Upload
teste
View
7
Download
2
Embed Size (px)
DESCRIPTION
A Segurança de Informação e a Gestão de Eventos
Citation preview
1
A Segurana de Informao e a Gesto de Eventos
De uma viso parcial para uma viso integrada
Autor: Rafael Aranha Setembro de 2013
O mundo dos Logs!
Os atuais sistemas de informao e comunicaes (SIC), sejam estes materializados por
servios, aplicaes e/ou equipamentos, produzem uma quantidade elevada de
informao atravs dos denominados logs1. Estes logs informam o administrador ou o
analista desses sistemas sobre os acontecimentos registados, doravante designados de
eventos. Exemplos destes eventos podem ser o login de um utilizador, a criao de uma
conta, a activao de um servio, tentativas de acesso no autorizadas, a deteco de
vrus, a temperatura do equipamento, a ocupao do processador e memria, o
ligar/desligar de uma porta num switch, a saturao de uma ligao num router, entre
muitos outros.
Por norma, uma organizao tem diversas consolas de gesto e monitorizao (G&M),
dedicados a cada um dos seus sistemas, onde recebem os logs e geram informao para
que possa ser analisada por um analista caixas azuis na Figura 1. A quantidade de
informao gerada pelos logs pode no entanto tornar-se avassaladora chegando
facilmente a GigaBytes num ms. Desta forma, humanamente incomportvel a sua
anlise manual sendo necessrio a utilizao das referidas consolas2.
Exemplos destes sistemas so as consolas de monitorizao de uma soluo de
antivrus, consolas de G&M de equipamentos de rede (e.g. routers, switch,
concentradores de VPN), consolas de G&M de equipamentos de segurana (e.g.
firewall, IDS/IPS, sniffers) consolas de G&M de equipamentos de transmisso (e.g.
equipamentos de Feixes Hertzianos, Fibra ptica, DSL, satlite, pontos de acesso de
redes sem fios), consolas de gesto de servios de directrio, nomes e servidores web
(e.g. LDAP, AD, DNS, IIS, Apache), consolas de G&M de Call Centers, mquinas
virtuais, etc.
1 O termo log advm de logfile. Estes so ficheiros onde so guardados os eventos registados por uma
aplicao ou equipamento. 2 Em alguns casos mesmo necessrio a anlise dos logs em formato raw. Exemplo disso num contexto
de anlise forense.
2
Figura 1 - Diagrama lgico de alto nvel dos componentes de um SIEM (Adaptado de Unisys)
No entanto, facilmente se depreende que, no respeitante segurana da informao no
contexto de uma organizao, todos esses sistemas de G&M revelam uma viso parcial
e localizada de um determinado evento. No entanto, a este evento, analisado de uma
forma isolada, pode no ser dada a importncia que, caso se tivesse uma viso integrada
de todos os sistemas de G&M, ele mereceria.
Da necessidade de se ter uma viso integrada da segurana, conforme atrs apresentado,
assim como da obrigatoriedade de muitas organizaes cumprirem normas de entidades
reguladoras (e.g. ISO27001, PCI DSS3, Lei Sarbox), advm os Security Information and
Event Management Systems (SIEM). De uma forma simples, um SIEM recebe logs de
praticamente todos os sistemas e equipamentos de uma organizao, normaliza-os,
correlaciona-os e gera alertas sobre ameaas aos SIC da organizao. Desta forma, o
SIEM o nico sistema capaz de ter uma viso integrada ao nvel da segurana de
informao de toda uma organizao, conforme ilustrado anteriormente na Figura 1.
O que parece nem sempre !
De forma a ilustrar o anteriormente exposto apresenta-se o exemplo da Figura 2.
Os diversos servios e equipamentos que compem a rede ilustrada registaram nos seus
logs, de forma diferente e em nveis distintos da camada OSI, um determinado evento.
