LOG craziness: Sistemas SIEM para humanos! [GuadalajaraCON 2013]

  • 1,301 views
Uploaded on

 

More in: Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
No Downloads

Views

Total Views
1,301
On Slideshare
0
From Embeds
0
Number of Embeds
15

Actions

Shares
Downloads
18
Comments
0
Likes
1

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Log crazyness
  • 2. “The worst enemy of security iscomplexity”•  Bruce Schneier
  • 3. Nuevos modelos de seguridad•  “Sexy defense” Ian Amit•  “Intrusion Detection Along the Kill Chain:Why Your Detection System Sucks andWhat To Do About It” John Flynn
  • 4. Log??? Logs???
  • 5. Importancia de….•  “84% de los incidentes de seguridad(intrusiones exitosas) se han reflejado enlos logs” *•  “Sólo el 8% de los incidentes de seguridaddetectados por las empresas han sido porminar sus logs”** [Verizon 2012]
  • 6. Pwned!
  • 7. Y ahora? Que hago?Cuida, quiere y “apapacha” a tuslogs :)
  • 8. ¿Cómo?  Modelo  §  LogManagement  (Reac0vo)  —  “Jefe!  Fueron  los  hackers!”,      §  Abarca  todos  los  logs    Modelos  – SIEM    (Proac0vo)  •  “Jefe!  Hubo  intentos  de  ataque  en  X  y  Y  vector…”  •  Sólo  seguridad  
  • 9. Versus
  • 10. SIEM!§ Security Information and EventManagement§ Especializado en seguridad§ “Inteligente”
  • 11. Lo bueno (ventajas)• Ventaja visualización de eventos(gráficas)• “Inteligencia” en la detección deeventos.• Compliance (PCI, ISO etc) / Auditoria.• Forense
  • 12. Funcionamiento
  • 13. Iniciemos….
  • 14. Obligación del SIEM,(para llamarse así)1. Recolección de datos2. Normalización3. Correlación4. Generación y envio de informes (reportes)5. Soporte en el flujo de seguridad en elmanejo a incidentes (SOC, respuesta aincidentes)
  • 15. RecolecciónSIEMSyslogscp/ ftpVBS/WMI
  • 16. NormalizaciónFirewall:Feb 25 12:11:24 bridge kernel: INBOUND TCP: IN=br0 PHYSIN=eth0OUT=br0 PHYSOUT=eth1 SRC=220.228.136.38 DST=11.11.79.83LEN=64 TOS=0x00 PREC=0x00 TTL=47 ID=17159 DF PROTO=TCPSPT=1629 DPT=139 WINDOW=44620 RES=0x00 SYN URGP=0Time: 12:11:24Action: PassSrc: 220.228.136.38Dst: 11.11.79.83Port: 139
  • 17. CorrelaciónTime: 12:11:24Action: BlockSrc: w.x.y.z.Dst: a.b.c.duser: johnTime: 12:12:54Action: BlockSrc: w.x.y.z.Dst: a.b.c.dUser:johnTime:12:14:16Action: PassSrc: w.x.y.z.Dst: a.b.c.duser: johnTime: 12:13:18Action: BlockSrc: w.x.y.z.Dst: a.b.c.dUser:john
  • 18. Regla de oro #1:“No basarse en la tecnología,sino en la inteligencia y elpentest”
  • 19. Receta1. Que deseo resolver con el SIEM2. Elegir el alcance de los datos a recolectar(sistemas)3. Desarrollar la arquitectura4. Crear un sistema de Log Management ydespués un SIEM J5. Generar casos de uso del SIEM
  • 20. You cant secure what you dontunderstand•  Bruce Schneier
  • 21. Diseño•  ¿Qué deseo resolver con el SIEM?•  ¿Quienes somos?•  ¿Qué queremos asegurar?
  • 22. Arquitectura
  • 23. Arquitectura•  Medir los EPS•  Storage§  Definir la política de LogRetentionLogs por segundo (en bytes) * 86400 = (almacenamientodía) + 25%
  • 24. Arquitectura•  Hardware§  Almacenamiento de alta calidad (RPMs SAN)•  Expresiones regulares (cuidado!):Procesador y memoria RAM poderosa!
  • 25. Fases de implementación• Fase 1: Crear un sistema LM§ Comunicación entre dispositivos§ Tiempo!
  • 26. Fases de implementación• Fase 2: Llegar al SIEM como tal-Definir primeras pruebas de filtrado— Ejecutar primeros pasos de filtrado delogs–  (auténticaciones fallidas,web hacking, core dumps)
