, classificados pelo CERT em 4 categorias:
Sabotagem de TI, roubo ou alteração por ganho financeiro, roubo ou alteração de vantagem para o negócio e
diversos.
BAI, William T. (AIR FORCE INSTITUTE OF TECHNOLOGY) - DEVELOPMENT OF A METHODOLOGY FOR
CUSTOMIZING INSIDER THREAT AUDITING ON A LINUX OPERATING SYSTEM - 2010
Ações associadas a sabotagem de TI
BAI, William T. (AIR FORCE INSTITUTE OF TECHNOLOGY) - DEVELOPMENT OF A METHODOLOGY FOR
CUSTOMIZING INSIDER THREAT AUDITING ON A LINUX OPERATING SYSTEM - 2010
*Sabotagem de TI:
30% utilizaram seu próprio nome de usuário e senha
43% utilizaram contas comprometidas.
*Abuso de permissões:
88% roubo para vantagem do
negócio
75% roubo ou modificação para
ganho financeiro*Roubo de dados para ganho financeiro
85% dos usuários maliciosos usaram
seus próprios nomes de usuários e
senhas.
*Fonte: Carnegie Mellon's CERT e
US Secret Services NTAC - National
Threat Assessment Center
Linux Audit
● Auditoria de segurança é um termo usado para descrever o processo de
avaliação da postura de segurança de uma organização.
● Consiste em registro das ações dos usuários e programas de um
sistema.
● Ajuda na detecção de violações da política de segurança.
● Linux audit:
● Monitora todo o sistema de chamadas (syscalls) feitas para o kernel.
● Análise independente dos programas/user-space (não confiáveis).
● Se integra ao SELinux para registrar violações da política deste.
● Regras baseadas em arquivos, usuários, objetos (SELinux).
● Log binário com utilitários para relatório e busca de eventos.
Linux Audit: Arquitetura
BAI, William T. (AIR FORCE INSTITUTE OF TECHNOLOGY) - DEVELOPMENT OF A METHODOLOGY FOR
CUSTOMIZING INSIDER THREAT AUDITING ON A LINUX OPERATING SYSTEM - 2010
Linux Audit: Definição de escopo
● A decisão do que auditar, depende de cada organização.
● O que auditar:
● Abertura e fechamento de arquivos.
● Alterações de permissões e propriedades.
● Montagens e desmontagens de sistemas de arquivos.
● Mudanças na hora do sistema.
● Análise de tentativas de login.
● Mudanças de arquivos de configuração.
● Estabelecer política de backup de log de auditoria e manter um servidor de
logs centralizado.
Linux Audit: Exemplo
[root@localhost ~]# touch /tmp/audit-test
[root@localhost ~]# auditctl -w /tmp/audit-test
[root@localhost ~]# rm /tmp/audit-test
rm: remove regular empty file `/tmp/audit-test'? Y
[root@localhost ~]# ausearch --file /tmp/audit-test
----
time->Sat Sep 25 12:39:11 2010
type=PATH msg=audit(1285429151.975:27): item=1 name="/tmp/audit-test" inode=3375106
dev=fd:00 mode=0100644 ouid=0 ogid=0 rdev=00:00 obj=root:object_r:tmp_t:s0
type=PATH msg=audit(1285429151.975:27): item=0 name="/tmp/" inode=3375105 dev=fd:00
mode=041777 ouid=0 ogid=0 rdev=00:00 obj=system_u:object_r:tmp_t:s0
type=CWD msg=audit(1285429151.975:27): cwd="/root"
type=SYSCALL msg=audit(1285429151.975:27): arch=c000003e syscall=87 success=yes
exit=0 a0=7fffefcd7c4a a1=1 a2=2 a3=e29ab80 items=2 ppid=3163 pid=3277 auid=0 uid=0
gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 ses=2 comm="rm" exe="/bin/rm"
subj=root:system_r:unconfined_t:s0-s0:c0.c1023 key=(null)
Linux Audit: Ferramentas de apoio
● OSSEC: http://www.ossec.net/
● Snare: http://www.intersectalliance.com/projects/index.html
Conclusão
● Detectar e deter ameaças internas é um desafio para as organizações.
● Uma metodologia de avaliação de risco é indicada para identificar riscos e
vulnerabilidades.
● Ferramentas como Linux Audit auxilia a identificar tentativas de acesso e
violações de segurança (auditoria contínua).
● Com o registro dos logs é possível detectar atividades maliciosas e criar
procedimentos e controles específicos.
● O conhecimento da ameaça interna e o auxílio da auditoria ajudam as
organizações a terem um nível aceitável de risco de segurança da
informação.
Referências
● BAI, William T. (AIR FORCE INSTITUTE OF TECHNOLOGY) - Development of a
methodology for customizing insider threat auditing on a Linux Operating
System - 2010.
● HERMANS, S. - Detect insider threats with Linux auditing - 22/06/2007 -
Disponível em: http://www.linux.com/archive/feature/114422 - Acessado
em: Setembro/2010.

