SlideShare a Scribd company logo

A3sec Webinar AlienVault USM - Sistemas de detección de ataques en tiempo real

A
a3sec

Este documento presenta un webinar sobre sistemas de detección de ataques en tiempo real utilizando AlienVault USM. El webinar cubrirá IDS de red, IDS de host, IDS inalámbrico, configuración de IDS, recolección de eventos IDS, demostraciones y preguntas y respuestas. El objetivo es mostrar las capacidades del AlienVault USM para unir todas las piezas de seguridad, buscar actividad sospechosa e identificar amenazas para proteger los activos valiosos de una organización.

Technology
1 of 34
Download to read offline
Webinar A3Sec AlienVault USM Sistemas de detección de ataques en tiempo real 4 de Febrero del 2014
Contenido • • • • • • • • AlienVault USM IDS de Red IDS de Host IDS de Wireless Configuración de IDS Recolección de eventos IDS Demos Q&A 2
AlienVault USM 3
AlienVault Unified Security Management Unimos todas las piezas Buscamos actividad que pueda ser sospechosa ¿Cómo protegemos nuestras casas ? Identificamos Amenazas Determinamos que tiene Valor Identificamos como pueden afectar lo que es valioso 4
AlienVault Unified Security Management Unimos todas las piezas Buscamos actividad que pueda ser sospechosa ¿Cómo aseguramos nuestra empresa? Identificamos Amenazas Determinamos que tiene Valor Identificamos como pueden afectar lo que es valioso 5
AlienVault Unified Security Management Correlación de eventos Respuesta a Incidentes Recolección de Logs Análisis de NetFlows Monitorización Disponibilidad IDS de Red IDS de Host IDS Wireless Análisis de la Red Inventario de Activos ¿Como aseguramos nuestra empresa? Escaneos Vulnerabilidades 6
5 Capacidades principales del USM  AlienVault’s Unified Security Management™ (USM™) proporciona una forma rápida y rentable para las organizaciones de hacer frente a las necesidades de gestión de amenazas y cumplimento.  Con todos los controles de seguridad esenciales incorporados, AlienVault USM provee una visibilidad completa de la seguridad de la información. 7
5 Capacidades principales del USM Automatización de Inventario para los activos críticos  El descubrimiento de activos nos permite crear un inventario de los activos desplegados, logrando con ello dar un primer paso para la evaluación de vulnerabilidades, detección de amenazas, apreciación del comportamiento de la red y de los servicios para detectar violaciones en las políticas corporativas. 8
5 Capacidades principales del USM Detecta que activos son vulnerables a los ataques  Mediante la combinación de la visibilidad completa y actualizada de los sistemas a través de las herramientas de evaluación de vulnerabilidades, AlienVault ha incorporado medidas preventivas de seguridad. La evaluación de vulnerabilidades permite identificar posibles debilidades en los sistemas y así priorizar las acciones para mejorar su nivel de seguridad. 9
5 Capacidades principales del USM Identifica exploits específicos utilizados en los ataques  Con una amplia base de conocimiento, el Sistema de Detección de Intrusiones en la red que AlienVault incorpora el análisis del tráfico de red para detectar firmas de ataques conocidos, e identificar patrones de los métodos de ataque conocidos. Esto proporciona una visibilidad inmediata de los ataques que se utilizan en contra de su sistema. 10
5 Capacidades principales del USM Identifica los comportamientos anormales  Los cambios en el comportamiento de las redes, sistemas y servicios pueden indicar una defensa débil o violación de seguridad. Para ello se combina el análisis del flujo de red para identificar los cambios sufridos, la captura de paquetes completos para el análisis forense y el seguimiento de servicios activos para verificar proactivamente cambios en los servicios. 11
5 Capacidades principales del USM Inteligencia en la Seguridad de la Información en acción  Dar un valor añadido a la gran cantidad de información recogida es unos de los grandes objetivos de la Inteligencia de seguridad. Así, mediante la automatización de la correlación de eventos en tiempo real podemos hacer que un trozo de información que por sí solo no significa nada, puede ser una pieza muy importante de un conjunto global. 12
IDS de Red 13
IDS de Red - Snort  Snort es un sistema de detección de intrusos a nivel de red.  Dispone de un lenguaje de creación de reglas en el que se pueden definir los patrones (reglas) que se utilizarán a la hora de monitorizar el sistema.  Snort es uno de los NIDS más utilizados en todo el mundo, su proyecto arranco en 1998 de la mano de Martin Roesch.  Es bastante útil para identificar: Malware, Escáneo de Puertos, Violación de Políticas(P2P, IM, Porn, Games...). 14
