a segurança de informação e a gestão de eventos

10
1 A Segurança de Informação e a Gestão de Eventos De uma visão parcial para uma visão integrada Autor: Rafael Aranha Setembro de 2013 O mundo dos Logs! Os atuais sistemas de informação e comunicações (SIC), sejam estes materializados por serviços, aplicações e/ou equipamentos, produzem uma quantidade elevada de informação através dos denominados logs 1 . Estes logs informam o administrador ou o analista desses sistemas sobre os acontecimentos registados, doravante designados de eventos. Exemplos destes eventos podem ser o login de um utilizador, a criação de uma conta, a activação de um serviço, tentativas de acesso não autorizadas, a detecção de vírus, a temperatura do equipamento, a ocupação do processador e memória, o ligar/desligar de uma porta num switch, a saturação de uma ligação num router, entre muitos outros. Por norma, uma organização tem diversas consolas de gestão e monitorização (G&M), dedicados a cada um dos seus sistemas, onde recebem os logs e geram informação para que possa ser analisada por um analista caixas azuis na Figura 1. A quantidade de informação gerada pelos logs pode no entanto tornar-se avassaladora chegando facilmente a GigaBytes num mês. Desta forma, é humanamente incomportável a sua análise manual sendo necessário a utilização das referidas consolas 2 . Exemplos destes sistemas são as consolas de monitorização de uma solução de antivírus, consolas de G&M de equipamentos de rede (e.g. routers, switch, concentradores de VPN), consolas de G&M de equipamentos de segurança (e.g. firewall, IDS/IPS, sniffers) consolas de G&M de equipamentos de transmissão (e.g. equipamentos de Feixes Hertzianos, Fibra óptica, DSL, satélite, pontos de acesso de redes sem fios), consolas de gestão de serviços de directório, nomes e servidores web (e.g. LDAP, AD, DNS, IIS, Apache), consolas de G&M de Call Centers, máquinas virtuais, etc. 1 O termo log advém de logfile. Estes são ficheiros onde são guardados os eventos registados por uma aplicação ou equipamento. 2 Em alguns casos é mesmo necessário a análise dos logs em formato raw. Exemplo disso é num contexto de análise forense.

Upload: teste

Post on 06-Nov-2015

7 views

Category:

Documents


2 download

DESCRIPTION

A Segurança de Informação e a Gestão de Eventos

TRANSCRIPT

  • 1

    A Segurana de Informao e a Gesto de Eventos

    De uma viso parcial para uma viso integrada

    Autor: Rafael Aranha Setembro de 2013

    O mundo dos Logs!

    Os atuais sistemas de informao e comunicaes (SIC), sejam estes materializados por

    servios, aplicaes e/ou equipamentos, produzem uma quantidade elevada de

    informao atravs dos denominados logs1. Estes logs informam o administrador ou o

    analista desses sistemas sobre os acontecimentos registados, doravante designados de

    eventos. Exemplos destes eventos podem ser o login de um utilizador, a criao de uma

    conta, a activao de um servio, tentativas de acesso no autorizadas, a deteco de

    vrus, a temperatura do equipamento, a ocupao do processador e memria, o

    ligar/desligar de uma porta num switch, a saturao de uma ligao num router, entre

    muitos outros.

    Por norma, uma organizao tem diversas consolas de gesto e monitorizao (G&M),

    dedicados a cada um dos seus sistemas, onde recebem os logs e geram informao para

    que possa ser analisada por um analista caixas azuis na Figura 1. A quantidade de

    informao gerada pelos logs pode no entanto tornar-se avassaladora chegando

    facilmente a GigaBytes num ms. Desta forma, humanamente incomportvel a sua

    anlise manual sendo necessrio a utilizao das referidas consolas2.

    Exemplos destes sistemas so as consolas de monitorizao de uma soluo de

    antivrus, consolas de G&M de equipamentos de rede (e.g. routers, switch,

    concentradores de VPN), consolas de G&M de equipamentos de segurana (e.g.

    firewall, IDS/IPS, sniffers) consolas de G&M de equipamentos de transmisso (e.g.

    equipamentos de Feixes Hertzianos, Fibra ptica, DSL, satlite, pontos de acesso de

    redes sem fios), consolas de gesto de servios de directrio, nomes e servidores web

    (e.g. LDAP, AD, DNS, IIS, Apache), consolas de G&M de Call Centers, mquinas

    virtuais, etc.

    1 O termo log advm de logfile. Estes so ficheiros onde so guardados os eventos registados por uma

    aplicao ou equipamento. 2 Em alguns casos mesmo necessrio a anlise dos logs em formato raw. Exemplo disso num contexto

    de anlise forense.

