A Segurança de Informação e a Gestão de Eventos

1

A Segurana de Informao e a Gesto de Eventos

De uma viso parcial para uma viso integrada

Autor: Rafael Aranha Setembro de 2013

O mundo dos Logs!

Os atuais sistemas de informao e comunicaes (SIC), sejam estes materializados por

servios, aplicaes e/ou equipamentos, produzem uma quantidade elevada de

informao atravs dos denominados logs1. Estes logs informam o administrador ou o

analista desses sistemas sobre os acontecimentos registados, doravante designados de

eventos. Exemplos destes eventos podem ser o login de um utilizador, a criao de uma

conta, a activao de um servio, tentativas de acesso no autorizadas, a deteco de

vrus, a temperatura do equipamento, a ocupao do processador e memria, o

ligar/desligar de uma porta num switch, a saturao de uma ligao num router, entre

muitos outros.

Por norma, uma organizao tem diversas consolas de gesto e monitorizao (G&M),

dedicados a cada um dos seus sistemas, onde recebem os logs e geram informao para

que possa ser analisada por um analista caixas azuis na Figura 1. A quantidade de

informao gerada pelos logs pode no entanto tornar-se avassaladora chegando

facilmente a GigaBytes num ms. Desta forma, humanamente incomportvel a sua

anlise manual sendo necessrio a utilizao das referidas consolas2.

Exemplos destes sistemas so as consolas de monitorizao de uma soluo de

antivrus, consolas de G&M de equipamentos de rede (e.g. routers, switch,

concentradores de VPN), consolas de G&M de equipamentos de segurana (e.g.

firewall, IDS/IPS, sniffers) consolas de G&M de equipamentos de transmisso (e.g.

equipamentos de Feixes Hertzianos, Fibra ptica, DSL, satlite, pontos de acesso de

redes sem fios), consolas de gesto de servios de directrio, nomes e servidores web

(e.g. LDAP, AD, DNS, IIS, Apache), consolas de G&M de Call Centers, mquinas

virtuais, etc.

1 O termo log advm de logfile. Estes so ficheiros onde so guardados os eventos registados por uma

aplicao ou equipamento. 2 Em alguns casos mesmo necessrio a anlise dos logs em formato raw. Exemplo disso num contexto

de anlise forense.

2

Figura 1 - Diagrama lgico de alto nvel dos componentes de um SIEM (Adaptado de Unisys)

No entanto, facilmente se depreende que, no respeitante segurana da informao no

contexto de uma organizao, todos esses sistemas de G&M revelam uma viso parcial

e localizada de um determinado evento. No entanto, a este evento, analisado de uma

forma isolada, pode no ser dada a importncia que, caso se tivesse uma viso integrada

de todos os sistemas de G&M, ele mereceria.

Da necessidade de se ter uma viso integrada da segurana, conforme atrs apresentado,

assim como da obrigatoriedade de muitas organizaes cumprirem normas de entidades

reguladoras (e.g. ISO27001, PCI DSS3, Lei Sarbox), advm os Security Information and

Event Management Systems (SIEM). De uma forma simples, um SIEM recebe logs de

praticamente todos os sistemas e equipamentos de uma organizao, normaliza-os,

correlaciona-os e gera alertas sobre ameaas aos SIC da organizao. Desta forma, o

SIEM o nico sistema capaz de ter uma viso integrada ao nvel da segurana de

informao de toda uma organizao, conforme ilustrado anteriormente na Figura 1.

O que parece nem sempre !

De forma a ilustrar o anteriormente exposto apresenta-se o exemplo da Figura 2.

Os diversos servios e equipamentos que compem a rede ilustrada registaram nos seus

logs, de forma diferente e em nveis distintos da camada OSI, um determinado evento.

3 Payment Card Industry Data Security Standard.

3

Este evento poder ter sido apresentado nas diversas consolas de cada servio ou

equipamento, a um analista. No entanto, salienta-se que algumas destas entradas so

normais se analisadas fora de um determinado contexto (e.g. as entradas registadas pela

firewall, router, servidor DHCP).

Figura 2 - Analise de logs gerados por diversos sistemas e equipamentos de uma organizao (Fonte: OSSIM)

Desta forma, numa organizao onde todos os logs gerados so recolhidos,

normalizados e correlacionados por um SIEM, o seguinte alarme seria gerado:

O PC1 onde o Joo est ligado foi infectado pelo ficheiro asbss.exe que

teve origem num site que continha malware. Este malware utilizou as

permisses do Joo para infectar o PC3 do Pedro. O antivrus detectou

essa infeco. No entanto o PC1 est ainda infectado.

Desta forma, as concluses que se retiram so que o site malicioso dever ser bloqueado

pelo web proxy e que o PC1 dever ser analisado pois provavelmente no tinha antivrus

instalado ou estava desactualizado.

Salienta-se que o exemplo anterior simplista e serve apenas para ilustrar as

capacidades de um SIEM. O que se pretende concluir que os logs, por si, raramente

contm a informao necessria para se compreender as implicaes de um determinado

evento no contexto da organizao.