Mais conteúdo relacionado

Mais procurados

IPS e IDS
IPS e IDSIPS e IDS
IPS e IDS
gamargo
 
Intrusos e Honeypots
Intrusos e HoneypotsIntrusos e Honeypots
Intrusos e Honeypots
Thaís Favore
 
Nessus Scanner Vulnerabilidades
Nessus Scanner VulnerabilidadesNessus Scanner Vulnerabilidades
Nessus Scanner Vulnerabilidades
Mauro Risonho de Paula Assumpcao
 
Seguranca em Redes IDS
Seguranca em Redes IDSSeguranca em Redes IDS
Seguranca em Redes IDS
Luiz Arthur
 
Segurança de Rede
Segurança de RedeSegurança de Rede
Segurança de Rede
Marcelo Piuma
 
Inf seg redinf_semana5
Inf seg redinf_semana5Inf seg redinf_semana5
Inf seg redinf_semana5
Eduardo Santana
 
Conceito em segurança de redes de computadores
Conceito em segurança de redes de computadoresConceito em segurança de redes de computadores
Conceito em segurança de redes de computadores
Rogerio Pereira
 
Aula03 – Códigos Maliciosos e Tipos de Ataques
Aula03 – Códigos Maliciosos e Tipos de AtaquesAula03 – Códigos Maliciosos e Tipos de Ataques
Aula03 – Códigos Maliciosos e Tipos de Ataques
Carlos Veiga
 
Nota de aula seguranca da informacao - redes de computadores
Nota de aula   seguranca da informacao - redes de computadoresNota de aula   seguranca da informacao - redes de computadores
Nota de aula seguranca da informacao - redes de computadores
felipetsi
 
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoPalestra cnasi 2013 s.video
Palestra cnasi 2013 s.video
Andre Takegawa
 
Backtrack 4 nessus
Backtrack 4 nessusBacktrack 4 nessus
Segurança de redes - Conceitos de firewall
Segurança de redes - Conceitos de firewall Segurança de redes - Conceitos de firewall
Segurança de redes - Conceitos de firewall
Cleber Ramos
 
Firewall
FirewallFirewall
Firewall
danielrcom
 
Segurança em Sistemas Distribuídos
Segurança em Sistemas DistribuídosSegurança em Sistemas Distribuídos
Segurança em Sistemas Distribuídos
Carlos Eduardo Pinheiro
 
Proteção e segurança do Sistema Operacional
Proteção e segurança do Sistema OperacionalProteção e segurança do Sistema Operacional
Proteção e segurança do Sistema Operacional
Amanda Luz
 
Segurança em sistemas distribuidos
Segurança em sistemas distribuidosSegurança em sistemas distribuidos
Segurança em sistemas distribuidos
Jerry Adrianni das Neves
 
Segurança Física de Servidores e Redes
Segurança Física de Servidores e RedesSegurança Física de Servidores e Redes
Segurança Física de Servidores e Redes
elliando dias
 
Firewall
FirewallFirewall
Aula 8.0 - Segurança
Aula 8.0 - SegurançaAula 8.0 - Segurança
Aula 8.0 - Segurança
Andrei Carniel
 
Sistemas Distribuídos - Aspectos de Segurança em Sistemas Distribuídos e JAAS
Sistemas Distribuídos - Aspectos de Segurança em Sistemas Distribuídos e JAASSistemas Distribuídos - Aspectos de Segurança em Sistemas Distribuídos e JAAS
Sistemas Distribuídos - Aspectos de Segurança em Sistemas Distribuídos e JAAS
Adriano Teixeira de Souza
 

Mais procurados (20)

IPS e IDS
IPS e IDSIPS e IDS
IPS e IDS
 
Intrusos e Honeypots
Intrusos e HoneypotsIntrusos e Honeypots
Intrusos e Honeypots
 
Nessus Scanner Vulnerabilidades
Nessus Scanner VulnerabilidadesNessus Scanner Vulnerabilidades
Nessus Scanner Vulnerabilidades
 
Seguranca em Redes IDS
Seguranca em Redes IDSSeguranca em Redes IDS
Seguranca em Redes IDS
 
Segurança de Rede
Segurança de RedeSegurança de Rede
Segurança de Rede
 
Inf seg redinf_semana5
Inf seg redinf_semana5Inf seg redinf_semana5
Inf seg redinf_semana5
 