  • 2

    Figura 1 - Diagrama lgico de alto nvel dos componentes de um SIEM (Adaptado de Unisys)

    No entanto, facilmente se depreende que, no respeitante segurana da informao no

    contexto de uma organizao, todos esses sistemas de G&M revelam uma viso parcial

    e localizada de um determinado evento. No entanto, a este evento, analisado de uma

    forma isolada, pode no ser dada a importncia que, caso se tivesse uma viso integrada

    de todos os sistemas de G&M, ele mereceria.

    Da necessidade de se ter uma viso integrada da segurana, conforme atrs apresentado,

    assim como da obrigatoriedade de muitas organizaes cumprirem normas de entidades

    reguladoras (e.g. ISO27001, PCI DSS3, Lei Sarbox), advm os Security Information and

    Event Management Systems (SIEM). De uma forma simples, um SIEM recebe logs de

    praticamente todos os sistemas e equipamentos de uma organizao, normaliza-os,

    correlaciona-os e gera alertas sobre ameaas aos SIC da organizao. Desta forma, o

    SIEM o nico sistema capaz de ter uma viso integrada ao nvel da segurana de

    informao de toda uma organizao, conforme ilustrado anteriormente na Figura 1.

    O que parece nem sempre !

    De forma a ilustrar o anteriormente exposto apresenta-se o exemplo da Figura 2.

    Os diversos servios e equipamentos que compem a rede ilustrada registaram nos seus

    logs, de forma diferente e em nveis distintos da camada OSI, um determinado evento.

    3 Payment Card Industry Data Security Standard.

  • 3

    Este evento poder ter sido apresentado nas diversas consolas de cada servio ou

    equipamento, a um analista. No entanto, salienta-se que algumas destas entradas so

    normais se analisadas fora de um determinado contexto (e.g. as entradas registadas pela

    firewall, router, servidor DHCP).

    Figura 2 - Analise de logs gerados por diversos sistemas e equipamentos de uma organizao (Fonte: OSSIM)

    Desta forma, numa organizao onde todos os logs gerados so recolhidos,

    normalizados e correlacionados por um SIEM, o seguinte alarme seria gerado:

    O PC1 onde o Joo est ligado foi infectado pelo ficheiro asbss.exe que

    teve origem num site que continha malware. Este malware utilizou as

    permisses do Joo para infectar o PC3 do Pedro. O antivrus detectou

    essa infeco. No entanto o PC1 est ainda infectado.

    Desta forma, as concluses que se retiram so que o site malicioso dever ser bloqueado

    pelo web proxy e que o PC1 dever ser analisado pois provavelmente no tinha antivrus

    instalado ou estava desactualizado.

    Salienta-se que o exemplo anterior simplista e serve apenas para ilustrar as

    capacidades de um SIEM. O que se pretende concluir que os logs, por si, raramente

    contm a informao necessria para se compreender as implicaes de um determinado

    evento no contexto da organizao.

    Por ltimo, destaca-se que no possvel a uma organizao ter analistas de segurana

    que entendam a informao que apresentada em logs nos mais diversos formatos. Uma

    das mais-valias dos SIEM a sua capacidade de normalizar estes logs.

  • 4

    O Poder da Correlao

    A correlao de eventos, de forma resumida, tem como objectivo principal gerar

    alarmes para responder s seguintes perguntas: Quem est a atacar a organizao?;

    De onde veio o ataque, como chegou onde chegou e o que pretende?.

    Poder-se- pensar que os controlos implementados por solues de permetro como

    firewall, IDS/IPS e antivrus podero ser a soluo para responder a estas perguntas. No

    entanto, a maior parte das vezes a nica informao que esses controlos fornecem so os

    eventos que detectaram num determinado momento e no o antes e o depois.

    Actualmente os ataques bem-sucedidos aos SIC de uma organizao raramente o

    aparentam ser. Se assim fosse, seria relativamente fcil automatizar os referidos

    sistemas de proteco sem sequer ser necessria a interveno de um analista.

    Idealmente, conforme apresentado na Figura 3, todos os sistemas operativos, aplicaes

    e equipamentos geram os seus logs em formatos compatveis e susceptveis de serem

    facilmente entendidos na realidade tal no acontece.

    Figura 3 - Correlao de eventos relativos ao acesso a uma base de dados por parte de um utilizador

    (Fonte: OSSIM)

    Para que o SIEM possa correlacionar os eventos recebidos da rede necessrio

    normalizar os logs. Para tal, as solues SIEM tm centenas de plugins desenvolvidos

    com o objectivo de receber os logs de fabricantes/sistemas diferentes e normaliz-los.