  • 27. No olvidar…You cant secure what youdont understandBruce Schneier
  • 28. Casi Final! “Inteligencia” delSIEMTaxonomíaCasos de uso
  • 29. Casi Final! “Inteligencia” delSIEM¿Cómo?• Vía el framework del SIEM• Todo es un evento (normalización)
  • 30. Casos de uso, ejemplos:•  “Los usuarios no deben reenviar automáticamente correofuera de la organización”Evento 1: Email de entrada, dominio del emisor es ejemplo.comEvento2: Email de salida, donde:• SUBJECT es el mismo que Evento1 pero con FWD: al inicio(contatenado)• SRCUSER es el mismo que Event 1• DST USER (el dominio NO es ejemplo.com)Evento 3: sucede a los 3 segundos del evento 1
  • 31. Casos de uso, ejemplos:•  “Detección de un escaneo de puertos en el ids y firewall ”If the system sees an event E1 whereE1.eventType=portscan followed by an event E2 whereE2.srcip=E1.srcip and E2.dstip=E1.dstip andE2.eventType=fw.reject then doSomething
  • 32. Casos de uso, ejemplos:“Detección de puertos, vía escaneo”if (event E1.dstport != (Known_Open_Ports on eventE1.dstip)) then doSomething
  • 33. Pensemos/Imaginación•  Fuentes a integrar:•  Nuestras propias fuentes:§  Horarios de trabajo§  Ciclos de vacaciones§  Segmentos de red§  Comportamiento típico de nuestras aplicaciones•  SANS TOP 7 logs reports
  • 34. Más casosDetección de equipo comprometido:Impresora HP como punto ciego, lacual fue comprometida
  • 35. Más casos"Un dispositivo envía trafico HTTP/SSH/FTP etc en lugar de LPD/IPR,IPP"Fuentes:Cruzar: NetFlow + Firewall + Sniffer
  • 36. Pensemos/Imaginación•  Identificar autenticación (fallida o exitosa) a másde 5 computadoras en un periodo de 5 minutos•  Un usuario se autentica a la VPN en diferentescomputadores en menos de 6 horas•  Se establece una conexión de VPN desde unacomputadora que no está en el sistema deadministración activos y no es conocida por elservidor de antivirus
  • 37. Pensemos/Imaginación•  Identifcar una cuenta que se ha firmado en unaPC que no corresponde a su área•  (Idem en segmentos de la red)•  Desde la DMZ identificar una dirección de redque se comunique a más de 1 host pordiferentes puertos en menos de 5 minutos.•  SPAM proveniente de las mismas IPsdetectadas por el sistema IDS
  • 38. Herramientas existentes•  Recolección de logs§  NXLog, Syslog-ng, logger,Apache2Syslog•  Pre-procesamiento de logs:LogPP•  Storage:§  PostgreSQL, MongoDB, etc•  Análisis§  R§  Hoja de cálculo§  LogStash•  Inteligencia§  OSSEC§  OSSIM§  Echidna§  iView•  Correlación§  SEC y Jess§  Echidna§  NXLog•  Reporteo§  Graphviz y Secviz.org
  • 39. Conlusión•  Usar y encender tus Logs•  Primero un LM antes de SIEM•  No hay “balas de plata”•  Gana el pensamiento vs la tecnología•  Menos es más•  Casos de uso , caso de uso, casos deuso!.
  • 40. Referencias•  Kent,Karen;Souppaya, Murugiah.Guide to ComputerSecurity Log Management, NIST.•  Chuvakin, Anton; Schmidt, Kevin; Phillips, Chris. Loggingand Log Management: The Authoritative Guide toDealing with Syslog, Audit Logs, Events, Alerts andother IT ‘Noise’.•  Zeltser,Lenny;Chuvakin, Anton;Critical Log ReviewChecklist for Security Incidents•  Sweeny, Jonathan. Creating Your Own SIEM andIncident Response Toolkit Using Open Source Tools,SANS.
  • 41. Gracias por su atención!Dudas?Víctor Gómez— victor@vgomez.com— @bytevic
  • 42. ASIMX• Asimx.org• @asimx• Facebook.com/asimx• linkedin.com/asimx