Conceito em segurança de redes de computadores
Conceito em segurança de redes de computadoresConceito em segurança de redes de computadores
Conceito em segurança de redes de computadores
 
Aula03 – Códigos Maliciosos e Tipos de Ataques
Aula03 – Códigos Maliciosos e Tipos de AtaquesAula03 – Códigos Maliciosos e Tipos de Ataques
Aula03 – Códigos Maliciosos e Tipos de Ataques
 
Nota de aula seguranca da informacao - redes de computadores
Nota de aula   seguranca da informacao - redes de computadoresNota de aula   seguranca da informacao - redes de computadores
Nota de aula seguranca da informacao - redes de computadores
 
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoPalestra cnasi 2013 s.video
Palestra cnasi 2013 s.video
 
Backtrack 4 nessus
Backtrack 4 nessusBacktrack 4 nessus
Backtrack 4 nessus
 
Segurança de redes - Conceitos de firewall
Segurança de redes - Conceitos de firewall Segurança de redes - Conceitos de firewall
Segurança de redes - Conceitos de firewall
 
Firewall
FirewallFirewall
Firewall
 
Segurança em Sistemas Distribuídos
Segurança em Sistemas DistribuídosSegurança em Sistemas Distribuídos
Segurança em Sistemas Distribuídos
 
Proteção e segurança do Sistema Operacional
Proteção e segurança do Sistema OperacionalProteção e segurança do Sistema Operacional
Proteção e segurança do Sistema Operacional
 
Segurança em sistemas distribuidos
Segurança em sistemas distribuidosSegurança em sistemas distribuidos
Segurança em sistemas distribuidos
 
Segurança Física de Servidores e Redes
Segurança Física de Servidores e RedesSegurança Física de Servidores e Redes
Segurança Física de Servidores e Redes
 
Firewall
FirewallFirewall
Firewall
 
Aula 8.0 - Segurança
Aula 8.0 - SegurançaAula 8.0 - Segurança
Aula 8.0 - Segurança
 
Sistemas Distribuídos - Aspectos de Segurança em Sistemas Distribuídos e JAAS
Sistemas Distribuídos - Aspectos de Segurança em Sistemas Distribuídos e JAASSistemas Distribuídos - Aspectos de Segurança em Sistemas Distribuídos e JAAS
Sistemas Distribuídos - Aspectos de Segurança em Sistemas Distribuídos e JAAS
 

Destaque

Seudoquiste pancreático
Seudoquiste pancreáticoSeudoquiste pancreático
Seudoquiste pancreático
Torresfabian1999
 
Gestão de Projetos e Programas - Aula # 16
Gestão de Projetos e Programas - Aula # 16Gestão de Projetos e Programas - Aula # 16
Gestão de Projetos e Programas - Aula # 16
Ethel Capuano
 
31 Video Content Strategies
31 Video Content Strategies31 Video Content Strategies
31 Video Content Strategies
Catherine Heeg
 
Healthminds - Open Class Cenários e Conjuntura Econômica
Healthminds - Open Class  Cenários e Conjuntura Econômica Healthminds - Open Class  Cenários e Conjuntura Econômica
Healthminds - Open Class Cenários e Conjuntura Econômica
HealthMinds Academy
 
P. Litvinas. OpenGeo Suite - atvira platforma jūsų sprendimams. GIS - paprast...
P. Litvinas. OpenGeo Suite - atvira platforma jūsų sprendimams. GIS - paprast...P. Litvinas. OpenGeo Suite - atvira platforma jūsų sprendimams. GIS - paprast...
P. Litvinas. OpenGeo Suite - atvira platforma jūsų sprendimams. GIS - paprast...
opengislt
 
Social Machines Democratization
Social Machines DemocratizationSocial Machines Democratization
Social Machines Democratization
David De Roure
 
Magazyn THEY.PL - nr 3 (2012)
Magazyn THEY.PL - nr 3 (2012)Magazyn THEY.PL - nr 3 (2012)
Magazyn THEY.PL - nr 3 (2012)
THEY.PL - Digital Marketing Agency
 
Introdução websemantica (minicurso)
Introdução websemantica (minicurso)Introdução websemantica (minicurso)
Introdução websemantica (minicurso)
Norton Guimarães
 
Handout 2 Texts Brazil
Handout 2 Texts BrazilHandout 2 Texts Brazil
Handout 2 Texts Brazil
James Dunne
 
Makalah peridarditis
Makalah peridarditisMakalah peridarditis
Makalah peridarditis
Operator Warnet Vast Raha
 
Algebra cuaderno2eso ies bahia
Algebra cuaderno2eso ies bahiaAlgebra cuaderno2eso ies bahia
Algebra cuaderno2eso ies bahia
mgarmon965
 