  • 5

    Estes plugins so por norma ficheiros XML4 que podem ser particularizados ou

    alterados pelo prprio analista caso este tenha necessidades muito especficas.

    O passo seguinte ento a correlao dos eventos recebidos aps a normalizao dos

    logs. nesta etapa que reside a mais-valia dos SIEM relativamente aos sistemas de

    anlise dos logs dos IDS/IPS. O objectivo principal analisar a multitude dos eventos

    recebidos de diferentes fontes e decidir, baseado em regras estabelecidas, se esses

    eventos devero, ou no, originar um alarme.

    Esta caracterstica dos SIEM tem a particularidade de, ao contrrio dos IDS/IPS, no se

    basear apenas em assinaturas de ataques ou de malware. Assim, o SIEM poder

    prevenir os denominados zero day attacks, avisar quanto a potenciais vulnerabilidades

    at a desconhecidas e minimizar as Advanced Persistent Threats (APT)5. Tal acontece

    pois o SIEM no se est a basear em assinaturas e/ou listas pr-definidas mas sim em

    regras e anlise de padres de comportamento que no so visveis atravs dos logs

    gerados por aplicaes ou equipamentos de forma isolada.

    Exemplo de um SIEM

    Conforme apresentado na Figura 4 existem actualmente no mercado diversas solues

    de SIEM com diferentes funcionalidades e capacidades. No entanto, conceptualmente,

    todas elas so semelhantes.

    Apesar de sair fora do mbito deste artigo a comparao de diferentes solues,

    salienta-se que existem ou existiram no mercado outras solues que se enquadram

    apenas no conceito de SIM (Security Information Management) ou SEM (Security

    Event Management), como por exemplo, o Cisco Security Monitoring, Analysis, and

    Response System (CS-MARS), actualmente descontinuado. Da o facto de estas

    solues no terem sido analisadas pelo estudo referenciado na Figura 4.

    4 Extensible Markup Language formato de ficheiro que tem como objectivo padronizar um documento

    para que possa ser lido tanto por pessoas como interpretado por um programa. 5 O objectivo de uma APT o roubo de informao em oposio a causar danos nos sistemas de uma

    organizao, que, por norma, possui informao de alto valor. Desta forma o APT pretende passar

    desapercebido e ficar indetectvel durante o maior tempo possvel. Um dos vectores de ataque utilizados

    pela APT a Engenharia Social.

  • 6

    Figura 4 - Anlise de diversos produtos SIEM (Fonte: Gartner)

    A empresa AlienVault foi uma das que surgiu mais cedo no mercado dos SIEM, por

    volta de 2003, e tem actualmente no seu porteflio o produto OSSIM (Open Source

    Security Information Management) que gratuito e suportado por uma vasta

    comunidade de programadores e analistas de segurana. De seguida, apresenta-se uma

    breve descrio deste SIEM.

    O OSSIM tem na sua base quatro componentes principais, conforme apresentado na

    Figura 5: sensores, uma base de dados, framework e o servidor.

    Os sensores, que poder apenas ser um, so colocados ao longo da rede,

    geograficamente dispersos, e perto dos equipamentos de onde se pretende receber os

    logs. Os sensores podem ainda correr outro tipo de aplicaes, como por exemplo para

    anlise de trfego e/ou vulnerabilidades (e.g. snort ou o nessus). Nos sensores onde se

    encontram os plugins que permitiro normalizar os logs conforme apresentado

    anteriormente, e gerar eventos;

    A base de dados o ponto central de recolha dos eventos oriundos dos diversos sensores

    tanto na fase de pr-correlao como na de ps-correlao;

    O servidor o crebro do OSSIM e ir executar a correlao dos eventos. Esta

    correlao tem por base inputs de diversas fontes. Alm das vulnerabilidades e padres

    de anlise que lhe so conhecidos, o servidor ir basear-se tambm na reputao de cada

    endereo IP, no risco atribudo, por exemplo, a um segmento de rede (e.g. uma DMZ ou

  • 7

    DataCenter) e na taxonomia, definida por defeito ou personalizada por um analista, dos

    tipos/classes de eventos (e.g. logins);

    Figura 5 - Diagrama lgico dos componentes do OSSIM (Fonte: OSSIM)

    A framework o componente que permite apresentar os eventos recebidos, a correlao

    efectuada e os alarmes gerados aps a correlao de uma forma grfica ao analista,

    conforme ilustrado nas Figura 6 e Figura 7. Permite ainda gerir os diversos sensores,

    treinar o motor de correlao, categorizar o risco associado a cada equipamento ou

    servio e, finalmente, elaborar relatrios para uma anlise integrada das ameaas

    detectadas na rede como um todo.