3 Payment Card Industry Data Security Standard.
3
Este evento poder ter sido apresentado nas diversas consolas de cada servio ou
equipamento, a um analista. No entanto, salienta-se que algumas destas entradas so
normais se analisadas fora de um determinado contexto (e.g. as entradas registadas pela
firewall, router, servidor DHCP).
Figura 2 - Analise de logs gerados por diversos sistemas e equipamentos de uma organizao (Fonte: OSSIM)
Desta forma, numa organizao onde todos os logs gerados so recolhidos,
normalizados e correlacionados por um SIEM, o seguinte alarme seria gerado:
O PC1 onde o Joo est ligado foi infectado pelo ficheiro asbss.exe que
teve origem num site que continha malware. Este malware utilizou as
permisses do Joo para infectar o PC3 do Pedro. O antivrus detectou
essa infeco. No entanto o PC1 est ainda infectado.
Desta forma, as concluses que se retiram so que o site malicioso dever ser bloqueado
pelo web proxy e que o PC1 dever ser analisado pois provavelmente no tinha antivrus
instalado ou estava desactualizado.
Salienta-se que o exemplo anterior simplista e serve apenas para ilustrar as
capacidades de um SIEM. O que se pretende concluir que os logs, por si, raramente
contm a informao necessria para se compreender as implicaes de um determinado
evento no contexto da organizao.
Por ltimo, destaca-se que no possvel a uma organizao ter analistas de segurana
que entendam a informao que apresentada em logs nos mais diversos formatos. Uma
das mais-valias dos SIEM a sua capacidade de normalizar estes logs.
4
O Poder da Correlao
A correlao de eventos, de forma resumida, tem como objectivo principal gerar
alarmes para responder s seguintes perguntas: Quem est a atacar a organizao?;
De onde veio o ataque, como chegou onde chegou e o que pretende?.
Poder-se- pensar que os controlos implementados por solues de permetro como
firewall, IDS/IPS e antivrus podero ser a soluo para responder a estas perguntas. No
entanto, a maior parte das vezes a nica informao que esses controlos fornecem so os
eventos que detectaram num determinado momento e no o antes e o depois.
Actualmente os ataques bem-sucedidos aos SIC de uma organizao raramente o
aparentam ser. Se assim fosse, seria relativamente fcil automatizar os referidos
sistemas de proteco sem sequer ser necessria a interveno de um analista.
Idealmente, conforme apresentado na Figura 3, todos os sistemas operativos, aplicaes
e equipamentos geram os seus logs em formatos compatveis e susceptveis de serem
facilmente entendidos na realidade tal no acontece.
Figura 3 - Correlao de eventos relativos ao acesso a uma base de dados por parte de um utilizador
(Fonte: OSSIM)
Para que o SIEM possa correlacionar os eventos recebidos da rede necessrio
normalizar os logs. Para tal, as solues SIEM tm centenas de plugins desenvolvidos
com o objectivo de receber os logs de fabricantes/sistemas diferentes e normaliz-los.
5
Estes plugins so por norma ficheiros XML4 que podem ser particularizados ou
alterados pelo prprio analista caso este tenha necessidades muito especficas.
O passo seguinte ento a correlao dos eventos recebidos aps a normalizao dos
logs. nesta etapa que reside a mais-valia dos SIEM relativamente aos sistemas de
anlise dos logs dos IDS/IPS. O objectivo principal analisar a multitude dos eventos
recebidos de diferentes fontes e decidir, baseado em regras estabelecidas, se esses
eventos devero, ou no, originar um alarme.
Esta caracterstica dos SIEM tem a particularidade de, ao contrrio dos IDS/IPS, no se
basear apenas em assinaturas de ataques ou de malware. Assim, o SIEM poder
prevenir os denominados zero day attacks, avisar quanto a potenciais vulnerabilidades
at a desconhecidas e minimizar as Advanced Persistent Threats (APT)5. Tal acontece
pois o SIEM no se est a basear em assinaturas e/ou listas pr-definidas mas sim em
regras e anlise de padres de comportamento que no so visveis atravs dos logs
gerados por aplicaes ou equipamentos de forma isolada.
