aspetti di sicurezza in azienda: gestione dei log aziendali

Aspetti di sicurezza in azienda: gestione dei log aziendali

Francesco Cossettini HTS Hi-Tech Services Srl

5 Ottobre 2013

Who is this guy?


● Lavoro alla HTS Hi-Tech Services S.r.L.

● Pre/Post Sales, Deploy & Support Soluzione Log Management in ambito enterprise

Log Management


● Cosa sono i log?

● Collezionamento dei log

● Perché il Log Management?

● Analisi dei log

● Normative e Linee Guida

● I Log per gli sviluppatori

● Trend attuali/futuri

Cosa sono i Log?


Definizioni del MITRE (www.mitre.org)

http://cee.mitre.org/docs/CEE_Architecture_Overview-v0.5.pdf

An event is a single occurrence within an environment, usually involving an attempted state change. An event usually includes a notion of time, the occurrence, and any details the explicitly pertain to the event or environment that may help explain or understand the event's causes or effects.

An event field describes one characteristic of an event. Examples of an event fieldinclude date, time, source IP, user identification, and host identification.

An event record is a collection of event fields that, together, describe a single event. Terms synonymous to event record include "audit record" and "log entry".

A log is a collection of event records. Terms such as "data log," "activity log," "audit log," "audit trail," "log file," and "event log" are often used to mean the same thing as log.

Cosa sono i Log (2)


… Ancora un paio di definizioni:

http://cee.mitre.org/docs/CEE_Architecture_Overview-v0.5.pdf

Logging is the act of collecting event records into logs. Examples of logging include storing log entries into a text log file, or storing audit record data in binary files or databases.

An audit is the process of evaluating logs within an environment. The typical goal of an audit is to assess the overall status or identify any notable or problematic activity.

Tipologie di Log


Sistema: SyslogWindows Event Register

Servizi e Applicazioni: DBMSWeb ServerFTP server...

Appliance: SyslogOPSECSNMP

Sistemi di sicurezza: IDSAnti-VirusEnd Point Security

Etc...

Log Management


Ed il Log Management, cos'è? (definizione dal NIST 800-92)

http://csrc.nist.gov/publications/nistpubs/800-92/SP800-92.pdf

the process for generating, transmitting, storing, analyzing, and disposing of computer security log data.

Insieme di tecnologie, protocolli, standard e non per gestione dei log.

… ovviamente dipende da quali sono i nostri obbiettivi!

Perché LM?


● Controllo● Monitoraggio● Verifiche interne● Security● Compliance Normative● Business intelligence

LM: i passi da compiere


● Generare i Log● Collezionare i Log● Centralizzare i Log● Analizzare i Log● Giudicarne il contenuto (audit)

Ma soprattutto, progettare il LM!

Generare i log


Banale ma... è il punto zero!

● Abbiamo abilitato l'audit?● Configurato il logging?● Sappiamo dove e come vengono registrati gli eventi?

… sempre se è possibile farlo!

Collezionare i log


Ovvero renderli disponibili al nostro sistema di Log Management

● Sono su file di testo?● I log sono in formato binario/proprietario?● Sono registrati su DB?● Si ottengono richiamando determinate procedure?

Qualche caso pratico: Syslog


● Sviluppato negli anni '80 (BSD Syslog) - Standard de facto● Fonti: largamente diffuso su OS Unix like e dispositivi di rete ● Regolamentato RFC 3164 (2001) resa obsoleta da RFC 5424 (2009)● Definizione del “formato” (RFC 5425) Definizione del trasporto

UDP porta 514 (RFC 5426) Previsto anche TCP (RFC6587 – inutilizzato) e TLS (RFC5425 – poco utilizzato)

● … Tutta una serie di RFC scarsamente implementate● Reliability?

Oct 3 22:09:30 ObiOne sshd[23927]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=190.128.255.178

Oct 3 22:09:32 ObiOne sshd[23927]: Failed password for invalid user tristan from 190.128.255.178 port 37558 ssh2

Oct 3 22:12:01 ObiOne sshd[23933]: Accepted password for cos from 192.168.1.47 port 61440 ssh2

Oct 3 22:12:01 ObiOne sshd[23933]: pam_unix(sshd:session): session opened for user cos by (uid=0)

Syslog (2)


Multiplexing

kern (0) kerneluser (1) user-level mail (2) mail system daemon (3) system daemons' auth (4) authorization Syslog (5) generated internally Lpr (6) line printer subsys news (7) network news subsys uucp (8) UUCP subsystem cron (9) clock daemon authpriv (10) security/auth ftp (11) ftp daemon ntp (12) NTP subsystem Audit (13) audit messagesConsole (14) console messagescron2 (15) clock daemon local0 (16) ...local7 (23)

Non troppo “standard”!