    Figura 6 - Exemplo de uma aplicao SIEM denominada OSSIM (Fonte: OSSIM)

  • 8

    Figura 7 - Exemplo de eventos recebido de IPS Cisco (Fonte: OSSIM)

    Como nota final salienta-se que o OSSIM tem ainda a capacidade de verificar se os

    controlos determinados pelas normas ISO27001 e PCI DSS 2.0 esto a ser cumpridos.

    Esta funcionalidade denominada por Compliance Mapping.

    Concluses

    O conceito subjacente a um Security Information and Event Management system

    (SIEM) que toda a informao produzida por diversos Sistemas de Informao e

    Comunicaes em diferentes locais geogrficos centralizada num nico ponto

    permitindo, assim, a deteco de ameaas baseada no s em assinaturas como em

    padres e tendncias, aco que no possvel alcanar recorrendo a sistemas isolados.

    O SIEM permite disponibilizar aos analistas de segurana informao oriunda de

    diversos servios, aplicaes e equipamentos sem, no entanto, existir a necessidade

    daqueles terem acesso a esses sistemas e sem terem que percorrer dezenas de logs

    diferentes.

    A correlao de eventos o motor de inteligncia dos SIEM e poder resumidamente

    caracterizar-se da seguinte forma:

    Compara eventos de mltiplas fontes (i.e. aplicaes, servios, equipamentos)

    de forma a monitorizar utilizadores, processos, recursos, aplicaes e trfego;

    Relaciona os eventos ao longo do tempo de forma a detectar sequncias de

    actividades que normalmente no deveriam ocorrer;

  • 9

    Treina o SIEM de forma a este perceber o que ou no normal num sistema,

    permitindo-o detectar ataques que de outra forma no seriam detectados por

    sistemas isolados.

    A qualidade do produto final retirado de um SIEM , contudo, directamente

    proporcional qualidade e quantidade de informao que ele recebe (i.e. logs). No

    entanto, em organizaes com diversos tipos de sistemas e com cada um a gerar o seu

    tipo de informao , hoje em dia, fulcral ter-se um nico ponto de recolha de

    informao e elaborao de relatrios onde se possa ter uma viso global e holstica da

    Segurana dos SIC e, consequentemente, da segurana da informao da organizao a

    que estes pertencem.

  • 10

    Referncias:

    [1] AccelOps, 2012. Compliance Management and Compliance Automation How and How Efficient.

    [Online]

    Disponvel em: http://www.accelops.com/blog/?p=149

    [Acedido em 5 Agosto 2013].

    [2] Ahrendt, M., 2012. Customizing AlienVault's OSSIM Plugins. [Online]

    Disponvel em: http://mikeahrendt.blogspot.pt/2012/08/customizing-alienvaults-ossim-plugins.html

    [Acedido em 5 Agosto 2013].

    [3] AlienVault Corp, 2013. AlienVault - Intrusion Detection Capabilities and Usage Overview. [Online]

    Disponvel em: https://alienvault.bloomfire.com/

    [Acedido em 5 Agosto 2013].

    [4] AlienVault Corp, 2013. How Alienvault Components Communicate. [Online]

    Disponvel em: https://alienvault.bloomfire.com/

    [Acedido em 5 Agosto 2013].

    [5] AlienVault Corp, 2013. Log Collection, from the device, to the screen. [Online]

    Disponvel em: https://alienvault.bloomfire.com/

    [Acedido em 05 Agosto 2013].

    [6] Kibirkstis, A., 2009. What is the Role of a SIEM in Detecting Events of Interest?. [Online]

    Disponvel em: http://www.sans.org/security-resources/idfaq/siem.php

    [Acedido em 5 Agosto 2013].

    [7] Lane, A., 2010. Understanding and Selecting SIEM/LM: Use Cases, Part 1. [Online]

    Disponvel em: https://securosis.com/blog/understanding-and-selecting-siem-lm-use-cases-part-1

    [Acedido em 5 Agosto 2013].

    [8] Levin, D., 2009. The convergence of SIEM and log management. [Online]

    Disponvel em: http://www.networkworld.com/news/tech/2009/031909-tech-update.html

    [Acedido em 5 Agosto 2013].

    [9] Nicolett, M. & Kavanagh, K., 2013. Critical Capabilities for Security Information and Event Management.

    [Online]

    Disponvel em: http://www.gartner.com/

    [Acedido em 05 Agosto 2013].

    [10] Unisys, 2012. Security Operations Centers, Monitorizao, arquivo e correlao de eventos de segurana.

    [Online]

    Disponvel em: http://www.unisys.com/unisys/inc/countrysites/pdf/PT_CLB_SOC.pdf

    [Acedido em 5 Agosto 2013].