IDS de Red - Snort  Malware alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"ET CURRENT_EVENTS MALWARE Potential Malware Download, rogue antivirus (IAInstall.exe)"; flow:established,to_server; uricontent:"/download/IAInstall.exe"; nocase; classtype:bad-unknown; reference:url,malwareurl.com; reference: url, www.emergingthreats.net/cgi-bin/cvsweb.cgi/sigs/CURRENT _EVENTS/CURRENT_Malware url_top_downloads; reference:url,doc.emergingthreats.net/2010447; sid:2010447; rev:2;)  Scans alert tcp $HTTP_SERVERS $HTTP_PORTS -> $EXTERNAL_NET any (msg:"ET SCAN Unusually Fast 403 Error Messages, Possible Web Application Scan"; flow:from_server,established; content:"HTTP/1.1 403"; depth:13; threshold: type threshold, track by_dst, count 35, seconds 60; classtype:attempted-recon; reference: url www.checkupdown.com/status/E403.html; reference:url, doc.emergingthreats.net /2009749; reference:url,www.emergingthreats.net/cgi-bin/cvsweb.cgi/sigs/SCAN/SCAN_403; sid:2009749; rev:2;)  Violación de Políticas alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"ET POLICY Megaupload file download service access"; flow:to_server,established; content:"GET "; depth: 4; uricontent:"/?d="; content:"|0d 0a|Host: "; content:"megaupload.com"; within:25; nocase; classtype:policy-violation; reference: url,doc.emergingthreats.net/2009301; reference:url,www.emergingthreats.net/cgi-bin/cvsweb.cgi /sigs/POLICY/POLICY_Download_Services; sid:2009301; rev:2;) 15
IDS de Red - Suricata  Suricata es un sistema de detección de intrusos de red de la Open Information Security Foundation (OISF).  Es multiproceso, lo que significa que puede ejecutar una instancia y va a equilibrar la carga de procesamiento a través de cada procesador.  Reconocimiento de los protocolos más comunes automáticamente, permitiendo escribir reglas basadas en protocolos.  Suricata es compatible con las reglas de Snort. 16
IDS de Host 17
IDS de Host - OSSEC  OSSEC es un HIDS (Host-level Intrusion Detection System) que permite análisis de logs, detección de rootkit, chequeos de integridad del sistema y monitorización del registro de Windows.  OSSEC requiere la instalación de un agente para la monitorización (Excepto sistemas con acceso SSH). Attempt to login using a non-existent user Attempt to use mail server as relay (client host rejected). Logon failure: Account currently disabled Sensor 18
IDS de Host - OSSEC  OSSEC se basa en una arquitectura cliente -> servidor.  AlienVault colecta los eventos del servidor OSSEC (Instalado en el Sensor AlienVault).  OSSEC provee un sistema de plugins propios usados para el análisis de plataformas Windows y UNIX.  Utilidad dentro de la plataforma AlienVault:  Colección de logs de Windows y Unix  Colección de logs de aplicaciones  Monitorización de registro, archivos y directorios (DLP) 19
IDS de Wireless 20
IDS de Wireless- Kismet  Kismet es un sistema detector de red Wireless en capa 2 (802.11), con funcionalidades de sniffer y detector de intrusos.  Kismet funciona con cualquier tarjeta inalámbrica con soporte para monitorización en bruto (rfmon), y (con hardware apropiado) puede monitorizar tráfico 802.11b, 802.11a, 802.11g y 802.11n.  Utilidad dentro de la plataforma AlienVault:  Aseguramiento de redes WIFI.  Detección de AP falsos.  Cumplimiento (Requerimientos PCI Wireless). 21
Configuración de IDS 22
Pasivo Vs Activo Pasivo Activo Las herramientas pasivas requieren un puerto mirroring / puerto span configurado en el equipo de red para ser capaz de analizar el tráfico de la red monitorizada/ s. 23
IDS de Red - Snort & Suricata  Por defecto en una instalación de AlienVault USM viene activado el NIDS Suricata.  Tener las interfaces recibiendo el trafico de los port mirroring.  Avanzado: Realizar ajuste fino diferente para cada interfaz (Red de oficina, DMZ…) No utilizar aquellas reglas que no resultan interesantes para el tráfico que se va a recibir por cada interfaz. 24
IDS de Host - OSSEC  Por defecto en una instalación de AlienVault AIO o Sensor viene activado el HIDS OSSEC con un agente desplegado para el proprio AlienVault.  AlienVault ha integrado todas las funcionalidades de OSSEC en su consola Web (todas las configuraciones necesarias se harán en el menú Environment -> detection -> HIDS ). 25
IDS de Wireless- Kismet  Tener configurado el Sensor Kistmet (howto en AlienVault Bloomfire)  Por defecto en una instalación de AlienVault, Kismet no viene activado por ello es necesario habilitar el plugin de Kismet (AlienVault Center). 26
Recolección de eventos IDS 27
SDEE FTP WMI OPSEC SYSLOG SYSLOG SYSLOG WMI SYSLOG Recolección de Eventos IDS Puerto MIRRORING Colección de Logs Comunicación Interna AlienVault 28
Demostración 29
Top 10 de Ataques de Seguridad  Desde Open Web Application Security Project (OWASP) han determinado:  A1 Inyección  A2 Pérdida de Autenticación y Gestión de Sesiones  A3 Cross-Site Scripting (XSS)  A4 Referencias directa inseguras a objetos  A5 Configuración de Seguridad incorrecta  A6 Exposición de datos sensibles  A7 – Ausencia de Control de Acceso a las Funciones  A8 Cross-Site Request Forgery (CSRF)  A9 Utilización de componentes con vulnerabilidades conocidas  A10 Redirects y Forwards no validados 30
Arquitectura de la Demo Alienvault USM 192.168.0.1 Apache Vulnerable 192.168.0.123 31
Q&A 32
A3Sec en la Red www.a3sec.com youtube.com/a3sec twitter.com/a3sec linkedin.com/company/a3sec 33
Preguntas A3Sec México A3Sec USA A3Sec España Avda. Paseo de la Reforma, 389 Piso10, México DF Tlf. +52 55 5980 3547 1401 Brickell Ave #320 Miami, FL 33131, USA T. +1 786 556 90 32 C/ Aravaca, 6Piso2Dcha 28040 Madrid Tlf. +34 915 330 978 info@a3sec.com 34

