Aspetti di sicurezza in azienda: gestione dei log aziendali

Aspetti di sicurezza in azienda:
gestione dei log aziendali
Francesco Cossettini HTS Hi-Tech Services Srl
5 Ottobre 2013

Who is this guy?
Aspetti di sicurezza in azienda: gestione dei log aziendali
● Lavoro alla HTS Hi-Tech Services S.r.L.
● Pre/Post Sales, Deploy & Support
Soluzione Log Management in ambito enterprise

Log Management
● Cosa sono i log?
● Collezionamento dei log
● Perché il Log Management?
● Analisi dei log
● Normative e Linee Guida
● I Log per gli sviluppatori
● Trend attuali/futuri

Cosa sono i Log?
Definizioni del MITRE (www.mitre.org)
http://cee.mitre.org/docs/CEE_Architecture_Overview-v0.5.pdf
An event is a single occurrence within an environment, usually involving an attempted
state change. An event usually includes a notion of time, the occurrence, and any details
the explicitly pertain to the event or environment that may help explain or understand the
event's causes or effects.
An event field describes one characteristic of an event. Examples of an event field
include date, time, source IP, user identification, and host identification.
An event record is a collection of event fields that, together, describe a single event.
Terms synonymous to event record include "audit record" and "log entry".
A log is a collection of event records. Terms such as "data log," "activity log,"
"audit log," "audit trail," "log file," and "event log" are often used to mean the
same thing as log.

Cosa sono i Log (2)
… Ancora un paio di definizioni:
http://cee.mitre.org/docs/CEE_Architecture_Overview-v0.5.pdf
Logging is the act of collecting event records into logs. Examples of logging
include storing log entries into a text log file, or storing audit record data in binary
files or databases.
An audit is the process of evaluating logs within an environment. The
typical goal of an audit is to assess the overall status or identify any
notable or problematic activity.

Tipologie di Log
Sistema: Syslog
Windows Event Register
Servizi e Applicazioni: DBMS
Web Server
FTP server
...
Appliance: Syslog
OPSEC
SNMP
Sistemi di sicurezza: IDS
Anti-Virus
End Point Security
Etc...

Log Management
Ed il Log Management, cos'è? (definizione dal NIST 800-92)
http://csrc.nist.gov/publications/nistpubs/800-92/SP800-92.pdf
the process for generating, transmitting, storing, analyzing, and
disposing of computer security log data.
Insieme di tecnologie, protocolli, standard e non
per gestione dei log.
… ovviamente dipende da quali sono i nostri obbiettivi!

Perché LM?
● Controllo
● Monitoraggio
● Verifiche interne
● Security
● Compliance Normative
● Business intelligence

LM: i passi da compiere
● Generare i Log
● Collezionare i Log
● Centralizzare i Log
● Analizzare i Log
● Giudicarne il contenuto (audit)
Ma soprattutto, progettare il LM!

Generare i log
Banale ma... è il punto zero!
● Abbiamo abilitato l'audit?
● Configurato il logging?
● Sappiamo dove e come vengono registrati
gli eventi?
… sempre se è possibile farlo!

Collezionare i log
Ovvero renderli disponibili al nostro sistema
di Log Management
● Sono su file di testo?
● I log sono in formato binario/proprietario?
● Sono registrati su DB?
● Si ottengono richiamando determinate
procedure?

Qualche caso pratico: Syslog
● Sviluppato negli anni '80 (BSD Syslog) - Standard de facto
● Fonti: largamente diffuso su OS Unix like e dispositivi di rete
● Regolamentato RFC 3164 (2001) resa obsoleta da RFC 5424 (2009)
● Definizione del “formato” (RFC 5425)
 Definizione del trasporto
 UDP porta 514 (RFC 5426)
 Previsto anche TCP (RFC6587 – inutilizzato) e TLS (RFC5425 – poco utilizzato)
● … Tutta una serie di RFC scarsamente implementate
● Reliability?
Oct 3 22:09:30 ObiOne sshd[23927]: pam_unix(sshd:auth):
authentication failure; logname= uid=0 euid=0 tty=ssh ruser=
rhost=190.128.255.178
Oct 3 22:09:32 ObiOne sshd[23927]: Failed password for invalid user
tristan from 190.128.255.178 port 37558 ssh2
Oct 3 22:12:01 ObiOne sshd[23933]: Accepted password for cos from
192.168.1.47 port 61440 ssh2
Oct 3 22:12:01 ObiOne sshd[23933]: pam_unix(sshd:session): session
opened for user cos by (uid=0)

