Detecção de ameaças internas com Linux Audit

979 views
883 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
979
On SlideShare
0
From Embeds
0
Number of Embeds
226
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Detecção de ameaças internas com Linux Audit

  1. 1. Auditoria e Controles de Segurança Detecção de ameaças internas com Linux Audit Eduardo S. Scarpellini Ivani A. Nascimento Profª Cristiane Ikenaga São Paulo Setembro/2010
  2. 2. Sumário ● Introdução ● Estatísticas ● Distribuição dos casos de ameaça interna ● Ações associadas à sabotagem de TI ● Linux Audit ● Definição e escopo ● Arquitetura ● Exemplo ● Ferramentas de apoio ● Conclusão ● Referências
  3. 3. Introdução ● Descentralização e distribuição de recursos proporcionou o aumento de sistemas informatizados. ● A Internet está presente no ambiente corporativo. ● Muitos aplicativos são desenvolvidos sem preocupação com a segurança. ● Vulnerabilidades. ● Mudanças ocorrem sem avaliação apropriada dos aspectos envolvidos. ● A má conduta por parte de usuários autorizados representa graves ameaças a uma organização. ● Quase metade dos incidentes de segurança são de origem interna (CSI-FBI, Computer Crime and Security Survey - 2005).
  4. 4. Distribuição dos casos de ameaça interna *Fonte: Carnegie Mellon's CERT e US Secret Services NTAC - National Threat Assessment Center *Setor de TI e Telecom: 63% dos agentes maliciosos ocuparam cargos técnicos 58% dos casos foram utilizadas ferramentas sofisticadas *Setor financeiro: 23% dos usuários maliciosos ocuparam cargos técnicos 87% dos ataques foram simples, partindo de usuários legítimos. 190 tipos de ataques internos, classificados pelo CERT em 4 categorias: Sabotagem de TI, roubo ou alteração por ganho financeiro, roubo ou alteração de vantagem para o negócio e diversos. BAI, William T. (AIR FORCE INSTITUTE OF TECHNOLOGY) - DEVELOPMENT OF A METHODOLOGY FOR CUSTOMIZING INSIDER THREAT AUDITING ON A LINUX OPERATING SYSTEM - 2010
  5. 5. Ações associadas a sabotagem de TI BAI, William T. (AIR FORCE INSTITUTE OF TECHNOLOGY) - DEVELOPMENT OF A METHODOLOGY FOR CUSTOMIZING INSIDER THREAT AUDITING ON A LINUX OPERATING SYSTEM - 2010 *Sabotagem de TI: 30% utilizaram seu próprio nome de usuário e senha 43% utilizaram contas comprometidas. *Abuso de permissões: 88% roubo para vantagem do negócio 75% roubo ou modificação para ganho financeiro*Roubo de dados para ganho financeiro 85% dos usuários maliciosos usaram seus próprios nomes de usuários e senhas. *Fonte: Carnegie Mellon's CERT e US Secret Services NTAC - National Threat Assessment Center
  6. 6. Linux Audit ● Auditoria de segurança é um termo usado para descrever o processo de avaliação da postura de segurança de uma organização. ● Consiste em registro das ações dos usuários e programas de um sistema. ● Ajuda na detecção de violações da política de segurança. ● Linux audit: ● Monitora todo o sistema de chamadas (syscalls) feitas para o kernel. ● Análise independente dos programas/user-space (não confiáveis). ● Se integra ao SELinux para registrar violações da política deste. ● Regras baseadas em arquivos, usuários, objetos (SELinux). ● Log binário com utilitários para relatório e busca de eventos.
  7. 7. Linux Audit: Arquitetura BAI, William T. (AIR FORCE INSTITUTE OF TECHNOLOGY) - DEVELOPMENT OF A METHODOLOGY FOR CUSTOMIZING INSIDER THREAT AUDITING ON A LINUX OPERATING SYSTEM - 2010
  8. 8. Linux Audit: Definição de escopo ● A decisão do que auditar, depende de cada organização. ● O que auditar: ● Abertura e fechamento de arquivos. ● Alterações de permissões e propriedades. ● Montagens e desmontagens de sistemas de arquivos. ● Mudanças na hora do sistema. ● Análise de tentativas de login. ● Mudanças de arquivos de configuração. ● Estabelecer política de backup de log de auditoria e manter um servidor de logs centralizado.
  9. 9. Linux Audit: Exemplo [root@localhost ~]# touch /tmp/audit-test [root@localhost ~]# auditctl -w /tmp/audit-test [root@localhost ~]# rm /tmp/audit-test rm: remove regular empty file `/tmp/audit-test'? Y [root@localhost ~]# ausearch --file /tmp/audit-test ---- time->Sat Sep 25 12:39:11 2010 type=PATH msg=audit(1285429151.975:27): item=1 name="/tmp/audit-test" inode=3375106 dev=fd:00 mode=0100644 ouid=0 ogid=0 rdev=00:00 obj=root:object_r:tmp_t:s0 type=PATH msg=audit(1285429151.975:27): item=0 name="/tmp/" inode=3375105 dev=fd:00 mode=041777 ouid=0 ogid=0 rdev=00:00 obj=system_u:object_r:tmp_t:s0 type=CWD msg=audit(1285429151.975:27): cwd="/root" type=SYSCALL msg=audit(1285429151.975:27): arch=c000003e syscall=87 success=yes exit=0 a0=7fffefcd7c4a a1=1 a2=2 a3=e29ab80 items=2 ppid=3163 pid=3277 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 ses=2 comm="rm" exe="/bin/rm" subj=root:system_r:unconfined_t:s0-s0:c0.c1023 key=(null)
  10. 10. Linux Audit: Ferramentas de apoio ● OSSEC: http://www.ossec.net/ ● Snare: http://www.intersectalliance.com/projects/index.html
  11. 11. Conclusão ● Detectar e deter ameaças internas é um desafio para as organizações. ● Uma metodologia de avaliação de risco é indicada para identificar riscos e vulnerabilidades. ● Ferramentas como Linux Audit auxilia a identificar tentativas de acesso e violações de segurança (auditoria contínua). ● Com o registro dos logs é possível detectar atividades maliciosas e criar procedimentos e controles específicos. ● O conhecimento da ameaça interna e o auxílio da auditoria ajudam as organizações a terem um nível aceitável de risco de segurança da informação.
  12. 12. Referências ● BAI, William T. (AIR FORCE INSTITUTE OF TECHNOLOGY) - Development of a methodology for customizing insider threat auditing on a Linux Operating System - 2010. ● HERMANS, S. - Detect insider threats with Linux auditing - 22/06/2007 - Disponível em: http://www.linux.com/archive/feature/114422 - Acessado em: Setembro/2010.

×