Your SlideShare is downloading. ×
  • Like
  • Save
Detecção de ameaças internas com Linux Audit
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Now you can save presentations on your phone or tablet

Available for both IPhone and Android

Text the download link to your phone

Standard text messaging rates apply

Detecção de ameaças internas com Linux Audit

  • 657 views
Published

 

  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
657
On SlideShare
0
From Embeds
0
Number of Embeds
1

Actions

Shares
Downloads
0
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Auditoria e Controles de Segurança Detecção de ameaças internas com Linux Audit Eduardo S. Scarpellini Ivani A. Nascimento Profª Cristiane Ikenaga São Paulo Setembro/2010
  • 2. Sumário ● Introdução ● Estatísticas ● Distribuição dos casos de ameaça interna ● Ações associadas à sabotagem de TI ● Linux Audit ● Definição e escopo ● Arquitetura ● Exemplo ● Ferramentas de apoio ● Conclusão ● Referências
  • 3. Introdução ● Descentralização e distribuição de recursos proporcionou o aumento de sistemas informatizados. ● A Internet está presente no ambiente corporativo. ● Muitos aplicativos são desenvolvidos sem preocupação com a segurança. ● Vulnerabilidades. ● Mudanças ocorrem sem avaliação apropriada dos aspectos envolvidos. ● A má conduta por parte de usuários autorizados representa graves ameaças a uma organização. ● Quase metade dos incidentes de segurança são de origem interna (CSI-FBI, Computer Crime and Security Survey - 2005).
  • 4. Distribuição dos casos de ameaça interna *Fonte: Carnegie Mellon's CERT e US Secret Services NTAC - National Threat Assessment Center *Setor de TI e Telecom: 63% dos agentes maliciosos ocuparam cargos técnicos 58% dos casos foram utilizadas ferramentas sofisticadas *Setor financeiro: 23% dos usuários maliciosos ocuparam cargos técnicos 87% dos ataques foram simples, partindo de usuários legítimos. 190 tipos de ataques internos, classificados pelo CERT em 4 categorias: Sabotagem de TI, roubo ou alteração por ganho financeiro, roubo ou alteração de vantagem para o negócio e diversos. BAI, William T. (AIR FORCE INSTITUTE OF TECHNOLOGY) - DEVELOPMENT OF A METHODOLOGY FOR CUSTOMIZING INSIDER THREAT AUDITING ON A LINUX OPERATING SYSTEM - 2010
  • 5. Ações associadas a sabotagem de TI BAI, William T. (AIR FORCE INSTITUTE OF TECHNOLOGY) - DEVELOPMENT OF A METHODOLOGY FOR CUSTOMIZING INSIDER THREAT AUDITING ON A LINUX OPERATING SYSTEM - 2010 *Sabotagem de TI: 30% utilizaram seu próprio nome de usuário e senha 43% utilizaram contas comprometidas. *Abuso de permissões: 88% roubo para vantagem do negócio 75% roubo ou modificação para ganho financeiro*Roubo de dados para ganho financeiro 85% dos usuários maliciosos usaram seus próprios nomes de usuários e senhas. *Fonte: Carnegie Mellon's CERT e US Secret Services NTAC - National Threat Assessment Center
  • 6. Linux Audit ● Auditoria de segurança é um termo usado para descrever o processo de avaliação da postura de segurança de uma organização. ● Consiste em registro das ações dos usuários e programas de um sistema. ● Ajuda na detecção de violações da política de segurança. ● Linux audit: ● Monitora todo o sistema de chamadas (syscalls) feitas para o kernel. ● Análise independente dos programas/user-space (não confiáveis). ● Se integra ao SELinux para registrar violações da política deste. ● Regras baseadas em arquivos, usuários, objetos (SELinux). ● Log binário com utilitários para relatório e busca de eventos.
  • 7. Linux Audit: Arquitetura BAI, William T. (AIR FORCE INSTITUTE OF TECHNOLOGY) - DEVELOPMENT OF A METHODOLOGY FOR CUSTOMIZING INSIDER THREAT AUDITING ON A LINUX OPERATING SYSTEM - 2010
  • 8. Linux Audit: Definição de escopo ● A decisão do que auditar, depende de cada organização. ● O que auditar: ● Abertura e fechamento de arquivos. ● Alterações de permissões e propriedades. ● Montagens e desmontagens de sistemas de arquivos. ● Mudanças na hora do sistema. ● Análise de tentativas de login. ● Mudanças de arquivos de configuração. ● Estabelecer política de backup de log de auditoria e manter um servidor de logs centralizado.
  • 9. Linux Audit: Exemplo [root@localhost ~]# touch /tmp/audit-test [root@localhost ~]# auditctl -w /tmp/audit-test [root@localhost ~]# rm /tmp/audit-test rm: remove regular empty file `/tmp/audit-test'? Y [root@localhost ~]# ausearch --file /tmp/audit-test ---- time->Sat Sep 25 12:39:11 2010 type=PATH msg=audit(1285429151.975:27): item=1 name="/tmp/audit-test" inode=3375106 dev=fd:00 mode=0100644 ouid=0 ogid=0 rdev=00:00 obj=root:object_r:tmp_t:s0 type=PATH msg=audit(1285429151.975:27): item=0 name="/tmp/" inode=3375105 dev=fd:00 mode=041777 ouid=0 ogid=0 rdev=00:00 obj=system_u:object_r:tmp_t:s0 type=CWD msg=audit(1285429151.975:27): cwd="/root" type=SYSCALL msg=audit(1285429151.975:27): arch=c000003e syscall=87 success=yes exit=0 a0=7fffefcd7c4a a1=1 a2=2 a3=e29ab80 items=2 ppid=3163 pid=3277 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 ses=2 comm="rm" exe="/bin/rm" subj=root:system_r:unconfined_t:s0-s0:c0.c1023 key=(null)
  • 10. Linux Audit: Ferramentas de apoio ● OSSEC: http://www.ossec.net/ ● Snare: http://www.intersectalliance.com/projects/index.html
  • 11. Conclusão ● Detectar e deter ameaças internas é um desafio para as organizações. ● Uma metodologia de avaliação de risco é indicada para identificar riscos e vulnerabilidades. ● Ferramentas como Linux Audit auxilia a identificar tentativas de acesso e violações de segurança (auditoria contínua). ● Com o registro dos logs é possível detectar atividades maliciosas e criar procedimentos e controles específicos. ● O conhecimento da ameaça interna e o auxílio da auditoria ajudam as organizações a terem um nível aceitável de risco de segurança da informação.
  • 12. Referências ● BAI, William T. (AIR FORCE INSTITUTE OF TECHNOLOGY) - Development of a methodology for customizing insider threat auditing on a Linux Operating System - 2010. ● HERMANS, S. - Detect insider threats with Linux auditing - 22/06/2007 - Disponível em: http://www.linux.com/archive/feature/114422 - Acessado em: Setembro/2010.