Por ltimo, destaca-se que no possvel a uma organizao ter analistas de segurana

que entendam a informao que apresentada em logs nos mais diversos formatos. Uma

das mais-valias dos SIEM a sua capacidade de normalizar estes logs.

4

O Poder da Correlao

A correlao de eventos, de forma resumida, tem como objectivo principal gerar

alarmes para responder s seguintes perguntas: Quem est a atacar a organizao?;

De onde veio o ataque, como chegou onde chegou e o que pretende?.

Poder-se- pensar que os controlos implementados por solues de permetro como

firewall, IDS/IPS e antivrus podero ser a soluo para responder a estas perguntas. No

entanto, a maior parte das vezes a nica informao que esses controlos fornecem so os

eventos que detectaram num determinado momento e no o antes e o depois.

Actualmente os ataques bem-sucedidos aos SIC de uma organizao raramente o

aparentam ser. Se assim fosse, seria relativamente fcil automatizar os referidos

sistemas de proteco sem sequer ser necessria a interveno de um analista.

Idealmente, conforme apresentado na Figura 3, todos os sistemas operativos, aplicaes

e equipamentos geram os seus logs em formatos compatveis e susceptveis de serem

facilmente entendidos na realidade tal no acontece.

Figura 3 - Correlao de eventos relativos ao acesso a uma base de dados por parte de um utilizador

(Fonte: OSSIM)

Para que o SIEM possa correlacionar os eventos recebidos da rede necessrio

normalizar os logs. Para tal, as solues SIEM tm centenas de plugins desenvolvidos

com o objectivo de receber os logs de fabricantes/sistemas diferentes e normaliz-los.

5

Estes plugins so por norma ficheiros XML4 que podem ser particularizados ou

alterados pelo prprio analista caso este tenha necessidades muito especficas.

O passo seguinte ento a correlao dos eventos recebidos aps a normalizao dos

logs. nesta etapa que reside a mais-valia dos SIEM relativamente aos sistemas de

anlise dos logs dos IDS/IPS. O objectivo principal analisar a multitude dos eventos

recebidos de diferentes fontes e decidir, baseado em regras estabelecidas, se esses

eventos devero, ou no, originar um alarme.

Esta caracterstica dos SIEM tem a particularidade de, ao contrrio dos IDS/IPS, no se

basear apenas em assinaturas de ataques ou de malware. Assim, o SIEM poder

prevenir os denominados zero day attacks, avisar quanto a potenciais vulnerabilidades

at a desconhecidas e minimizar as Advanced Persistent Threats (APT)5. Tal acontece

pois o SIEM no se est a basear em assinaturas e/ou listas pr-definidas mas sim em

regras e anlise de padres de comportamento que no so visveis atravs dos logs

gerados por aplicaes ou equipamentos de forma isolada.

Exemplo de um SIEM

Conforme apresentado na Figura 4 existem actualmente no mercado diversas solues

de SIEM com diferentes funcionalidades e capacidades. No entanto, conceptualmente,

todas elas so semelhantes.

Apesar de sair fora do mbito deste artigo a comparao de diferentes solues,

salienta-se que existem ou existiram no mercado outras solues que se enquadram

apenas no conceito de SIM (Security Information Management) ou SEM (Security

Event Management), como por exemplo, o Cisco Security Monitoring, Analysis, and

Response System (CS-MARS), actualmente descontinuado. Da o facto de estas

solues no terem sido analisadas pelo estudo referenciado na Figura 4.

4 Extensible Markup Language formato de ficheiro que tem como objectivo padronizar um documento

para que possa ser lido tanto por pessoas como interpretado por um programa. 5 O objectivo de uma APT o roubo de informao em oposio a causar danos nos sistemas de uma

organizao, que, por norma, possui informao de alto valor. Desta forma o APT pretende passar

desapercebido e ficar indetectvel durante o maior tempo possvel. Um dos vectores de ataque utilizados

pela APT a Engenharia Social.

6

Figura 4 - Anlise de diversos produtos SIEM (Fonte: Gartner)

A empresa AlienVault foi uma das que surgiu mais cedo no mercado dos SIEM, por

volta de 2003, e tem actualmente no seu porteflio o produto OSSIM (Open Source

Security Information Management) que gratuito e suportado por uma vasta

comunidade de programadores e analistas de segurana. De seguida, apresenta-se uma

breve descrio deste SIEM.

O OSSIM tem na sua base quatro componentes principais, conforme apresentado na

Figura 5: sensores, uma base de dados, framework e o servidor.