Recommended

OSSIM
OSSIMOSSIM
OSSIMAdrian Sigueñas Calderon
 
Alien vault4.0 senv2
Alien vault4.0 senv2Alien vault4.0 senv2
Alien vault4.0 senv2a3sec
 
Herramientas Integradas en OSSIM
Herramientas Integradas en OSSIMHerramientas Integradas en OSSIM
Herramientas Integradas en OSSIMAlienVault
 
AlienVault
AlienVaultAlienVault
AlienVaultRicardo Castañeda
 
Snort 2006
Snort 2006Snort 2006
Snort 2006Juan Antonio Gil Martínez-Abarca
 
Sistemas de intrusos
Sistemas de intrusosSistemas de intrusos
Sistemas de intrusosalvaro alcocer sotil
 
Extendiendo la seguridad en Elastix con Snort IDS/IPS
Extendiendo la seguridad en Elastix con Snort IDS/IPSExtendiendo la seguridad en Elastix con Snort IDS/IPS
Extendiendo la seguridad en Elastix con Snort IDS/IPSPaloSanto Solutions
 
Intrusion detectionsystems
Intrusion detectionsystemsIntrusion detectionsystems
Intrusion detectionsystemsgh02
 

Recommended

OSSIM
OSSIMOSSIM
OSSIMAdrian Sigueñas Calderon
 
Alien vault4.0 senv2
Alien vault4.0 senv2Alien vault4.0 senv2
Alien vault4.0 senv2a3sec
 
Herramientas Integradas en OSSIM
Herramientas Integradas en OSSIMHerramientas Integradas en OSSIM
Herramientas Integradas en OSSIMAlienVault
 
AlienVault
AlienVaultAlienVault
AlienVaultRicardo Castañeda
 
Snort 2006
Snort 2006Snort 2006
Snort 2006Juan Antonio Gil Martínez-Abarca
 
Sistemas de intrusos
Sistemas de intrusosSistemas de intrusos
Sistemas de intrusosalvaro alcocer sotil
 
Extendiendo la seguridad en Elastix con Snort IDS/IPS
Extendiendo la seguridad en Elastix con Snort IDS/IPSExtendiendo la seguridad en Elastix con Snort IDS/IPS
Extendiendo la seguridad en Elastix con Snort IDS/IPSPaloSanto Solutions
 
Intrusion detectionsystems
Intrusion detectionsystemsIntrusion detectionsystems
Intrusion detectionsystemsgh02
 
Practica 4 herramienta snort entregable
Practica 4 herramienta snort entregablePractica 4 herramienta snort entregable
Practica 4 herramienta snort entregableKarmen Arrazola
 
5 detecciony seguridad
5 detecciony seguridad5 detecciony seguridad
5 detecciony seguridadJenny Ventura
 
Sistemas de Detección de Intrusos
Sistemas de Detección de IntrusosSistemas de Detección de Intrusos
Sistemas de Detección de IntrusosCarlos Arturo Fyuler
 
Clase de Muestra 001
Clase de Muestra 001Clase de Muestra 001
Clase de Muestra 001Inacap
 
Beep intrusion-detected
Beep intrusion-detectedBeep intrusion-detected
Beep intrusion-detectedBitup Alicante
 
Sistemas de Detección de Intrusos (IDS)
Sistemas de Detección de Intrusos (IDS)Sistemas de Detección de Intrusos (IDS)
Sistemas de Detección de Intrusos (IDS)Alberto Mayo Vega
 
Seguridad en Redes
Seguridad en RedesSeguridad en Redes
Seguridad en Redesmagyta_aleja
 
6 3 prevencion deteccion y recuperacion
6 3 prevencion deteccion y recuperacion6 3 prevencion deteccion y recuperacion
6 3 prevencion deteccion y recuperacionUVM
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticajlezcano1210
 
Clase 18
Clase 18Clase 18
Clase 18Titiushko Jazz
 
IDS (Intrusion Detection System)
IDS (Intrusion Detection System)IDS (Intrusion Detection System)
IDS (Intrusion Detection System)krush kr
 