Emerg (0) system is unusableAlert (1) action must be taken immediatelyCrit (2) critical conditionErr (3) error conditionWarning (4) warning conditionNotice (5) significant conditionInfo (6) informational Debug (7) debug-level

Facility: Severity:

Syslog (3)


Configurazione[root@server ~]# cat /etc/syslog.conf# Log all kernel messages to the console. kern.* /dev/console

# Log anything (except mail) of level info or higher.# Don't log private authentication messages!*.info;mail.none;authpriv.none;cron.none /var/log/messages

# The authpriv file has restricted access.auth,authpriv.* /var/log/secure

# Log all the mail messages in one place.mail.* /var/log/maillog

# Log cron stuffcron.* /var/log/cron

# Everybody gets emergency messages*.emerg *

# Save boot messages also to boot.loglocal7.* /var/log/boot.log

# send auth log to the syslog collectorauth,authpriv.* @192.168.11.200

Windows Event Logs


Registro eventi di Windows● I più antichi sono “System”, “Security” e “Application”● Aggiunti altri nei Windows più recenti● Dopo Vista anche registri personalizzabili e viste

Windows Event Logs (2)


● Logs registrati su file binario● .evt● .evtx: (binary xml) post-Vista

● Accesso attraverso tools (Event Viewer, Wevt Command Line, PowerShell, LogParser...)● Alcune informazioni vengono memorizzate com UID ma visualizzate “tradotte”

Event Types (security):● Error● Warning● Information● Success Audit● Failure Audit

Event Category (security):● System Events● Audit Logs Cleared● Successful User Logons● Logon Failures● Successful User Logoffs● Object Access● Audit Policy Changes● User Account Changes● Successful User Account Validation● Failed User Account Validation● ...

Event ID: identificativo preciso della tipologia di evento/azione tracciato.



Configurazione● Group Policy Management Console (Dominio)● Security Policy (singolo computer)



Esempio: logon interattivo

● Logon Type

● New Logon● Account Name● Account Domain● Logon ID

● Source Network Information● Computer Name● Source Network Address

● . . .

● . . . altri info di dettaglio

● Descrizione dettagliata dei campi del log!



Esempio: logon interattivo parte seconda



Centralizzazione dei Log di Windows, possibile?

Log Forwarding● Sistema nativo (OS più recenti) ● Non banale da implementare● Non molto utile

Domain Controller● Gli eventi che mi interessano sono già sul DC

Tool terze parti● Inoltro via Syslog● Integrazione con tool di LM proprietario

Centralizzare i Log


Perché?

● Facilità di consultazione● Facilità di gestione (verifica presenza, contenuto, cancellazione)● Analisi/Statistiche● Analisi/Correlazione● Sicurezza

Come?● Sistemi nativi (Syslog, Event Forwarding)● Protocolli standard (Syslog, FTP)● Sistemi OSS (Rsyslog, ...)● Sistemi propietari (Splunk, Snare, Syslog-ng, ...)

Centralizzare i Log (2)


Sistema di collezionamento dei Log● Homemade● Open Source● Commerciale/Propietario

Supporta le mie sorgenti (windows, opsec, ftp, snmp, …)

Destinazione dei log (file, DB SQL, NoSQL, ...)

Gestione● Agent o Agent-less● Centralizzata o periferica● Servizio/Cloud

Security● Autenticazione/Integrità/Confidenza● Inalterabilità (Cifratura e/o Firma digitale dei dati)● Accessi ai log con differenti livelli di privilegi (e magari strong-authentication)● Compliant a normative/regolamenti

Analisi, allarmistica e reportistica

Centralizzare i Log (3)


Sistemi Open Source e Commerciali

Attenzione! Programma con inserimento di prodotti commerciali! :-)

Laboratorio


concentratore RSyslog

Pausa!


Analisi dei Log


Cosa significa?Principalmente estrarre le informazioni importanti (a seconda dello scopo) dalle righe di log.Magari in maniera automatizzata.

Perché?● Ricerca● Normalizzazione● Statistiche e Report● Correlazione● Allarmistica

Come si ottiente?● Parsing● Data Reduction● Tabelle e grafici● Istruzioni date al sistema

Analisi dei Log


Gli strumenti “base”● Grep● Awk● LogParser / PowerShell

Ottimi per iniziare ma...

