1) O documento discute a abordagem de Network Security Monitoring (NSM) para detecção de intrusões, argumentando que os alertas de detecção de intrusão não são suficientes devido ao tempo entre a invasão e a detecção. 2) Apresenta o conceito de NSM, que envolve a coleta abrangente de dados de rede, detecção baseada em indicadores de comprometimento e anomalias, e análise para identificar ameaças e quantificar riscos. 3) Discutem como implementar um sistema NSM usando ferra

1. NSM (Network Security Monitoring) - Porque a invasão é
“inevitável" e alertas somente não suficiente !
Rodrigo “Sp0oKeR” Montoro
@spookerlabs

2. $ whois Rodrigo “Sp0oKeR” Montoro
● Security System Administrator @ Sucuri
– Centenas de Web Application Firewall
– Milhões alertas mês (Disneyland =) )
● Autor de 2 patentes pendentes
– Detecção Documentos maliciosos
– Análise Cabeçalhos HTTP
● Palestrante em diversos eventos
– FISL, Latinoware, CNASI, SecTor (Canada), H2HC, Bsides (São Paulo e Las
Vegas), Source Seattle e Boston (EUA), Toorcon (EUA), Zoncon (EUA).
● Triatleta / Corredor de Trilhas

3. MOTIVAÇÃO

4. AGENDA
● Atual problema na detecção de um intrusão
● O conceito de NSM
● Como colocar isso em prática ?
● Perguntas

5. Atual problema na detecção ...

6. Como funciona um invasão
● Antes
● Durante
● Depois

7. Conceito de Detecção / Prevenção Intrusão
Atacantes eventualmente terão sucesso.

8. Tempo é o fator chave ...

9. Sistemas de proteção genérico

10. Exemplo simples de genérico, “mundo fragmentação” ...
Sistemas operacionais diferentes, necessitam configurações de
proteção diferente

11. Timeout fragmentação da proteção < dispositivo

12. Timeout fragmentação da proteção > dispositivo

13. De brinde tem o overlaping ...

14. E o grande “problema” da maioria das proteções …

15. Alerta é apenas uma foto do momento ….

16. Conceito de Network Security
Monitoring (NSM)

17. Porque apenas o alerta
não é suficiente ….

18. Vulnerability Centric versus Threat Centric

19. Identificar ameaças

20. Quantificar risco
Probabilidade x Impacto
=
Risco

21. Identificar as fonte de informações
● Full Packet Capture
● Logs
● Session Data
● Signature Based Alerts
● Anomaly Based Alerts

22. Ciclo do NSM
Coleta
DetecçãoAnálise

23. Coleta

24. Os componentes da coleta
● Full content
● Extracted content
● Session data
● Statical data
● Metadata
● Alert data

25. Full Content

26. Extracted Data

27. Session Data

28. Statical Data

29. Metadata

30. Alert Data

31. Detecção

32. Detecção
● IoC ( Indicators of Compromise )
● Reputation
● Signatures
● Anomalias com dados estatísticos
● Honeypots

33. Análise

34. E como coloco isso em prática ?

35. Projeto Security Onion (Opensource)
● Snort / Suricata
● OSSEC
● Sguil
● Squert
● Snorby
● ELSA
● Xplico
● PRADS
● Outros

36. Snorby

37. Squert

38. Sguil ( Real Time )

39. O que realmente se “gasta” é com armazenamento
Média utlização em Mbps x 1byte / 8bits x 60 seconds/minutes x 60
minutes / hours x 24 hours / day
Em resumo:
Rede Tráfego 100 Mbps aproximadamente 1.08 TB dia de log dia X
quantidade de dias que deseja armazena

40. Referências

41. Referências
41
http://etplc.org/
http://blog.securityonion.net/
http://www.appliednsm.com/

42. Perguntas & Contatos
Pessoal
spooker@gmail.com
@spookerlabs
http://spookerlabs.blogspot.com
Profissional
rodrigo.montoro@sucuri.net
@sucuri_security
http://sucuri.net