Actividad No. 6.6: Detección de intrusos con Snort
Actividad No. 6.6: Detección de intrusos con SnortActividad No. 6.6: Detección de intrusos con Snort
Actividad No. 6.6: Detección de intrusos con SnortFrancisco Medina
 
Ids sistema de deteccion de intrusos (2)
Ids sistema de deteccion de intrusos (2)Ids sistema de deteccion de intrusos (2)
Ids sistema de deteccion de intrusos (2)Jhon Jairo Hernandez
 
Sistemas de Detección de Intrusos.
Sistemas de Detección de Intrusos.Sistemas de Detección de Intrusos.
Sistemas de Detección de Intrusos.Pedro Luis Pantoja González
 
Deteccion de intrusos
Deteccion de intrusosDeteccion de intrusos
Deteccion de intrusosYasuara191288
 
Seguridad en Asterisk: Un acercamiento detallado
Seguridad en Asterisk: Un acercamiento detalladoSeguridad en Asterisk: Un acercamiento detallado
Seguridad en Asterisk: Un acercamiento detalladoPaloSanto Solutions
 
Clase 19
Clase 19Clase 19
Clase 19Titiushko Jazz
 
Ids ips detection
Ids ips detectionIds ips detection
Ids ips detectionTensor
 
PUNTE SEG INF
PUNTE SEG INFPUNTE SEG INF
PUNTE SEG INFJuan Rao
 
Hardening windows
Hardening windowsHardening windows
Hardening windowsJose Manuel Acosta
 
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORT
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORTWebinar CISOBeat - Detectar Ataques de Red Utilizando SNORT
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORTJose Gonzales
 
¿Cómo detectar ataques de red utilizando Snort? | CISObeat
¿Cómo detectar ataques de red utilizando Snort? | CISObeat¿Cómo detectar ataques de red utilizando Snort? | CISObeat
¿Cómo detectar ataques de red utilizando Snort? | CISObeatCISObeat
 

More Related Content

What's hot

Practica 4 herramienta snort entregable
Practica 4 herramienta snort entregablePractica 4 herramienta snort entregable
Practica 4 herramienta snort entregableKarmen Arrazola
 
5 detecciony seguridad
5 detecciony seguridad5 detecciony seguridad
5 detecciony seguridadJenny Ventura
 
Sistemas de Detección de Intrusos
Sistemas de Detección de IntrusosSistemas de Detección de Intrusos
Sistemas de Detección de IntrusosCarlos Arturo Fyuler
 
Clase de Muestra 001
Clase de Muestra 001Clase de Muestra 001
Clase de Muestra 001Inacap
 
Beep intrusion-detected
Beep intrusion-detectedBeep intrusion-detected
Beep intrusion-detectedBitup Alicante
 
Sistemas de Detección de Intrusos (IDS)
Sistemas de Detección de Intrusos (IDS)Sistemas de Detección de Intrusos (IDS)
Sistemas de Detección de Intrusos (IDS)Alberto Mayo Vega
 
Seguridad en Redes
Seguridad en RedesSeguridad en Redes
Seguridad en Redesmagyta_aleja
 
6 3 prevencion deteccion y recuperacion
6 3 prevencion deteccion y recuperacion6 3 prevencion deteccion y recuperacion
6 3 prevencion deteccion y recuperacionUVM
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticajlezcano1210
 
IDS (Intrusion Detection System)
IDS (Intrusion Detection System)IDS (Intrusion Detection System)
IDS (Intrusion Detection System)krush kr
 
Actividad No. 6.6: Detección de intrusos con Snort
Actividad No. 6.6: Detección de intrusos con SnortActividad No. 6.6: Detección de intrusos con Snort
Actividad No. 6.6: Detección de intrusos con SnortFrancisco Medina
 
Ids sistema de deteccion de intrusos (2)
Ids sistema de deteccion de intrusos (2)Ids sistema de deteccion de intrusos (2)
Ids sistema de deteccion de intrusos (2)Jhon Jairo Hernandez
 
Deteccion de intrusos
Deteccion de intrusosDeteccion de intrusos
Deteccion de intrusosYasuara191288
 
Seguridad en Asterisk: Un acercamiento detallado
Seguridad en Asterisk: Un acercamiento detalladoSeguridad en Asterisk: Un acercamiento detallado
Seguridad en Asterisk: Un acercamiento detalladoPaloSanto Solutions
 
Ids ips detection
Ids ips detectionIds ips detection
Ids ips detectionTensor
 
PUNTE SEG INF
PUNTE SEG INFPUNTE SEG INF
PUNTE SEG INFJuan Rao
 

What's hot (20)

Practica 4 herramienta snort entregable
Practica 4 herramienta snort entregablePractica 4 herramienta snort entregable
Practica 4 herramienta snort entregable
 
5 detecciony seguridad
5 detecciony seguridad5 detecciony seguridad
5 detecciony seguridad
 
Sistemas de Detección de Intrusos
Sistemas de Detección de IntrusosSistemas de Detección de Intrusos
Sistemas de Detección de Intrusos
 