Gestão de Projetos e Programas - Aula # 14
Gestão de Projetos e Programas - Aula # 14Gestão de Projetos e Programas - Aula # 14
Gestão de Projetos e Programas - Aula # 14
Ethel Capuano
 
Jornal
JornalJornal
วิธีติดตั้ง Windows10 เเละ eset nod32
วิธีติดตั้ง Windows10 เเละ eset nod32วิธีติดตั้ง Windows10 เเละ eset nod32
วิธีติดตั้ง Windows10 เเละ eset nod32
พ่อ อาชีวะ
 
Search at Tokopedia
Search at TokopediaSearch at Tokopedia
Search at Tokopedia
Supreet Sethi
 
Digital Voltmeter displaying voltage level on a seven segment display and com...
Digital Voltmeter displaying voltage level on a seven segment display and com...Digital Voltmeter displaying voltage level on a seven segment display and com...
Digital Voltmeter displaying voltage level on a seven segment display and com...
Karthik Rathinavel
 
Representacion de curvas
Representacion de curvasRepresentacion de curvas
Representacion de curvas
mgarmon965
 
Big Data and Social Sciences
Big Data and Social SciencesBig Data and Social Sciences
Big Data and Social Sciences
David De Roure
 
B2B case study: How Martrain targeted the clinicians when selling VMware’s VD...
B2B case study: How Martrain targeted the clinicians when selling VMware’s VD...B2B case study: How Martrain targeted the clinicians when selling VMware’s VD...
B2B case study: How Martrain targeted the clinicians when selling VMware’s VD...
B2B Marketing
 
Cover depan fail panitia 2015
Cover depan fail panitia 2015Cover depan fail panitia 2015
Cover depan fail panitia 2015
Lyda Hassan
 

Destaque (20)

Seudoquiste pancreático
Seudoquiste pancreáticoSeudoquiste pancreático
Seudoquiste pancreático
 
Gestão de Projetos e Programas - Aula # 16
Gestão de Projetos e Programas - Aula # 16Gestão de Projetos e Programas - Aula # 16
Gestão de Projetos e Programas - Aula # 16
 
31 Video Content Strategies
31 Video Content Strategies31 Video Content Strategies
31 Video Content Strategies
 
Healthminds - Open Class Cenários e Conjuntura Econômica
Healthminds - Open Class  Cenários e Conjuntura Econômica Healthminds - Open Class  Cenários e Conjuntura Econômica
Healthminds - Open Class Cenários e Conjuntura Econômica
 
P. Litvinas. OpenGeo Suite - atvira platforma jūsų sprendimams. GIS - paprast...
P. Litvinas. OpenGeo Suite - atvira platforma jūsų sprendimams. GIS - paprast...P. Litvinas. OpenGeo Suite - atvira platforma jūsų sprendimams. GIS - paprast...
P. Litvinas. OpenGeo Suite - atvira platforma jūsų sprendimams. GIS - paprast...
 
Social Machines Democratization
Social Machines DemocratizationSocial Machines Democratization
Social Machines Democratization
 
Magazyn THEY.PL - nr 3 (2012)
Magazyn THEY.PL - nr 3 (2012)Magazyn THEY.PL - nr 3 (2012)
Magazyn THEY.PL - nr 3 (2012)
 
Introdução websemantica (minicurso)
Introdução websemantica (minicurso)Introdução websemantica (minicurso)
Introdução websemantica (minicurso)
 
Handout 2 Texts Brazil
Handout 2 Texts BrazilHandout 2 Texts Brazil
Handout 2 Texts Brazil
 
Makalah peridarditis
Makalah peridarditisMakalah peridarditis
Makalah peridarditis
 
Algebra cuaderno2eso ies bahia
Algebra cuaderno2eso ies bahiaAlgebra cuaderno2eso ies bahia
Algebra cuaderno2eso ies bahia
 
Gestão de Projetos e Programas - Aula # 14
Gestão de Projetos e Programas - Aula # 14Gestão de Projetos e Programas - Aula # 14
Gestão de Projetos e Programas - Aula # 14
 
Jornal
JornalJornal
Jornal
 
วิธีติดตั้ง Windows10 เเละ eset nod32
วิธีติดตั้ง Windows10 เเละ eset nod32วิธีติดตั้ง Windows10 เเละ eset nod32
วิธีติดตั้ง Windows10 เเละ eset nod32
 
Search at Tokopedia
Search at TokopediaSearch at Tokopedia
Search at Tokopedia
 
Digital Voltmeter displaying voltage level on a seven segment display and com...
Digital Voltmeter displaying voltage level on a seven segment display and com...Digital Voltmeter displaying voltage level on a seven segment display and com...
Digital Voltmeter displaying voltage level on a seven segment display and com...
 