Syslog (2)
Multiplexing
kern (0) kernel
user (1) user-level
mail (2) mail system
daemon (3) system daemons'
auth (4) authorization
Syslog (5) generated internally
Lpr (6) line printer subsys
news (7) network news subsys
uucp (8) UUCP subsystem
cron (9) clock daemon
authpriv (10) security/auth
ftp (11) ftp daemon
ntp (12) NTP subsystem
Audit (13) audit messages
Console (14) console messages
cron2 (15) clock daemon
local0 (16)
...
local7 (23)
Non troppo “standard”!
Emerg (0) system is unusable
Alert (1) action must be
taken immediately
Crit (2) critical condition
Err (3) error condition
Warning (4) warning condition
Notice (5) significant
condition
Info (6) informational
Debug (7) debug-level
Facility: Severity:

Syslog (3)
Configurazione
[root@server ~]# cat /etc/syslog.conf
# Log all kernel messages to the console.
kern.* /dev/console
# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;authpriv.none;cron.none /var/log/messages
# The authpriv file has restricted access.
auth,authpriv.* /var/log/secure
# Log all the mail messages in one place.
mail.* /var/log/maillog
# Log cron stuff
cron.* /var/log/cron
# Everybody gets emergency messages
*.emerg *
# Save boot messages also to boot.log
local7.* /var/log/boot.log
# send auth log to the syslog collector
auth,authpriv.* @192.168.11.200

Windows Event Logs
Registro eventi di Windows
● I più antichi sono “System”, “Security” e “Application”
● Aggiunti altri nei Windows più recenti
● Dopo Vista anche registri personalizzabili e viste

Windows Event Logs (2)
● Logs registrati su file binario
● .evt
● .evtx: (binary xml) post-Vista
● Accesso attraverso tools (Event Viewer, Wevt Command Line, PowerShell, LogParser...)
● Alcune informazioni vengono memorizzate com UID ma visualizzate “tradotte”
Event Types (security):
● Error
● Warning
● Information
● Success Audit
● Failure Audit
Event Category (security):
● System Events
● Audit Logs Cleared
● Successful User Logons
● Logon Failures
● Successful User Logoffs
● Object Access
● Audit Policy Changes
● User Account Changes
● Successful User Account Validation
● Failed User Account Validation
● ...
Event ID: identificativo preciso della tipologia di evento/azione tracciato.

Configurazione
● Group Policy Management Console (Dominio)
● Security Policy (singolo computer)

Esempio: logon interattivo
● Logon Type
● New Logon
● Account Name
● Account Domain
● Logon ID
● Source Network Information
● Computer Name
● Source Network Address
● . . .
● . . . altri info di dettaglio
● Descrizione dettagliata dei
campi del log!

Esempio: logon interattivo
parte seconda

Centralizzazione dei Log di Windows, possibile?
Log Forwarding
● Sistema nativo (OS più recenti)
● Non banale da implementare
● Non molto utile
Domain Controller
● Gli eventi che mi interessano sono già sul DC
Tool terze parti
● Inoltro via Syslog
● Integrazione con tool di LM proprietario

Centralizzare i Log
Perché?
● Facilità di consultazione
● Facilità di gestione (verifica presenza, contenuto, cancellazione)
● Analisi/Statistiche
● Analisi/Correlazione
● Sicurezza
Come?
● Sistemi nativi (Syslog, Event Forwarding)
● Protocolli standard (Syslog, FTP)
● Sistemi OSS (Rsyslog, ...)
● Sistemi propietari (Splunk, Snare, Syslog-ng, ...)

Centralizzare i Log (2)
Sistema di collezionamento dei Log
● Homemade
● Open Source
● Commerciale/Propietario
Supporta le mie sorgenti (windows, opsec, ftp, snmp, …)
Destinazione dei log (file, DB SQL, NoSQL, ...)
Gestione
● Agent o Agent-less
● Centralizzata o periferica
● Servizio/Cloud
Security
● Autenticazione/Integrità/Confidenza
● Inalterabilità (Cifratura e/o Firma digitale dei dati)
● Accessi ai log con differenti livelli di privilegi (e magari strong-authentication)
● Compliant a normative/regolamenti
Analisi, allarmistica e reportistica

Centralizzare i Log (3)
Sistemi Open Source e Commerciali
Attenzione! Programma con inserimento di prodotti commerciali! :-)

Laboratorio
concentratore RSyslog

Pausa!

Analisi dei Log
Cosa significa?
Principalmente estrarre le informazioni importanti (a seconda dello scopo) dalle
righe di log.
Magari in maniera automatizzata.
Perché?
● Ricerca
● Normalizzazione
● Statistiche e Report
● Correlazione
● Allarmistica
Come si ottiente?
● Parsing
● Data Reduction
● Tabelle e grafici
● Istruzioni date al sistema

Analisi dei Log
Gli strumenti “base”
● Grep
● Awk
● LogParser / PowerShell
Ottimi per iniziare ma...
Quando ho log complessi?
Quando ho importanti volumi di dati?
Quando mi servono dati precisi e “subito”?