Clase de Muestra 001
Clase de Muestra 001Clase de Muestra 001
Clase de Muestra 001
 
Beep intrusion-detected
Beep intrusion-detectedBeep intrusion-detected
Beep intrusion-detected
 
Sistemas de Detección de Intrusos (IDS)
Sistemas de Detección de Intrusos (IDS)Sistemas de Detección de Intrusos (IDS)
Sistemas de Detección de Intrusos (IDS)
 
Seguridad en Redes
Seguridad en RedesSeguridad en Redes
Seguridad en Redes
 
6 3 prevencion deteccion y recuperacion
6 3 prevencion deteccion y recuperacion6 3 prevencion deteccion y recuperacion
6 3 prevencion deteccion y recuperacion
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Clase 18
Clase 18Clase 18
Clase 18
 
IDS (Intrusion Detection System)
IDS (Intrusion Detection System)IDS (Intrusion Detection System)
IDS (Intrusion Detection System)
 
Actividad No. 6.6: Detección de intrusos con Snort
Actividad No. 6.6: Detección de intrusos con SnortActividad No. 6.6: Detección de intrusos con Snort
Actividad No. 6.6: Detección de intrusos con Snort
 
Ids sistema de deteccion de intrusos (2)
Ids sistema de deteccion de intrusos (2)Ids sistema de deteccion de intrusos (2)
Ids sistema de deteccion de intrusos (2)
 
Sistemas de Detección de Intrusos.
Sistemas de Detección de Intrusos.Sistemas de Detección de Intrusos.
Sistemas de Detección de Intrusos.
 
Deteccion de intrusos
Deteccion de intrusosDeteccion de intrusos
Deteccion de intrusos
 
Seguridad en Asterisk: Un acercamiento detallado
Seguridad en Asterisk: Un acercamiento detalladoSeguridad en Asterisk: Un acercamiento detallado
Seguridad en Asterisk: Un acercamiento detallado
 
Clase 19
Clase 19Clase 19
Clase 19
 
Ids ips detection
Ids ips detectionIds ips detection
Ids ips detection
 
PUNTE SEG INF
PUNTE SEG INFPUNTE SEG INF
PUNTE SEG INF
 
Hardening windows
Hardening windowsHardening windows
Hardening windows
 

Similar to A3sec Webinar AlienVault USM - Sistemas de detección de ataques en tiempo real

Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORT
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORTWebinar CISOBeat - Detectar Ataques de Red Utilizando SNORT
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORTJose Gonzales
 
¿Cómo detectar ataques de red utilizando Snort? | CISObeat
¿Cómo detectar ataques de red utilizando Snort? | CISObeat¿Cómo detectar ataques de red utilizando Snort? | CISObeat
¿Cómo detectar ataques de red utilizando Snort? | CISObeatCISObeat
 
Nmap.potosim
Nmap.potosimNmap.potosim
Nmap.potosimgh02
 
Clase 02 - Curso Hacker Ético
Clase 02 - Curso Hacker ÉticoClase 02 - Curso Hacker Ético
Clase 02 - Curso Hacker ÉticoFranciny Salles
 
Correlacionador de Eventos OSSIM
Correlacionador de Eventos OSSIMCorrelacionador de Eventos OSSIM
Correlacionador de Eventos OSSIMJosé Moreno
 
Herramientas para la seguridad informática, un problema de dirección
Herramientas para la seguridad informática, un problema de direcciónHerramientas para la seguridad informática, un problema de dirección
Herramientas para la seguridad informática, un problema de direcciónAdonys Maceo
 
Gestion De Seguridad De La Red
Gestion De Seguridad De La RedGestion De Seguridad De La Red
Gestion De Seguridad De La RedRandolph Avendaño
 
Herramientas de análisis de vulnerabilidades
Herramientas de análisis de vulnerabilidadesHerramientas de análisis de vulnerabilidades
Herramientas de análisis de vulnerabilidadesAlejandro Otegui
 
IDS ( Intrusion Detection System )
IDS ( Intrusion Detection System )IDS ( Intrusion Detection System )
IDS ( Intrusion Detection System )preverisk Group
 
Copia de cuestionario_de_concepto_de_seguridad 2
Copia de cuestionario_de_concepto_de_seguridad 2Copia de cuestionario_de_concepto_de_seguridad 2
Copia de cuestionario_de_concepto_de_seguridad 2DUBANTKDX
 
Scanners Seguridad Informatica
Scanners Seguridad InformaticaScanners Seguridad Informatica
Scanners Seguridad Informaticagio_vani
 
Ciberseguridad: CAso Alma Technologies
Ciberseguridad: CAso Alma TechnologiesCiberseguridad: CAso Alma Technologies
Ciberseguridad: CAso Alma TechnologiesSantiago Toribio Ayuga
 
Modulo VI: Detección de intrusos
Modulo VI: Detección de intrusosModulo VI: Detección de intrusos
Modulo VI: Detección de intrusosJuan Manuel García
 
