NSM (Network Security Monitoring) - Tecland Chapeco

978 visualizações

Publicada em

NSM (Network Security Monitoring) - Tecland Chapeco

Publicada em: Tecnologia
  • Seja o primeiro a comentar

NSM (Network Security Monitoring) - Tecland Chapeco

  1. 1. NSM (Network Security Monitoring) - Porque a invasão é “inevitável" e alertas somente não suficiente ! Rodrigo “Sp0oKeR” Montoro @spookerlabs
  2. 2. $ whois Rodrigo “Sp0oKeR” Montoro ● Security System Administrator @ Sucuri – Centenas de Web Application Firewall – Milhões alertas mês (Disneyland =) ) ● Autor de 2 patentes pendentes – Detecção Documentos maliciosos – Análise Cabeçalhos HTTP ● Palestrante em diversos eventos – FISL, Latinoware, CNASI, SecTor (Canada), H2HC, Bsides (São Paulo e Las Vegas), Source Seattle e Boston (EUA), Toorcon (EUA), Zoncon (EUA). ● Triatleta / Corredor de Trilhas
  3. 3. MOTIVAÇÃO
  4. 4. AGENDA ● Atual problema na detecção de um intrusão ● O conceito de NSM ● Como colocar isso em prática ? ● Perguntas
  5. 5. Atual problema na detecção ...
  6. 6. Como funciona um invasão ● Antes ● Durante ● Depois
  7. 7. Conceito de Detecção / Prevenção Intrusão Atacantes eventualmente terão sucesso.
  8. 8. Tempo é o fator chave ...
  9. 9. Sistemas de proteção genérico
  10. 10. Exemplo simples de genérico, “mundo fragmentação” ... Sistemas operacionais diferentes, necessitam configurações de proteção diferente
  11. 11. Timeout fragmentação da proteção < dispositivo
  12. 12. Timeout fragmentação da proteção > dispositivo
  13. 13. De brinde tem o overlaping ...
  14. 14. E o grande “problema” da maioria das proteções …
  15. 15. Alerta é apenas uma foto do momento ….
  16. 16. Conceito de Network Security Monitoring (NSM)
  17. 17. Porque apenas o alerta não é suficiente ….
  18. 18. Vulnerability Centric versus Threat Centric
  19. 19. Identificar ameaças
  20. 20. Quantificar risco Probabilidade x Impacto = Risco
  21. 21. Identificar as fonte de informações ● Full Packet Capture ● Logs ● Session Data ● Signature Based Alerts ● Anomaly Based Alerts
  22. 22. Ciclo do NSM Coleta DetecçãoAnálise
  23. 23. Coleta
  24. 24. Os componentes da coleta ● Full content ● Extracted content ● Session data ● Statical data ● Metadata ● Alert data
  25. 25. Full Content
  26. 26. Extracted Data
  27. 27. Session Data
  28. 28. Statical Data
  29. 29. Metadata
  30. 30. Alert Data
  31. 31. Detecção
  32. 32. Detecção ● IoC ( Indicators of Compromise ) ● Reputation ● Signatures ● Anomalias com dados estatísticos ● Honeypots
  33. 33. Análise
  34. 34. E como coloco isso em prática ?
  35. 35. Projeto Security Onion (Opensource) ● Snort / Suricata ● OSSEC ● Sguil ● Squert ● Snorby ● ELSA ● Xplico ● PRADS ● Outros
  36. 36. Snorby
  37. 37. Squert
  38. 38. Sguil ( Real Time )
  39. 39. O que realmente se “gasta” é com armazenamento Média utlização em Mbps x 1byte / 8bits x 60 seconds/minutes x 60 minutes / hours x 24 hours / day Em resumo: Rede Tráfego 100 Mbps aproximadamente 1.08 TB dia de log dia X quantidade de dias que deseja armazena
  40. 40. Referências
  41. 41. Referências 41 http://etplc.org/ http://blog.securityonion.net/ http://www.appliednsm.com/
  42. 42. Perguntas & Contatos Pessoal spooker@gmail.com @spookerlabs http://spookerlabs.blogspot.com Profissional rodrigo.montoro@sucuri.net @sucuri_security http://sucuri.net

×