Exemplo de um SIEM
Conforme apresentado na Figura 4 existem actualmente no mercado diversas solues
de SIEM com diferentes funcionalidades e capacidades. No entanto, conceptualmente,
todas elas so semelhantes.
Apesar de sair fora do mbito deste artigo a comparao de diferentes solues,
salienta-se que existem ou existiram no mercado outras solues que se enquadram
apenas no conceito de SIM (Security Information Management) ou SEM (Security
Event Management), como por exemplo, o Cisco Security Monitoring, Analysis, and
Response System (CS-MARS), actualmente descontinuado. Da o facto de estas
solues no terem sido analisadas pelo estudo referenciado na Figura 4.
4 Extensible Markup Language formato de ficheiro que tem como objectivo padronizar um documento
para que possa ser lido tanto por pessoas como interpretado por um programa. 5 O objectivo de uma APT o roubo de informao em oposio a causar danos nos sistemas de uma
organizao, que, por norma, possui informao de alto valor. Desta forma o APT pretende passar
desapercebido e ficar indetectvel durante o maior tempo possvel. Um dos vectores de ataque utilizados
pela APT a Engenharia Social.
6
Figura 4 - Anlise de diversos produtos SIEM (Fonte: Gartner)
A empresa AlienVault foi uma das que surgiu mais cedo no mercado dos SIEM, por
volta de 2003, e tem actualmente no seu porteflio o produto OSSIM (Open Source
Security Information Management) que gratuito e suportado por uma vasta
comunidade de programadores e analistas de segurana. De seguida, apresenta-se uma
breve descrio deste SIEM.
O OSSIM tem na sua base quatro componentes principais, conforme apresentado na
Figura 5: sensores, uma base de dados, framework e o servidor.
Os sensores, que poder apenas ser um, so colocados ao longo da rede,
geograficamente dispersos, e perto dos equipamentos de onde se pretende receber os
logs. Os sensores podem ainda correr outro tipo de aplicaes, como por exemplo para
anlise de trfego e/ou vulnerabilidades (e.g. snort ou o nessus). Nos sensores onde se
encontram os plugins que permitiro normalizar os logs conforme apresentado
anteriormente, e gerar eventos;
A base de dados o ponto central de recolha dos eventos oriundos dos diversos sensores
tanto na fase de pr-correlao como na de ps-correlao;
O servidor o crebro do OSSIM e ir executar a correlao dos eventos. Esta
correlao tem por base inputs de diversas fontes. Alm das vulnerabilidades e padres
de anlise que lhe so conhecidos, o servidor ir basear-se tambm na reputao de cada
endereo IP, no risco atribudo, por exemplo, a um segmento de rede (e.g. uma DMZ ou
7
DataCenter) e na taxonomia, definida por defeito ou personalizada por um analista, dos
tipos/classes de eventos (e.g. logins);
Figura 5 - Diagrama lgico dos componentes do OSSIM (Fonte: OSSIM)
A framework o componente que permite apresentar os eventos recebidos, a correlao
efectuada e os alarmes gerados aps a correlao de uma forma grfica ao analista,
conforme ilustrado nas Figura 6 e Figura 7. Permite ainda gerir os diversos sensores,
treinar o motor de correlao, categorizar o risco associado a cada equipamento ou
servio e, finalmente, elaborar relatrios para uma anlise integrada das ameaas
detectadas na rede como um todo.
Figura 6 - Exemplo de uma aplicao SIEM denominada OSSIM (Fonte: OSSIM)
8
Figura 7 - Exemplo de eventos recebido de IPS Cisco (Fonte: OSSIM)
Como nota final salienta-se que o OSSIM tem ainda a capacidade de verificar se os
controlos determinados pelas normas ISO27001 e PCI DSS 2.0 esto a ser cumpridos.
Esta funcionalidade denominada por Compliance Mapping.