Amenzas de seguridad en redes modernas - Seguridad informatica
Amenzas de seguridad en redes modernas - Seguridad informaticaAmenzas de seguridad en redes modernas - Seguridad informatica
Amenzas de seguridad en redes modernas - Seguridad informaticafillescas
 
Herramienta de monitoreo que necesita para administrar sus sistemas it
Herramienta de monitoreo que necesita para administrar sus sistemas itHerramienta de monitoreo que necesita para administrar sus sistemas it
Herramienta de monitoreo que necesita para administrar sus sistemas itJosé Rafael Ordóñez Basantes
 

Similar to A3sec Webinar AlienVault USM - Sistemas de detección de ataques en tiempo real (20)

Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORT
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORTWebinar CISOBeat - Detectar Ataques de Red Utilizando SNORT
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORT
 
¿Cómo detectar ataques de red utilizando Snort? | CISObeat
¿Cómo detectar ataques de red utilizando Snort? | CISObeat¿Cómo detectar ataques de red utilizando Snort? | CISObeat
¿Cómo detectar ataques de red utilizando Snort? | CISObeat
 
PRESENTACION bajo costo.pptx
PRESENTACION bajo costo.pptxPRESENTACION bajo costo.pptx
PRESENTACION bajo costo.pptx
 
Nmap.potosim
Nmap.potosimNmap.potosim
Nmap.potosim
 
Clase 02 - Curso Hacker Ético
Clase 02 - Curso Hacker ÉticoClase 02 - Curso Hacker Ético
Clase 02 - Curso Hacker Ético
 
Correlacionador de Eventos OSSIM
Correlacionador de Eventos OSSIMCorrelacionador de Eventos OSSIM
Correlacionador de Eventos OSSIM
 
Herramientas para la seguridad informática, un problema de dirección
Herramientas para la seguridad informática, un problema de direcciónHerramientas para la seguridad informática, un problema de dirección
Herramientas para la seguridad informática, un problema de dirección
 
Gestion De Seguridad De La Red
Gestion De Seguridad De La RedGestion De Seguridad De La Red
Gestion De Seguridad De La Red
 
Herramientas de análisis de vulnerabilidades
Herramientas de análisis de vulnerabilidadesHerramientas de análisis de vulnerabilidades
Herramientas de análisis de vulnerabilidades
 
Comision nro 6 as- fiis- controles
Comision nro 6 as- fiis- controlesComision nro 6 as- fiis- controles
Comision nro 6 as- fiis- controles
 
Capitulo2
Capitulo2Capitulo2
Capitulo2
 
IDS ( Intrusion Detection System )
IDS ( Intrusion Detection System )IDS ( Intrusion Detection System )
IDS ( Intrusion Detection System )
 
Copia de cuestionario_de_concepto_de_seguridad 2
Copia de cuestionario_de_concepto_de_seguridad 2Copia de cuestionario_de_concepto_de_seguridad 2
Copia de cuestionario_de_concepto_de_seguridad 2
 
Avast! free antivirus
Avast! free antivirusAvast! free antivirus
Avast! free antivirus
 
Scanners Seguridad Informatica
Scanners Seguridad InformaticaScanners Seguridad Informatica
Scanners Seguridad Informatica
 
Ciberseguridad: CAso Alma Technologies
Ciberseguridad: CAso Alma TechnologiesCiberseguridad: CAso Alma Technologies
Ciberseguridad: CAso Alma Technologies
 
Métodos vulnerabilidad activos
Métodos vulnerabilidad activosMétodos vulnerabilidad activos
Métodos vulnerabilidad activos
 
Modulo VI: Detección de intrusos
Modulo VI: Detección de intrusosModulo VI: Detección de intrusos
Modulo VI: Detección de intrusos
 
Amenzas de seguridad en redes modernas - Seguridad informatica
Amenzas de seguridad en redes modernas - Seguridad informaticaAmenzas de seguridad en redes modernas - Seguridad informatica
Amenzas de seguridad en redes modernas - Seguridad informatica
 
Herramienta de monitoreo que necesita para administrar sus sistemas it
Herramienta de monitoreo que necesita para administrar sus sistemas itHerramienta de monitoreo que necesita para administrar sus sistemas it
Herramienta de monitoreo que necesita para administrar sus sistemas it
 

Recently uploaded

Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estossgonzalezp1
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.FlorenciaCattelani
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfAnnimoUno1
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxAlan779941
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxMiguelAtencio10
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxJorgeParada26
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21mariacbr99
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanamcerpam
 
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfRefrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfvladimiroflores1
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...JohnRamos830530
 

Recently uploaded (11)

Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfRefrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 

