Bogotá, Colombia

Junio 16, 2006

Bogotá, ColombiaBogotá, Colombia

JunioJunio 16, 200616, 2006

Correlación de alertas y eventos en seguridad

informática

CorrelaciCorrelaci óón de alertas y n de alertas y eventos en seguridad eventos en seguridad

informinform ááticatica

dosorior@poligran.edu.codosoriordosorior@@poligranpoligran..eduedu.co.co

Ing. Diego Osorio Reina

Especialista en seguridad de Redes

Politécnico Grancolombiano

IngIng. . Diego Osorio ReinaDiego Osorio Reina

EspecialistaEspecialista enen seguridadseguridad dede RedesRedes

PolitPolitéécnico Grancolombianocnico Grancolombiano

AgendaAgendaAgenda

•• Mecanismo de seguridadMecanismo de seguridad•• DetecciDetecci óón de Intrusosn de Intrusos

•• Porque?Porque?•• RequerimientosRequerimientos•• Common Intrusion Detection Common Intrusion Detection

FrameworkFramework•• TaxonomiaTaxonomia

AgendaAgendaAgenda

•• CorrelaciCorrelaci óón de alertasn de alertas•• Porque?Porque?•• Modelo Modelo teteóórico rico

•• OSSIM (OSSIM (Open source Security Information ManagementOpen source Security Information Management ))•• ComponentesComponentes•• Diagrama FuncionalDiagrama Funcional•• ArquitecturaArquitectura•• NormalizaciNormalizaci óónn

AgendaAgendaAgenda

•• OSSIM (OSSIM (Open source Security Information ManagementOpen source Security Information Management ))•• PriorizaciPriorizaci óónn•• ValoraciValoraci óón del riesgon del riesgo•• CorrelaciCorrelaci óónn•• MonitoresMonitores•• DemostraciDemostraci óón OSSIMn OSSIM

•• ConclusionesConclusiones•• ReferenciasReferencias

Mecanismo de seguridadMecanismoMecanismo dede seguridadseguridad

�� Attack PreventionAttack PreventionControl de acceso: autenticación de un sistema operativo,

firewalls

�� Attack AvoidanceAttack AvoidanceCriptografía de llave publica

�� Attack DetectionAttack DetectionSistema de detección de intrusos

Detección de intrusos, Porque?DetecciDetecci óón de n de intrusosintrusos , , PorquePorque ??

Los sistema de detección de intrusos son motivados por:

� Los sistemas no son absolutamente seguros� El control puede ser deshabilitado� Los usuarios legítimos pueden abusar

� Es valioso conocer los ataques fallidos

Detección de intrusos, RequerimientosDetecciDetecci óón n de de intrusosintrusos , , RequerimientosRequerimientos

�� ExactitudExactitud : mínima cantidad de falsos positivos

�� DesempeDesempe ññoo: Detección en tiempo real

�� CubrimientoCubrimiento : mínima cantidad de falsos negativos

�� Tolerancia a fallasTolerancia a fallas : Resistente a ataques

�� EscalabilidadEscalabilidad : Soportar la peor situación de eventos sin perder información

Detección de intrusos, Exactitud y CubrimientoDetecciDetecci óón de n de intrusosintrusos , , Exactitud Exactitud y y CubrimientoCubrimiento

No No DetectadoDetectadoy no y no es ciertoes cierto

DetectadoDetectado y y no no es ciertoes cierto

FalsoFalso

No No detectadodetectadoy y es ciertoes cierto

Detectado Detectado y y es ciertoes cierto

VerdaderoVerdadero

NegativoNegativoPositivoPositivo

Detección de intrusos, Common Intrusion Detection FrameworkDetecciDetecci óón de n de intrusosintrusos , , Common Common Intrusion Detection FrameworkIntrusion Detection Framework

�� EE--Boxes:Boxes: Cajas de eventos

�� AA--Boxes: Boxes: Cajas de análisis

�� DD--Boxes: Boxes: Cajas de bases de datos

�� RR--Boxes: Boxes: Cajas de respuestas

Detección de intrusos, TaxonomiaDetecciDetecci óón de n de intrusosintrusos , , TaxonomiaTaxonomia

� Método de detección : Basado en anomalías / Basado en errores� Comportamiento de la detecciónPasivo / Activo� Lugar auditadoHost / Aplicación / Red� Frecuencia de usoTiempo real / offline - periódico

Correlación de alertas, Porque?CorrelaciCorrelaci óón de n de alertasalertas , , PorquePorque ??

� Concentración de los logs de un ambiente heterogéneo

� Se obtienen demasiadas alertas y estas no son fiables

� Un IDS cubre solo una parte del espacio de eventos y de acuerdo a eso solo cubre una parte del espacio de ataques

Correlación de alertas, Modelo Teórico?CorrelaciCorrelaci óón de alertas, Modelo Ten de alertas, Modelo Te óórico?rico?