Representacion de curvas
Representacion de curvasRepresentacion de curvas
Representacion de curvas
 
Big Data and Social Sciences
Big Data and Social SciencesBig Data and Social Sciences
Big Data and Social Sciences
 
B2B case study: How Martrain targeted the clinicians when selling VMware’s VD...
B2B case study: How Martrain targeted the clinicians when selling VMware’s VD...B2B case study: How Martrain targeted the clinicians when selling VMware’s VD...
B2B case study: How Martrain targeted the clinicians when selling VMware’s VD...
 
Cover depan fail panitia 2015
Cover depan fail panitia 2015Cover depan fail panitia 2015
Cover depan fail panitia 2015
 

Semelhante a Detecção de ameaças internas com Linux Audit

Ethical Hacking - Campus Party Brasília 2017
Ethical Hacking - Campus Party Brasília 2017Ethical Hacking - Campus Party Brasília 2017
Ethical Hacking - Campus Party Brasília 2017
Alcyon Ferreira de Souza Junior, MSc
 
Segurança em Servidores Linux - Ênfase em RHEL
Segurança em Servidores Linux - Ênfase em RHELSegurança em Servidores Linux - Ênfase em RHEL
Segurança em Servidores Linux - Ênfase em RHEL
Alessandro Silva
 
Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test   roadsec-bh - testes de segurança, não comece pelo fim!Qa test   roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Welington Monteiro
 
Pentest com Kali Linux - LatinoWare 2015
Pentest com Kali Linux  - LatinoWare 2015Pentest com Kali Linux  - LatinoWare 2015
Pentest com Kali Linux - LatinoWare 2015
Alcyon Ferreira de Souza Junior, MSc
 
Palestras Como Ele Achou Estas Falhas V.1.0
Palestras Como Ele Achou Estas Falhas V.1.0Palestras Como Ele Achou Estas Falhas V.1.0
Palestras Como Ele Achou Estas Falhas V.1.0
Mauro Risonho de Paula Assumpcao
 
Auditoria de sistemas de informação
Auditoria de sistemas de informaçãoAuditoria de sistemas de informação
Auditoria de sistemas de informação
Silvino Neto
 
Seguranca da Informação -Práticas de segurança
Seguranca da Informação -Práticas de segurançaSeguranca da Informação -Práticas de segurança
Seguranca da Informação -Práticas de segurança
Luiz Arthur
 
Controle de Acesso ao Datacenter
Controle de Acesso ao DatacenterControle de Acesso ao Datacenter
Controle de Acesso ao Datacenter
NetBR
 
Cissp
CisspCissp
Segurança em Sistemas Baseados em Redes de Computadores
Segurança em Sistemas Baseados em Redes de ComputadoresSegurança em Sistemas Baseados em Redes de Computadores
Segurança em Sistemas Baseados em Redes de Computadores
Bruno Dos Anjos Silveira
 
Desenvolvimento de exploits
Desenvolvimento de exploitsDesenvolvimento de exploits
Desenvolvimento de exploits
NaraBarros10
 
Resposta a Incidentes de Segurança com ferramentas SIEM
Resposta a Incidentes de Segurança com ferramentas SIEMResposta a Incidentes de Segurança com ferramentas SIEM
Resposta a Incidentes de Segurança com ferramentas SIEM
Spark Security
 
Projeto de Avaliação de Segurança de TI
Projeto de Avaliação de Segurança de TIProjeto de Avaliação de Segurança de TI
Projeto de Avaliação de Segurança de TI
Messias Dias Teixeira
 
Controle de Acesso ao Datacenter
Controle de Acesso ao DatacenterControle de Acesso ao Datacenter
Controle de Acesso ao Datacenter
NetBR
 
Monitoramento de malware em Windows NT 6.x - 64bits
Monitoramento de malware em Windows NT 6.x - 64bitsMonitoramento de malware em Windows NT 6.x - 64bits
Monitoramento de malware em Windows NT 6.x - 64bits
Arthur Paixão
 
Análise de Malware
Análise de MalwareAnálise de Malware
Análise de Malware
Renato Basante Borbolla
 
Ferramentas livres para teste de invasao
Ferramentas livres para teste de invasao Ferramentas livres para teste de invasao
Ferramentas livres para teste de invasao
gleydsonslim
 
[CLASS 2014] Palestra Técnica - Marcelo Branquinho e Jan Seidl
[CLASS 2014] Palestra Técnica - Marcelo Branquinho e Jan Seidl[CLASS 2014] Palestra Técnica - Marcelo Branquinho e Jan Seidl
[CLASS 2014] Palestra Técnica - Marcelo Branquinho e Jan Seidl
TI Safe
 