Quando ho log complessi?Quando ho importanti volumi di dati?Quando mi servono dati precisi e “subito”?

Analisi dei Log


<189>46: FW_UD_ser01: 000046: Sep 21 2011 11:12:58.023 CEST: %SEC_LOGIN-5-LOGIN_SUCCESS: Login Success [user: net_adm016] [Source: 10.22.43.133] [localport: 23] at 11:12:58 CEST Wed Sep 21 2011

<180>Dec 15 11:55:42 date=2010-12-15, time=11:51:12,devname=FGXXX,device_id=FGXX,log_id=0317013312,type=webfilter,subtype=ftgd_allow,pri=notice,fwver=040008,vd="ProxyWebFlt",policyid=2,serial=251933596,user="BCAPOS",group="CN=Internet_Profilo4,OU=Users Non_Nominali,DC=zonebs,DC=locale",src=10.0.1.101,sport=1622,src_port=1622,src_int="Proxy_prefilter",dst=10.31.21.206,dport=80,dst_port=80,dst_int="Proxy_postfilte",service="http",hostname="",profile="IPS",status="passthrough",req_type="referral",url=”...

11/6/2013 00:36:33 Microsoft-Windows-Security-Auditing 4624 Audit Success FSERV2 12544 An account was successfully logged on. Subject:Security ID: S-1-5-18 Account Name: MILANO$ Account Domain: EMEA Logon ID: 0x3e7 Logon Type: 5 New Logon: Security ID: S-1-5-21-3444241613-2674865918-2390548536-1000 Account Name: Service02 Account Domain: MILAN2 Logon ID: 0x96f35023 Logon GUID: {00000000-0000-0000-0000-000000000000} Process Information: Process ID: 0x1348 Process Name:

C:\Windows\Temp\AV\Update.exe Network Information: Workstation Name: ….

Dati complessi: quasi tutti i log sono complessi!


Volumi di dati: non sottovalutare i volumi di Log!

Esempio:

1000 messaggi /secondo - media dimensione messaggio: 300bytes= 0,28MB al secondo

X 3600 secondi = ~1GB all'ora

X 24 ore = ~24GB al giorno

X 365 giorni = ~8TB all'anno

X 3 anni = ~24TB in 3 anni

… e se moltiplico per 100?

Esempio: http://devops.com/2012/11/11/big-data-problems-in-monitoring-at-ebay/

Analisi dei Log


Analisi dei Log

SIAMO NEL BIG-DATA!

… quando non basta un foglio excel


Analisi dei Log

Cosa e quando mi serve avere l'analisi dei dati?● Semplice ricerca nei dati● Report schedulati (giornalieri, settimanali, mensili)● Analisi Real-Time● Correlazione in Real-Time

● Allarmistica● Azioni basate su regole

Forse ci stiamo spostando dal Log Management semplice verso qualcos'altro...


Analisi dei Log

Analisi statisticaEsempi di report:● Accessi eseguiti/falliti al giorno/settimana● Operazioni di cambio configurazione● Network Activity● Accesso alle risorse● Malware Activity Reports

Ed altri...● Accessi fuori orario di lavoro● Accessi alla VPN● Accesso con account priviliegiati● Multipli login falliti seguiti da un accesso eseguito con successo per lo stesso

account● …


Analisi dei Log

Alcuni Prodotti

AWStats Apache Log Viewer


SIEMSIEM

Security Information and Event Management

Aggregazione, Correlazione, Allarmistica, Reportistica, Dashboarde feature avanzate di sicurezza

Importante: il sistema deve conoscere bene il formato dei log, i sistemi in uso, la topologia...


Correlazione

Solo due parole...

● Più semplice su eventi normalizzati

● Livello base:● Rule-based su alcuni campi dei dati● Es: If sees event E1.type = portscan

then do Something

● Livello avanzato:● Verifica se viene eseguito OS fingeprint● Esegue vulnerability scan e verifica che l'IDS lo rilevi● Anti-Port Correlation● Geographic Location Correlation


Prodotti di Log Analisi

SEC

DeepSight


NormativeSe non è obbligatorio non lo faccio

Norme tecniche e cogenti● ISO27001 (Information Security Management System)● PCI-DSS● HIPAA (Health Insurance Portability and Accountability Act)● FISMA● NIST 800-53 NIST 800-92