A3sec Webinar AlienVault USM - Sistemas de detección de ataques en tiempo real

  • 1. Webinar A3Sec AlienVault USM Sistemas de detección de ataques en tiempo real 4 de Febrero del 2014
  • 2. Contenido • • • • • • • • AlienVault USM IDS de Red IDS de Host IDS de Wireless Configuración de IDS Recolección de eventos IDS Demos Q&A 2
  • 4. AlienVault Unified Security Management Unimos todas las piezas Buscamos actividad que pueda ser sospechosa ¿Cómo protegemos nuestras casas ? Identificamos Amenazas Determinamos que tiene Valor Identificamos como pueden afectar lo que es valioso 4
  • 5. AlienVault Unified Security Management Unimos todas las piezas Buscamos actividad que pueda ser sospechosa ¿Cómo aseguramos nuestra empresa? Identificamos Amenazas Determinamos que tiene Valor Identificamos como pueden afectar lo que es valioso 5
  • 6. AlienVault Unified Security Management Correlación de eventos Respuesta a Incidentes Recolección de Logs Análisis de NetFlows Monitorización Disponibilidad IDS de Red IDS de Host IDS Wireless Análisis de la Red Inventario de Activos ¿Como aseguramos nuestra empresa? Escaneos Vulnerabilidades 6
  • 7. 5 Capacidades principales del USM  AlienVault’s Unified Security Management™ (USM™) proporciona una forma rápida y rentable para las organizaciones de hacer frente a las necesidades de gestión de amenazas y cumplimento.  Con todos los controles de seguridad esenciales incorporados, AlienVault USM provee una visibilidad completa de la seguridad de la información. 7
  • 8. 5 Capacidades principales del USM Automatización de Inventario para los activos críticos  El descubrimiento de activos nos permite crear un inventario de los activos desplegados, logrando con ello dar un primer paso para la evaluación de vulnerabilidades, detección de amenazas, apreciación del comportamiento de la red y de los servicios para detectar violaciones en las políticas corporativas. 8
  • 9. 5 Capacidades principales del USM Detecta que activos son vulnerables a los ataques  Mediante la combinación de la visibilidad completa y actualizada de los sistemas a través de las herramientas de evaluación de vulnerabilidades, AlienVault ha incorporado medidas preventivas de seguridad. La evaluación de vulnerabilidades permite identificar posibles debilidades en los sistemas y así priorizar las acciones para mejorar su nivel de seguridad. 9
  • 10. 5 Capacidades principales del USM Identifica exploits específicos utilizados en los ataques  Con una amplia base de conocimiento, el Sistema de Detección de Intrusiones en la red que AlienVault incorpora el análisis del tráfico de red para detectar firmas de ataques conocidos, e identificar patrones de los métodos de ataque conocidos. Esto proporciona una visibilidad inmediata de los ataques que se utilizan en contra de su sistema. 10
  • 11. 5 Capacidades principales del USM Identifica los comportamientos anormales  Los cambios en el comportamiento de las redes, sistemas y servicios pueden indicar una defensa débil o violación de seguridad. Para ello se combina el análisis del flujo de red para identificar los cambios sufridos, la captura de paquetes completos para el análisis forense y el seguimiento de servicios activos para verificar proactivamente cambios en los servicios. 11
  • 12. 5 Capacidades principales del USM Inteligencia en la Seguridad de la Información en acción  Dar un valor añadido a la gran cantidad de información recogida es unos de los grandes objetivos de la Inteligencia de seguridad. Así, mediante la automatización de la correlación de eventos en tiempo real podemos hacer que un trozo de información que por sí solo no significa nada, puede ser una pieza muy importante de un conjunto global. 12
  • 14. IDS de Red - Snort  Snort es un sistema de detección de intrusos a nivel de red.  Dispone de un lenguaje de creación de reglas en el que se pueden definir los patrones (reglas) que se utilizarán a la hora de monitorizar el sistema.  Snort es uno de los NIDS más utilizados en todo el mundo, su proyecto arranco en 1998 de la mano de Martin Roesch.  Es bastante útil para identificar: Malware, Escáneo de Puertos, Violación de Políticas(P2P, IM, Porn, Games...). 14