Global Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Global Azure Bootcamp - Recursos de Segurança para Aplicações no AzureGlobal Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Global Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Rubens Guimarães - MTAC MVP
 
[Pt br] - 36751 - mitre att&ck - azure
[Pt br] - 36751 - mitre att&ck - azure[Pt br] - 36751 - mitre att&ck - azure
[Pt br] - 36751 - mitre att&ck - azure
Enrique Gustavo Dutra
 

Semelhante a Detecção de ameaças internas com Linux Audit (20)

Ethical Hacking - Campus Party Brasília 2017
Ethical Hacking - Campus Party Brasília 2017Ethical Hacking - Campus Party Brasília 2017
Ethical Hacking - Campus Party Brasília 2017
 
Segurança em Servidores Linux - Ênfase em RHEL
Segurança em Servidores Linux - Ênfase em RHELSegurança em Servidores Linux - Ênfase em RHEL
Segurança em Servidores Linux - Ênfase em RHEL
 
Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test   roadsec-bh - testes de segurança, não comece pelo fim!Qa test   roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!
 
Pentest com Kali Linux - LatinoWare 2015
Pentest com Kali Linux  - LatinoWare 2015Pentest com Kali Linux  - LatinoWare 2015
Pentest com Kali Linux - LatinoWare 2015
 
Palestras Como Ele Achou Estas Falhas V.1.0
Palestras Como Ele Achou Estas Falhas V.1.0Palestras Como Ele Achou Estas Falhas V.1.0
Palestras Como Ele Achou Estas Falhas V.1.0
 
Auditoria de sistemas de informação
Auditoria de sistemas de informaçãoAuditoria de sistemas de informação
Auditoria de sistemas de informação
 
Seguranca da Informação -Práticas de segurança
Seguranca da Informação -Práticas de segurançaSeguranca da Informação -Práticas de segurança
Seguranca da Informação -Práticas de segurança
 
Controle de Acesso ao Datacenter
Controle de Acesso ao DatacenterControle de Acesso ao Datacenter
Controle de Acesso ao Datacenter
 
Cissp
CisspCissp
Cissp
 
Segurança em Sistemas Baseados em Redes de Computadores
Segurança em Sistemas Baseados em Redes de ComputadoresSegurança em Sistemas Baseados em Redes de Computadores
Segurança em Sistemas Baseados em Redes de Computadores
 
Desenvolvimento de exploits
Desenvolvimento de exploitsDesenvolvimento de exploits
Desenvolvimento de exploits
 
Resposta a Incidentes de Segurança com ferramentas SIEM
Resposta a Incidentes de Segurança com ferramentas SIEMResposta a Incidentes de Segurança com ferramentas SIEM
Resposta a Incidentes de Segurança com ferramentas SIEM
 
Projeto de Avaliação de Segurança de TI
Projeto de Avaliação de Segurança de TIProjeto de Avaliação de Segurança de TI
Projeto de Avaliação de Segurança de TI
 
Controle de Acesso ao Datacenter
Controle de Acesso ao DatacenterControle de Acesso ao Datacenter
Controle de Acesso ao Datacenter
 
Monitoramento de malware em Windows NT 6.x - 64bits
Monitoramento de malware em Windows NT 6.x - 64bitsMonitoramento de malware em Windows NT 6.x - 64bits
Monitoramento de malware em Windows NT 6.x - 64bits
 
Análise de Malware
Análise de MalwareAnálise de Malware
Análise de Malware
 
Ferramentas livres para teste de invasao
Ferramentas livres para teste de invasao Ferramentas livres para teste de invasao
Ferramentas livres para teste de invasao
 
[CLASS 2014] Palestra Técnica - Marcelo Branquinho e Jan Seidl
[CLASS 2014] Palestra Técnica - Marcelo Branquinho e Jan Seidl[CLASS 2014] Palestra Técnica - Marcelo Branquinho e Jan Seidl
[CLASS 2014] Palestra Técnica - Marcelo Branquinho e Jan Seidl
 
Global Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Global Azure Bootcamp - Recursos de Segurança para Aplicações no AzureGlobal Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Global Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
 
[Pt br] - 36751 - mitre att&ck - azure
[Pt br] - 36751 - mitre att&ck - azure[Pt br] - 36751 - mitre att&ck - azure
[Pt br] - 36751 - mitre att&ck - azure
 

Mais de Ivani Nascimento

Personalizando o ambiente do usuário
Personalizando o ambiente do usuárioPersonalizando o ambiente do usuário
Personalizando o ambiente do usuário
Ivani Nascimento
 
Arquivos de Inicialização do Linux
Arquivos de Inicialização do LinuxArquivos de Inicialização do Linux
Arquivos de Inicialização do Linux
Ivani Nascimento
 