Concluses
O conceito subjacente a um Security Information and Event Management system
(SIEM) que toda a informao produzida por diversos Sistemas de Informao e
Comunicaes em diferentes locais geogrficos centralizada num nico ponto
permitindo, assim, a deteco de ameaas baseada no s em assinaturas como em
padres e tendncias, aco que no possvel alcanar recorrendo a sistemas isolados.
O SIEM permite disponibilizar aos analistas de segurana informao oriunda de
diversos servios, aplicaes e equipamentos sem, no entanto, existir a necessidade
daqueles terem acesso a esses sistemas e sem terem que percorrer dezenas de logs
diferentes.
A correlao de eventos o motor de inteligncia dos SIEM e poder resumidamente
caracterizar-se da seguinte forma:
Compara eventos de mltiplas fontes (i.e. aplicaes, servios, equipamentos)
de forma a monitorizar utilizadores, processos, recursos, aplicaes e trfego;
Relaciona os eventos ao longo do tempo de forma a detectar sequncias de
actividades que normalmente no deveriam ocorrer;
9
Treina o SIEM de forma a este perceber o que ou no normal num sistema,
permitindo-o detectar ataques que de outra forma no seriam detectados por
sistemas isolados.
A qualidade do produto final retirado de um SIEM , contudo, directamente
proporcional qualidade e quantidade de informao que ele recebe (i.e. logs). No
entanto, em organizaes com diversos tipos de sistemas e com cada um a gerar o seu
tipo de informao , hoje em dia, fulcral ter-se um nico ponto de recolha de
informao e elaborao de relatrios onde se possa ter uma viso global e holstica da
Segurana dos SIC e, consequentemente, da segurana da informao da organizao a
que estes pertencem.
10
Referncias:
[1] AccelOps, 2012. Compliance Management and Compliance Automation How and How Efficient.
[Online]
Disponvel em: http://www.accelops.com/blog/?p=149
[Acedido em 5 Agosto 2013].
[2] Ahrendt, M., 2012. Customizing AlienVault's OSSIM Plugins. [Online]
Disponvel em: http://mikeahrendt.blogspot.pt/2012/08/customizing-alienvaults-ossim-plugins.html
[Acedido em 5 Agosto 2013].
[3] AlienVault Corp, 2013. AlienVault - Intrusion Detection Capabilities and Usage Overview. [Online]
Disponvel em: https://alienvault.bloomfire.com/
[Acedido em 5 Agosto 2013].
[4] AlienVault Corp, 2013. How Alienvault Components Communicate. [Online]
Disponvel em: https://alienvault.bloomfire.com/
[Acedido em 5 Agosto 2013].
[5] AlienVault Corp, 2013. Log Collection, from the device, to the screen. [Online]
Disponvel em: https://alienvault.bloomfire.com/
[Acedido em 05 Agosto 2013].
[6] Kibirkstis, A., 2009. What is the Role of a SIEM in Detecting Events of Interest?. [Online]
Disponvel em: http://www.sans.org/security-resources/idfaq/siem.php
[Acedido em 5 Agosto 2013].
[7] Lane, A., 2010. Understanding and Selecting SIEM/LM: Use Cases, Part 1. [Online]
Disponvel em: https://securosis.com/blog/understanding-and-selecting-siem-lm-use-cases-part-1
[Acedido em 5 Agosto 2013].
[8] Levin, D., 2009. The convergence of SIEM and log management. [Online]
Disponvel em: http://www.networkworld.com/news/tech/2009/031909-tech-update.html
[Acedido em 5 Agosto 2013].
[9] Nicolett, M. & Kavanagh, K., 2013. Critical Capabilities for Security Information and Event Management.
[Online]
Disponvel em: http://www.gartner.com/
[Acedido em 05 Agosto 2013].
[10] Unisys, 2012. Security Operations Centers, Monitorizao, arquivo e correlao de eventos de segurana.
[Online]
Disponvel em: http://www.unisys.com/unisys/inc/countrysites/pdf/PT_CLB_SOC.pdf
[Acedido em 5 Agosto 2013].