  • 15. IDS de Red - Snort  Malware alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"ET CURRENT_EVENTS MALWARE Potential Malware Download, rogue antivirus (IAInstall.exe)"; flow:established,to_server; uricontent:"/download/IAInstall.exe"; nocase; classtype:bad-unknown; reference:url,malwareurl.com; reference: url, www.emergingthreats.net/cgi-bin/cvsweb.cgi/sigs/CURRENT _EVENTS/CURRENT_Malware url_top_downloads; reference:url,doc.emergingthreats.net/2010447; sid:2010447; rev:2;)  Scans alert tcp $HTTP_SERVERS $HTTP_PORTS -> $EXTERNAL_NET any (msg:"ET SCAN Unusually Fast 403 Error Messages, Possible Web Application Scan"; flow:from_server,established; content:"HTTP/1.1 403"; depth:13; threshold: type threshold, track by_dst, count 35, seconds 60; classtype:attempted-recon; reference: url www.checkupdown.com/status/E403.html; reference:url, doc.emergingthreats.net /2009749; reference:url,www.emergingthreats.net/cgi-bin/cvsweb.cgi/sigs/SCAN/SCAN_403; sid:2009749; rev:2;)  Violación de Políticas alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"ET POLICY Megaupload file download service access"; flow:to_server,established; content:"GET "; depth: 4; uricontent:"/?d="; content:"|0d 0a|Host: "; content:"megaupload.com"; within:25; nocase; classtype:policy-violation; reference: url,doc.emergingthreats.net/2009301; reference:url,www.emergingthreats.net/cgi-bin/cvsweb.cgi /sigs/POLICY/POLICY_Download_Services; sid:2009301; rev:2;) 15
  • 16. IDS de Red - Suricata  Suricata es un sistema de detección de intrusos de red de la Open Information Security Foundation (OISF).  Es multiproceso, lo que significa que puede ejecutar una instancia y va a equilibrar la carga de procesamiento a través de cada procesador.  Reconocimiento de los protocolos más comunes automáticamente, permitiendo escribir reglas basadas en protocolos.  Suricata es compatible con las reglas de Snort. 16
  • 18. IDS de Host - OSSEC  OSSEC es un HIDS (Host-level Intrusion Detection System) que permite análisis de logs, detección de rootkit, chequeos de integridad del sistema y monitorización del registro de Windows.  OSSEC requiere la instalación de un agente para la monitorización (Excepto sistemas con acceso SSH). Attempt to login using a non-existent user Attempt to use mail server as relay (client host rejected). Logon failure: Account currently disabled Sensor 18
  • 19. IDS de Host - OSSEC  OSSEC se basa en una arquitectura cliente -> servidor.  AlienVault colecta los eventos del servidor OSSEC (Instalado en el Sensor AlienVault).  OSSEC provee un sistema de plugins propios usados para el análisis de plataformas Windows y UNIX.  Utilidad dentro de la plataforma AlienVault:  Colección de logs de Windows y Unix  Colección de logs de aplicaciones  Monitorización de registro, archivos y directorios (DLP) 19
  • 21. IDS de Wireless- Kismet  Kismet es un sistema detector de red Wireless en capa 2 (802.11), con funcionalidades de sniffer y detector de intrusos.  Kismet funciona con cualquier tarjeta inalámbrica con soporte para monitorización en bruto (rfmon), y (con hardware apropiado) puede monitorizar tráfico 802.11b, 802.11a, 802.11g y 802.11n.  Utilidad dentro de la plataforma AlienVault:  Aseguramiento de redes WIFI.  Detección de AP falsos.  Cumplimiento (Requerimientos PCI Wireless). 21
  • 23. Pasivo Vs Activo Pasivo Activo Las herramientas pasivas requieren un puerto mirroring / puerto span configurado en el equipo de red para ser capaz de analizar el tráfico de la red monitorizada/ s. 23
  • 24. IDS de Red - Snort & Suricata  Por defecto en una instalación de AlienVault USM viene activado el NIDS Suricata.  Tener las interfaces recibiendo el trafico de los port mirroring.  Avanzado: Realizar ajuste fino diferente para cada interfaz (Red de oficina, DMZ…) No utilizar aquellas reglas que no resultan interesantes para el tráfico que se va a recibir por cada interfaz. 24
  • 25. IDS de Host - OSSEC  Por defecto en una instalación de AlienVault AIO o Sensor viene activado el HIDS OSSEC con un agente desplegado para el proprio AlienVault.  AlienVault ha integrado todas las funcionalidades de OSSEC en su consola Web (todas las configuraciones necesarias se harán en el menú Environment -> detection -> HIDS ). 25
  • 26. IDS de Wireless- Kismet  Tener configurado el Sensor Kistmet (howto en AlienVault Bloomfire)  Por defecto en una instalación de AlienVault, Kismet no viene activado por ello es necesario habilitar el plugin de Kismet (AlienVault Center). 26
  • 28. SDEE FTP WMI OPSEC SYSLOG SYSLOG SYSLOG WMI SYSLOG Recolección de Eventos IDS Puerto MIRRORING Colección de Logs Comunicación Interna AlienVault 28
  • 30. Top 10 de Ataques de Seguridad  Desde Open Web Application Security Project (OWASP) han determinado:  A1 Inyección  A2 Pérdida de Autenticación y Gestión de Sesiones  A3 Cross-Site Scripting (XSS)  A4 Referencias directa inseguras a objetos  A5 Configuración de Seguridad incorrecta  A6 Exposición de datos sensibles  A7 – Ausencia de Control de Acceso a las Funciones  A8 Cross-Site Request Forgery (CSRF)  A9 Utilización de componentes con vulnerabilidades conocidas  A10 Redirects y Forwards no validados 30
  • 31. Arquitectura de la Demo Alienvault USM 192.168.0.1 Apache Vulnerable 192.168.0.123 31
  • 33. A3Sec en la Red www.a3sec.com youtube.com/a3sec twitter.com/a3sec linkedin.com/company/a3sec 33
  • 34. Preguntas A3Sec México A3Sec USA A3Sec España Avda. Paseo de la Reforma, 389 Piso10, México DF Tlf. +52 55 5980 3547 1401 Brickell Ave #320 Miami, FL 33131, USA T. +1 786 556 90 32 C/ Aravaca, 6Piso2Dcha 28040 Madrid Tlf. +34 915 330 978 info@a3sec.com 34