Os sensores, que poder apenas ser um, so colocados ao longo da rede,

geograficamente dispersos, e perto dos equipamentos de onde se pretende receber os

logs. Os sensores podem ainda correr outro tipo de aplicaes, como por exemplo para

anlise de trfego e/ou vulnerabilidades (e.g. snort ou o nessus). Nos sensores onde se

encontram os plugins que permitiro normalizar os logs conforme apresentado

anteriormente, e gerar eventos;

A base de dados o ponto central de recolha dos eventos oriundos dos diversos sensores

tanto na fase de pr-correlao como na de ps-correlao;

O servidor o crebro do OSSIM e ir executar a correlao dos eventos. Esta

correlao tem por base inputs de diversas fontes. Alm das vulnerabilidades e padres

de anlise que lhe so conhecidos, o servidor ir basear-se tambm na reputao de cada

endereo IP, no risco atribudo, por exemplo, a um segmento de rede (e.g. uma DMZ ou

7

DataCenter) e na taxonomia, definida por defeito ou personalizada por um analista, dos

tipos/classes de eventos (e.g. logins);

Figura 5 - Diagrama lgico dos componentes do OSSIM (Fonte: OSSIM)

A framework o componente que permite apresentar os eventos recebidos, a correlao

efectuada e os alarmes gerados aps a correlao de uma forma grfica ao analista,

conforme ilustrado nas Figura 6 e Figura 7. Permite ainda gerir os diversos sensores,

treinar o motor de correlao, categorizar o risco associado a cada equipamento ou

servio e, finalmente, elaborar relatrios para uma anlise integrada das ameaas

detectadas na rede como um todo.

Figura 6 - Exemplo de uma aplicao SIEM denominada OSSIM (Fonte: OSSIM)

8

Figura 7 - Exemplo de eventos recebido de IPS Cisco (Fonte: OSSIM)

Como nota final salienta-se que o OSSIM tem ainda a capacidade de verificar se os

controlos determinados pelas normas ISO27001 e PCI DSS 2.0 esto a ser cumpridos.

Esta funcionalidade denominada por Compliance Mapping.

Concluses

O conceito subjacente a um Security Information and Event Management system

(SIEM) que toda a informao produzida por diversos Sistemas de Informao e

Comunicaes em diferentes locais geogrficos centralizada num nico ponto

permitindo, assim, a deteco de ameaas baseada no s em assinaturas como em

padres e tendncias, aco que no possvel alcanar recorrendo a sistemas isolados.

O SIEM permite disponibilizar aos analistas de segurana informao oriunda de

diversos servios, aplicaes e equipamentos sem, no entanto, existir a necessidade

daqueles terem acesso a esses sistemas e sem terem que percorrer dezenas de logs

diferentes.

A correlao de eventos o motor de inteligncia dos SIEM e poder resumidamente

caracterizar-se da seguinte forma:

Compara eventos de mltiplas fontes (i.e. aplicaes, servios, equipamentos)

de forma a monitorizar utilizadores, processos, recursos, aplicaes e trfego;

Relaciona os eventos ao longo do tempo de forma a detectar sequncias de

actividades que normalmente no deveriam ocorrer;

9

Treina o SIEM de forma a este perceber o que ou no normal num sistema,

permitindo-o detectar ataques que de outra forma no seriam detectados por

sistemas isolados.

A qualidade do produto final retirado de um SIEM , contudo, directamente

proporcional qualidade e quantidade de informao que ele recebe (i.e. logs). No

entanto, em organizaes com diversos tipos de sistemas e com cada um a gerar o seu

tipo de informao , hoje em dia, fulcral ter-se um nico ponto de recolha de

informao e elaborao de relatrios onde se possa ter uma viso global e holstica da

Segurana dos SIC e, consequentemente, da segurana da informao da organizao a

que estes pertencem.

10

Referncias:

[1] AccelOps, 2012. Compliance Management and Compliance Automation How and How Efficient.

[Online]

Disponvel em: http://www.accelops.com/blog/?p=149

[Acedido em 5 Agosto 2013].

[2] Ahrendt, M., 2012. Customizing AlienVault's OSSIM Plugins. [Online]

Disponvel em: http://mikeahrendt.blogspot.pt/2012/08/customizing-alienvaults-ossim-plugins.html


[3] AlienVault Corp, 2013. AlienVault - Intrusion Detection Capabilities and Usage Overview. [Online]

Disponvel em: https://alienvault.bloomfire.com/


[4] AlienVault Corp, 2013. How Alienvault Components Communicate. [Online]



[5] AlienVault Corp, 2013. Log Collection, from the device, to the screen. [Online]



[6] Kibirkstis, A., 2009. What is the Role of a SIEM in Detecting Events of Interest?. [Online]

Disponvel em: http://www.sans.org/security-resources/idfaq/siem.php


[7] Lane, A., 2010. Understanding and Selecting SIEM/LM: Use Cases, Part 1. [Online]

Disponvel em: https://securosis.com/blog/understanding-and-selecting-siem-lm-use-cases-part-1


[8] Levin, D., 2009. The convergence of SIEM and log management. [Online]

Disponvel em: http://www.networkworld.com/news/tech/2009/031909-tech-update.html


[9] Nicolett, M. & Kavanagh, K., 2013. Critical Capabilities for Security Information and Event Management.

[Online]

Disponvel em: http://www.gartner.com/


[10] Unisys, 2012. Security Operations Centers, Monitorizao, arquivo e correlao de eventos de segurana.

[Online]

Disponvel em: http://www.unisys.com/unisys/inc/countrysites/pdf/PT_CLB_SOC.pdf


Documents

A Segurança de Informação e a Gestão de Eventos