Analisi dei Log
<189>46: FW_UD_ser01: 000046: Sep 21 2011 11:12:58.023 CEST: %SEC_LOGIN-5-
LOGIN_SUCCESS: Login Success [user: net_adm016] [Source: 10.22.43.133]
[localport: 23] at 11:12:58 CEST Wed Sep 21 2011
<180>Dec 15 11:55:42 date=2010-12-15,
time=11:51:12,devname=FGXXX,device_id=FGXX,log_id=0317013312,type=webfilter,
subtype=ftgd_allow,pri=notice,fwver=040008,vd="ProxyWebFlt",policyid=2,seria
l=251933596,user="BCAPOS",group="CN=Internet_Profilo4,OU=Users
Non_Nominali,DC=zonebs,DC=locale",src=10.0.1.101,sport=1622,src_port=1622,sr
c_int="Proxy_prefilter",dst=10.31.21.206,dport=80,dst_port=80,dst_int="Proxy
_postfilte",service="http",hostname="",profile="IPS",status="passthrough",re
q_type="referral",url=”...
11/6/2013 00:36:33 Microsoft-Windows-Security-Auditing 4624 Audit Success
FSERV2 12544 An account was successfully logged on. Subject:
Security ID: S-1-5-18 Account Name: MILANO$ Account Domain: EMEA Logon
ID: 0x3e7 Logon Type: 5 New Logon: Security ID: S-1-5-21-3444241613-
2674865918-2390548536-1000 Account Name: Service02 Account
Domain: MILAN2 Logon ID: 0x96f35023 Logon GUID: {00000000-0000-0000-
0000-000000000000} Process Information: Process ID: 0x1348 Process Name:
C:WindowsTempAVUpdate.exe Network Information: Workstation Name: ….
Dati complessi: quasi tutti i log sono complessi!

Volumi di dati: non sottovalutare i volumi di Log!
Esempio:
1000 messaggi /secondo - media dimensione messaggio: 300bytes
= 0,28MB al secondo
X 3600 secondi = ~1GB all'ora
X 24 ore = ~24GB al giorno
X 365 giorni = ~8TB all'anno
X 3 anni = ~24TB in 3 anni
… e se moltiplico per 100?
Esempio: http://devops.com/2012/11/11/big-data-problems-in-monitoring-at-ebay/
Analisi dei Log

Analisi dei Log
SIAMO NEL
BIG-DATA!
… quando non basta un foglio excel

Analisi dei Log
Cosa e quando mi serve avere l'analisi dei dati?
● Semplice ricerca nei dati
● Report schedulati (giornalieri, settimanali, mensili)
● Analisi Real-Time
● Correlazione in Real-Time
● Allarmistica
● Azioni basate su regole
Forse ci stiamo spostando dal Log Management semplice verso
qualcos'altro...

Analisi dei Log
Analisi statistica
Esempi di report:
● Accessi eseguiti/falliti al giorno/settimana
● Operazioni di cambio configurazione
● Network Activity
● Accesso alle risorse
● Malware Activity Reports
Ed altri...
● Accessi fuori orario di lavoro
● Accessi alla VPN
● Accesso con account priviliegiati
● Multipli login falliti seguiti da un accesso eseguito con successo per lo stesso
account
● …

Analisi dei Log
Alcuni Prodotti
AWStats Apache Log
Viewer

SIEM
SIEM
Security Information and Event Management
Aggregazione, Correlazione, Allarmistica, Reportistica, Dashboard
e feature avanzate di sicurezza
Importante: il sistema deve conoscere bene il formato dei log, i sistemi in uso, la topologia...

Correlazione
Solo due parole...
● Più semplice su eventi normalizzati
● Livello base:
● Rule-based su alcuni campi dei dati
● Es: If sees event E1.type = portscan
then do Something
● Livello avanzato:
● Verifica se viene eseguito OS fingeprint
● Esegue vulnerability scan e verifica che l'IDS lo rilevi
● Anti-Port Correlation
● Geographic Location Correlation

Prodotti di Log Analisi
SEC
DeepSight

Normative
Se non è obbligatorio non lo faccio
Norme tecniche e cogenti
● ISO27001 (Information Security Management System)
● PCI-DSS
● HIPAA (Health Insurance Portability and Accountability Act)
● FISMA
● NIST 800-53 NIST 800-92
Tutte impongono la creazione di policy di Logging (entrando +/- nello specifico):
● Generazione dei Log
● Analisi
● particolare attenzione ad accessi amministrativi;
● cambi di conf
● accesso ai dati
● availability
● minacce
● Storage (retention)
● Monitoraggio
● Azioni da compiere in casi particolari