Dispositivos de Bloco
Dispositivos de BlocoDispositivos de Bloco
Dispositivos de Bloco
Ivani Nascimento
 
Operadores de redirecionamento
Operadores de redirecionamentoOperadores de redirecionamento
Operadores de redirecionamento
Ivani Nascimento
 
Obtendo ajuda no Linux
Obtendo ajuda no LinuxObtendo ajuda no Linux
Obtendo ajuda no Linux
Ivani Nascimento
 
Editor de texto VI
Editor de texto VIEditor de texto VI
Editor de texto VI
Ivani Nascimento
 
Estrutura de diretorios
Estrutura de diretoriosEstrutura de diretorios
Estrutura de diretorios
Ivani Nascimento
 
Comandos linux
Comandos linuxComandos linux
Comandos linux
Ivani Nascimento
 
Sistemas de arquivos
Sistemas de arquivosSistemas de arquivos
Sistemas de arquivos
Ivani Nascimento
 
Introdução Linux
Introdução LinuxIntrodução Linux
Introdução Linux
Ivani Nascimento
 
Palestra Netiqueta
Palestra NetiquetaPalestra Netiqueta
Palestra Netiqueta
Ivani Nascimento
 
Minicurso Samba
Minicurso SambaMinicurso Samba
Minicurso Samba
Ivani Nascimento
 

Mais de Ivani Nascimento (12)

Personalizando o ambiente do usuário
Personalizando o ambiente do usuárioPersonalizando o ambiente do usuário
Personalizando o ambiente do usuário
 
Arquivos de Inicialização do Linux
Arquivos de Inicialização do LinuxArquivos de Inicialização do Linux
Arquivos de Inicialização do Linux
 
Dispositivos de Bloco
Dispositivos de BlocoDispositivos de Bloco
Dispositivos de Bloco
 
Operadores de redirecionamento
Operadores de redirecionamentoOperadores de redirecionamento
Operadores de redirecionamento
 
Obtendo ajuda no Linux
Obtendo ajuda no LinuxObtendo ajuda no Linux
Obtendo ajuda no Linux
 
Editor de texto VI
Editor de texto VIEditor de texto VI
Editor de texto VI
 
Estrutura de diretorios
Estrutura de diretoriosEstrutura de diretorios
Estrutura de diretorios
 
Comandos linux
Comandos linuxComandos linux
Comandos linux
 
Sistemas de arquivos
Sistemas de arquivosSistemas de arquivos
Sistemas de arquivos
 