Alertas Sensor

NormalizaciónVerificación

de alertasPre-procesamiento

Fusión de alertas

PriorizaciónReconocimiento

del objetivoAnálisis del

impactoCorrelación de

multi pasos

ReconstrucciónDe la amaneza

ReconstrucciónDel ataque

Base de datos sensor

Base de datos Alertas

Reporte de intrusión

Administrador

OSSIM Open source Security Information Management, ComponentesOSSIM OSSIM Open source Security Information Open source Security Information Management, Management, ComponentesComponentes

Componentes

� Arpwatch: usado para detectar anomalías de arp� P0f: usado para detección pasiva del SO pasiva y análisis de cambios del SO� Pads: usado por el servicio de detección de anomalías� Nessus: Usado para identificar las vulnerabilidades y cruzar la correlación con

el IDS� Snort: IDS, usado para cruzar la correlación con Nes sus� Spade, Detector de anomalías, usado para detectar ataques sin firma existente� Tcptrack, Guarda la información de sesiones de red, información usada para la

correlación� Ntop, impresionante base de datos de información de red que sirve para

detectar anomalías.� Nagios. Monitorea host e información de servicio disponible� Osiris, un gran IDS de host

OSSIM Open source Security Information Management, Diagrama FuncionalOSSIM OSSIM Open source Security Information Open source Security Information Management, Management, Diagrama FuncionalDiagrama Funcional

OSSIM Open source Security Information Management, AquitecturaOSSIM OSSIM Open source Security Information Open source Security Information Management, Management, AquitecturaAquitectura

OSSIM Open source Security Information Management, NormalizaciónOSSIM OSSIM Open source Security Information Open source Security Information Management, Management, NormalizaciNormalizaci óónn

�� UnificarUnificar y y centralizarcentralizar�� Parser o Parser o traductortraductor�� Router, Firewall, IDS,, Router, Firewall, IDS,, SyslogSyslog ……

OSSIM Open source Security Information Management, PriorizaciónOSSIM OSSIM Open source Security Information Open source Security Information Management, Management, PriorizaciPriorizaci óónn

� Si la alerta se refiere a un ataque para apache y el servidor de la organización es ISS demicrosoft la alerta tiene baja prioridad

� Evaluación de la importancia de la alerta respecto al contexto o escenario de la organización

OSSIM Open source Security Information Management, PriorizaciónOSSIM Open source Security Information Management, OSSIM Open source Security Information Management, PriorizaciPriorizaci óónn

OSSIM Open source Security Information Management, Valoración del riesgoOSSIM OSSIM Open source Security Information Open source Security Information Management, Management, ValoraciValoraci óón deln del riesgoriesgo

� Valor del activo� Amenaza que representa� Probabilidad de ocurrencia� Riesgo Intrínseco� Riesgo Instantáneo

OSSIM Open source Security Information Management, CorrelaciónOSSIM OSSIM Open source Security Information Open source Security Information Management, Management, CorrelaciCorrelaci óónn

� Patrones especificaos� Patrones ambiguos� Maquina de inferencia a través de

reglas� Enlace recursivo de detectores y

monitores� Desarrollo de algoritmos que ofrezcan

una visión general

OSSIM Open source Security Information Management, CorrelaciónOSSIM OSSIM Open source Security Information Open source Security Information Management, Management, CorrelaciCorrelaci óónn

MMéétodostodos•• HeuristicosHeuristicosCALM (Compromise and Attack Level Monitor), “C”

nivel de compromiso, “A” nivel de ataque

•• SecuenciaSecuencia de de eventoseventosListas de reglas

OSSIM Open source Security Information Management, CorrelaciónOSSIM Open source Security Information Management, OSSIM Open source Security Information Management, CorrelaciCorrelaci óónn

OSSIM Open source Security Information Management, CorrelaciónOSSIM Open source Security Information Management,OSSIM Open source Security Information Management, CorrelaciCorrelaci óónn

OSSIM Open source Security Information Management, MonitoresOSSIM OSSIM Open source Security Information Open source Security Information Management, Management, MonitoresMonitores

Monitores

� Monitor de riesgos

� Monitor de uso, sesiones y perfiles

OSSIM Open source Security Information Management, MonitoresOSSIM Open source Security Information Management, OSSIM Open source Security Information Management, MonitoresMonitores

OSSIM Open source Security Information Management, MonitoresOSSIM Open source Security Information Management, OSSIM Open source Security Information Management, MonitoresMonitores

OSSIM Open source Security Information Management, DemostraciónOSSIM OSSIM Open source Security Information Open source Security Information Management, Management, DemostraciDemostraci óónn

OSSIM Open source Security Information Management, ConclusionesOSSIM OSSIM Open source Security Information Open source Security Information Management, Management, ConclusionesConclusiones

La correlación de alertas no es por si misma la panacea en seguridad, pero si esta llamada a cumplir un papel importante como pieza integral en los esquemas de protección que defienden las complejas infraestructuras tecnológicas de hoy día

ReferenciasReferenciasReferencias

� Nortcutt y Novak (2001) Detección de intrusos. Guía Avanzada. Prentice Hall

� Christopher Krugel, Fredrik Valuer, Giovanni Vigna (2005) Intrusion Detection and Correlation. Springer

� Proyecto OSSIM Open Source Security Information Management http://www.ossim.net