Normative (2)
PCI DSS
Payment Card Industry Data Security Standard
Key Requirement 10 – molto specifico su cosa deve essere loggato:
● Accessi individuali ai dati
● Tutte le azioni eseguite con privilegi amministrativi
● Accesso a tutti i tracciati di audit
● Accessi falliti
● Utilizzo di meccanismi autenticazione e identificazione
● Log del sistema di audit
● Creazione ed eliminazione di oggetti a livello di sistema
● Campi da loggare (id utente, tipo evento, timestamp, success/failure,
origine dell'evento, sistema o componente)
● Sincronizzazione con NTP
● Limite accesso ai tracciati di log
● Immodificabilità del log raccolti (integrity, monitoring)
● Policy di review dei log (anche giornaliere!)

Normative (3)
E IN ITALIA?
Normativa Amministratori di Sistema
Il provvedimento del Garante Privacy del 27/11/2008: Misure e accorgimenti prescritti ai
titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle
funzioni di amministratore di sistema
● Individuazione, nomina scritta di un elenco aggiornato degli amministratori di sistema.
● Obbligo di acquisizione e conservazione dei log di accesso degli AdS
● Retention di almeno 6 mesi (completezza, inalterabilità e integrità)
● Verifica almeno annuale dell’operato degli AdS mediante analisi dei log
Chi si deve adeguare?
Titolari del trattamento che trattano dati sensibili in formato elettronico riferiti a:
● clienti o ad altri soggetti diversi dai propri dipendenti
● trattano dati sullo stato di salute
● altri trattamenti che presentano rischi specifici fuori dall’ambito amministrativo-contabile.

Normative (4)
E IN ITALIA?
Sicurezza dei dati di traffico telefonico e telematico – 17/01/2008
Misure e accorgimenti a garanzia degli interessati in tema di
conservazione di dati di traffico telefonico e telematico per finalità di
accertamento e repressione di reati
Soggetti: gestori reti di fonia e dati al pubblico (ISP)
● Conservazione separata (storage)
● Cancellazione dei dati (anche dai backup!)
● Massimo 6 mesi per fini fatturazione
● Massimo 24 mesi per accertamento e soppressione dei reati
● Designazione precisa degli incaricati all'accesso ai dati di traffico
● Accesso tramite strong-authentication
● Audit log
● Audit interno–Rapporti periodici (demandato a personale diverso)
● Cifratura e protezione dei dati
● Verifiche annuali

Log per gli sviluppatori
Se fate bene il vostro lavoro, il sistema prima o poi andrà in produzione...
● Chiedersi cosa deve essere loggato (5W + How)
● Utilizzare un timestamp preciso
● Utilizzare facility/severity
● Utilizzare un file di conf per il loggin
● Utilizzare API e sistemi nativi del OS, se possibile (Event Viewer, Logger)
● Chiedersi dove registrare i log (file, DB)
● Non dimenticarsi della rotation (logrotate)
● Utilizzare un formato di log fisso per i log da analizzare (CSV, key-value,...)
● Scrivere sempre chiare le informazioni
● Attenzione alle implicazioni sulla sicurezza (non scriviamo password nei log)
● Considerazioni sulle performace

Progettazione sistema LM
Ricapitoliamo...
● Obbiettivi
● Audit interno
● Monitoraggio
● Security
● Compliance
● Cosa monitorare
● Non di meno / non di più (filtro a monte, se possibile)
● OS, Applicativi, Device
● Come collezionare
● Modalità trasferimento
● Collettori
● Autenticazione

Progettazione sistema LM (2)
● Dove memorizzare
● Raw file
● Database
● Quanto a lungo
● Retention
● Storage
● Disponibilità dei dati e analisi
● Analisi e reportistica a intervalli di tempo
● Analisi RT
● Ricerche contenuto
● …

Log: trend attuali e futuri
Sforzo per redigere ed adottare standard su:
● Linee guide, Policy e progettazione LM
● Formato dei log
● Modalità di collezionamento sicure
Alcuni sviluppi...
● Rsyslog vs Journald
● Progetto Lumberjack
● MITRE CEE Common Event Expression
● NIST 800-92
… e per il big data?

Big Data
Hadoop
● HDFS
● Framework calcolo distribuito
● Processi batch (basato su algoritmo MapReduce)
● Error Handling
● Ecosistema di applicazione

Fine
Grazie per l'attenzione!
Domande?

Aspetti di sicurezza in azienda: gestione dei log aziendali

More Related Content

Similar to Aspetti di sicurezza in azienda: gestione dei log aziendali

Aspetti di sicurezza in azienda: gestione dei log aziendali