Tutte impongono la creazione di policy di Logging (entrando +/- nello specifico):● Generazione dei Log● Analisi

● particolare attenzione ad accessi amministrativi; ● cambi di conf● accesso ai dati● availability● minacce

● Storage (retention)● Monitoraggio● Azioni da compiere in casi particolari


Normative (2)

PCI DSSPayment Card Industry Data Security Standard

Key Requirement 10 – molto specifico su cosa deve essere loggato:● Accessi individuali ai dati● Tutte le azioni eseguite con privilegi amministrativi● Accesso a tutti i tracciati di audit● Accessi falliti● Utilizzo di meccanismi autenticazione e identificazione● Log del sistema di audit● Creazione ed eliminazione di oggetti a livello di sistema

● Campi da loggare (id utente, tipo evento, timestamp, success/failure, origine dell'evento, sistema o componente)

● Sincronizzazione con NTP● Limite accesso ai tracciati di log● Immodificabilità del log raccolti (integrity, monitoring)● Policy di review dei log (anche giornaliere!)


Normative (3)

E IN ITALIA?Normativa Amministratori di Sistema

Il provvedimento del Garante Privacy del 27/11/2008: Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema

● Individuazione, nomina scritta di un elenco aggiornato degli amministratori di sistema. ● Obbligo di acquisizione e conservazione dei log di accesso degli AdS● Retention di almeno 6 mesi (completezza, inalterabilità e integrità)● Verifica almeno annuale dell’operato degli AdS mediante analisi dei log

Chi si deve adeguare?Titolari del trattamento che trattano dati sensibili in formato elettronico riferiti a:● clienti o ad altri soggetti diversi dai propri dipendenti● trattano dati sullo stato di salute ● altri trattamenti che presentano rischi specifici fuori dall’ambito amministrativo-contabile.


Normative (4)

E IN ITALIA?

Sicurezza dei dati di traffico telefonico e telematico – 17/01/2008Misure e accorgimenti a garanzia degli interessati in tema di conservazione di dati di traffico telefonico e telematico per finalità di accertamento e repressione di reati

Soggetti: gestori reti di fonia e dati al pubblico (ISP)● Conservazione separata (storage)● Cancellazione dei dati (anche dai backup!)

● Massimo 6 mesi per fini fatturazione● Massimo 24 mesi per accertamento e soppressione dei reati

● Designazione precisa degli incaricati all'accesso ai dati di traffico● Accesso tramite strong-authentication● Audit log● Audit interno–Rapporti periodici (demandato a personale diverso)● Cifratura e protezione dei dati● Verifiche annuali


Log per gli sviluppatoriSe fate bene il vostro lavoro, il sistema prima o poi andrà in produzione...

● Chiedersi cosa deve essere loggato (5W + How)● Utilizzare un timestamp preciso● Utilizzare facility/severity● Utilizzare un file di conf per il loggin● Utilizzare API e sistemi nativi del OS, se possibile (Event Viewer, Logger)● Chiedersi dove registrare i log (file, DB)● Non dimenticarsi della rotation (logrotate)● Utilizzare un formato di log fisso per i log da analizzare (CSV, key-value,...)● Scrivere sempre chiare le informazioni● Attenzione alle implicazioni sulla sicurezza (non scriviamo password nei log)● Considerazioni sulle performace


Progettazione sistema LMRicapitoliamo...

● Obbiettivi● Audit interno● Monitoraggio● Security● Compliance

● Cosa monitorare● Non di meno / non di più (filtro a monte, se possibile)● OS, Applicativi, Device

● Come collezionare● Modalità trasferimento● Collettori● Autenticazione


Progettazione sistema LM (2)● Dove memorizzare

● Raw file● Database

● Quanto a lungo● Retention● Storage

● Disponibilità dei dati e analisi● Analisi e reportistica a intervalli di tempo● Analisi RT● Ricerche contenuto● …


Log: trend attuali e futuriSforzo per redigere ed adottare standard su:● Linee guide, Policy e progettazione LM● Formato dei log● Modalità di collezionamento sicure

Alcuni sviluppi...

● Rsyslog vs Journald● Progetto Lumberjack

● MITRE CEE Common Event Expression● NIST 800-92

… e per il big data?


Big Data

Hadoop● HDFS● Framework calcolo distribuito● Processi batch (basato su algoritmo MapReduce)● Error Handling● Ecosistema di applicazione


Fine

Grazie per l'attenzione!

Domande?

aspetti di sicurezza in azienda: gestione dei log aziendali

Technology