Introdução Linux
Introdução LinuxIntrodução Linux
Introdução Linux
 
Palestra Netiqueta
Palestra NetiquetaPalestra Netiqueta
Palestra Netiqueta
 
Minicurso Samba
Minicurso SambaMinicurso Samba
Minicurso Samba
 

Detecção de ameaças internas com Linux Audit

  • 1. Auditoria e Controles de Segurança Detecção de ameaças internas com Linux Audit Eduardo S. Scarpellini Ivani A. Nascimento Profª Cristiane Ikenaga São Paulo Setembro/2010
  • 2. Sumário ● Introdução ● Estatísticas ● Distribuição dos casos de ameaça interna ● Ações associadas à sabotagem de TI ● Linux Audit ● Definição e escopo ● Arquitetura ● Exemplo ● Ferramentas de apoio ● Conclusão ● Referências
  • 3. Introdução ● Descentralização e distribuição de recursos proporcionou o aumento de sistemas informatizados. ● A Internet está presente no ambiente corporativo. ● Muitos aplicativos são desenvolvidos sem preocupação com a segurança. ● Vulnerabilidades. ● Mudanças ocorrem sem avaliação apropriada dos aspectos envolvidos. ● A má conduta por parte de usuários autorizados representa graves ameaças a uma organização. ● Quase metade dos incidentes de segurança são de origem interna (CSI-FBI, Computer Crime and Security Survey - 2005).
  • 4. Distribuição dos casos de ameaça interna *Fonte: Carnegie Mellon's CERT e US Secret Services NTAC - National Threat Assessment Center *Setor de TI e Telecom: 63% dos agentes maliciosos ocuparam cargos técnicos 58% dos casos foram utilizadas ferramentas sofisticadas *Setor financeiro: 23% dos usuários maliciosos ocuparam cargos técnicos 87% dos ataques foram simples, partindo de usuários legítimos. 190 tipos de ataques internos, classificados pelo CERT em 4 categorias: Sabotagem de TI, roubo ou alteração por ganho financeiro, roubo ou alteração de vantagem para o negócio e diversos. BAI, William T. (AIR FORCE INSTITUTE OF TECHNOLOGY) - DEVELOPMENT OF A METHODOLOGY FOR CUSTOMIZING INSIDER THREAT AUDITING ON A LINUX OPERATING SYSTEM - 2010
  • 5. Ações associadas a sabotagem de TI BAI, William T. (AIR FORCE INSTITUTE OF TECHNOLOGY) - DEVELOPMENT OF A METHODOLOGY FOR CUSTOMIZING INSIDER THREAT AUDITING ON A LINUX OPERATING SYSTEM - 2010 *Sabotagem de TI: 30% utilizaram seu próprio nome de usuário e senha 43% utilizaram contas comprometidas. *Abuso de permissões: 88% roubo para vantagem do negócio 75% roubo ou modificação para ganho financeiro*Roubo de dados para ganho financeiro 85% dos usuários maliciosos usaram seus próprios nomes de usuários e senhas. *Fonte: Carnegie Mellon's CERT e US Secret Services NTAC - National Threat Assessment Center
  • 6. Linux Audit ● Auditoria de segurança é um termo usado para descrever o processo de avaliação da postura de segurança de uma organização. ● Consiste em registro das ações dos usuários e programas de um sistema. ● Ajuda na detecção de violações da política de segurança. ● Linux audit: ● Monitora todo o sistema de chamadas (syscalls) feitas para o kernel. ● Análise independente dos programas/user-space (não confiáveis). ● Se integra ao SELinux para registrar violações da política deste. ● Regras baseadas em arquivos, usuários, objetos (SELinux). ● Log binário com utilitários para relatório e busca de eventos.
  • 7. Linux Audit: Arquitetura BAI, William T. (AIR FORCE INSTITUTE OF TECHNOLOGY) - DEVELOPMENT OF A METHODOLOGY FOR CUSTOMIZING INSIDER THREAT AUDITING ON A LINUX OPERATING SYSTEM - 2010
  • 8. Linux Audit: Definição de escopo ● A decisão do que auditar, depende de cada organização. ● O que auditar: ● Abertura e fechamento de arquivos. ● Alterações de permissões e propriedades. ● Montagens e desmontagens de sistemas de arquivos. ● Mudanças na hora do sistema. ● Análise de tentativas de login. ● Mudanças de arquivos de configuração. ● Estabelecer política de backup de log de auditoria e manter um servidor de logs centralizado.
  • 9. Linux Audit: Exemplo [root@localhost ~]# touch /tmp/audit-test [root@localhost ~]# auditctl -w /tmp/audit-test [root@localhost ~]# rm /tmp/audit-test rm: remove regular empty file `/tmp/audit-test'? Y [root@localhost ~]# ausearch --file /tmp/audit-test ---- time->Sat Sep 25 12:39:11 2010 type=PATH msg=audit(1285429151.975:27): item=1 name="/tmp/audit-test" inode=3375106 dev=fd:00 mode=0100644 ouid=0 ogid=0 rdev=00:00 obj=root:object_r:tmp_t:s0 type=PATH msg=audit(1285429151.975:27): item=0 name="/tmp/" inode=3375105 dev=fd:00 mode=041777 ouid=0 ogid=0 rdev=00:00 obj=system_u:object_r:tmp_t:s0 type=CWD msg=audit(1285429151.975:27): cwd="/root" type=SYSCALL msg=audit(1285429151.975:27): arch=c000003e syscall=87 success=yes exit=0 a0=7fffefcd7c4a a1=1 a2=2 a3=e29ab80 items=2 ppid=3163 pid=3277 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 ses=2 comm="rm" exe="/bin/rm" subj=root:system_r:unconfined_t:s0-s0:c0.c1023 key=(null)
  • 10. Linux Audit: Ferramentas de apoio ● OSSEC: http://www.ossec.net/ ● Snare: http://www.intersectalliance.com/projects/index.html
  • 11. Conclusão ● Detectar e deter ameaças internas é um desafio para as organizações. ● Uma metodologia de avaliação de risco é indicada para identificar riscos e vulnerabilidades. ● Ferramentas como Linux Audit auxilia a identificar tentativas de acesso e violações de segurança (auditoria contínua). ● Com o registro dos logs é possível detectar atividades maliciosas e criar procedimentos e controles específicos. ● O conhecimento da ameaça interna e o auxílio da auditoria ajudam as organizações a terem um nível aceitável de risco de segurança da informação.
  • 12. Referências ● BAI, William T. (AIR FORCE INSTITUTE OF TECHNOLOGY) - Development of a methodology for customizing insider threat auditing on a Linux Operating System - 2010. ● HERMANS, S. - Detect insider threats with Linux auditing - 22/06/2007 - Disponível em: http://www.linux.com/archive/feature/114422 - Acessado em: Setembro/2010.