log craziness: sistemas siem para humanos! [guadalajaracon 2013]

Log crazyness

“The worst enemy of security is complexity”

•  Bruce Schneier

Nuevos modelos de seguridad

•  “Sexy defense” Ian Amit

•  “Intrusion Detection Along the Kill Chain: Why Your Detection System Sucks and What To Do About It” John Flynn

Log??? Logs???

Importancia de….

•  “84% de los incidentes de seguridad (intrusiones exitosas) se han reflejado en los logs” *

•  “Sólo el 8% de los incidentes de seguridad detectados por las empresas han sido por minar sus logs”*

* [Verizon 2012]

Pwned! Pwned!

Y ahora? Que hago?

Cuida, quiere y “apapacha” a tus logs :)

¿Cómo?  

Modelo  

§  LogManagement  (Reac0vo)  

�  “Jefe!  Fueron  los  hackers!”,    

 §  Abarca  todos  los  logs  

 Modelos  

– SIEM    (Proac0vo)  •  “Jefe!  Hubo  intentos  de  ataque  en  X  y  Y  vector…”  

•  Sólo  seguridad  

Versus

SIEM!

§ Security Information and Event Management

§ Especializado en seguridad § “Inteligente”

Lo bueno (ventajas)

• Ventaja visualización de eventos (gráficas) •  “Inteligencia” en la detección de

eventos. • Compliance (PCI, ISO etc) / Auditoria. • Forense

Funcionamiento

Iniciemos….

Obligación del SIEM, (para llamarse así)

1. Recolección de datos 2. Normalización 3. Correlación 4. Generación y envio de informes (reportes) 5. Soporte en el flujo de seguridad en el

manejo a incidentes (SOC, respuesta a incidentes)

Recolección

SIEM

Syslog

scp/ ftp

VBS/WMI

Normalización

Firewall: Feb 25 12:11:24 bridge kernel: INBOUND TCP: IN=br0 PHYSIN=eth0 OUT=br0 PHYSOUT=eth1 SRC=220.228.136.38 DST=11.11.79.83 LEN=64 TOS=0x00 PREC=0x00 TTL=47 ID=17159 DF PROTO=TCP SPT=1629 DPT=139 WINDOW=44620 RES=0x00 SYN URGP=0

Time: 12:11:24 Action: Pass Src: 220.228.136.38 Dst: 11.11.79.83 Port: 139

Correlación

Time: 12:11:24 Action: Block Src: w.x.y.z. Dst: a.b.c.d user: john

Time: 12:12:54 Action: Block Src: w.x.y.z. Dst: a.b.c.d User:john

Time: 12:14:16 Action: Pass Src: w.x.y.z. Dst: a.b.c.d user: john

Time: 12:13:18 Action: Block Src: w.x.y.z. Dst: a.b.c.d User:john

Regla de oro #1:

“No basarse en la tecnología, sino en la inteligencia y el pentest”

Receta

1. Que deseo resolver con el SIEM 2. Elegir el alcance de los datos a recolectar

(sistemas) 3. Desarrollar la arquitectura 4. Crear un sistema de Log Management y

después un SIEM J 5. Generar casos de uso del SIEM

You can't secure what you don't understand

•  Bruce Schneier

Diseño

•  ¿Qué deseo resolver con el SIEM? •  ¿Quienes somos?

•  ¿Qué queremos asegurar?

Arquitectura

Arquitectura

•  Medir los EPS

•  Storage §  Definir la política de LogRetention

Logs por segundo (en bytes) * 86400 = (almacenamiento día) + 25%

Arquitectura

•  Hardware §  Almacenamiento de alta calidad (RPMs SAN)

•  Expresiones regulares (cuidado!):

Procesador y memoria RAM poderosa!

Fases de implementación

• Fase 1: Crear un sistema LM § Comunicación entre dispositivos

§ Tiempo!

Fases de implementación

• Fase 2: Llegar al SIEM como tal

-Definir primeras pruebas de filtrado � Ejecutar primeros pasos de filtrado de

logs –  (auténticaciones fallidas,web hacking, core dumps)

No olvidar…

You can't secure what you don't understand

Bruce Schneier

Casi Final! “Inteligencia” del SIEM

Taxonomía

Casos de uso

Casi Final! “Inteligencia” del SIEM

¿Cómo?

• Vía el framework del SIEM • Todo es un evento (normalización)

Casos de uso, ejemplos:

•  “Los usuarios no deben reenviar automáticamente correo fuera de la organización”

Evento 1: Email de entrada, dominio del emisor es ejemplo.com Evento2: Email de salida, donde: • SUBJECT es el mismo que Evento1 pero con FWD: al inicio (contatenado) • SRCUSER es el mismo que Event 1 • DST USER (el dominio NO es ejemplo.com) Evento 3: sucede a los 3 segundos del evento 1

Casos de uso, ejemplos:

•  “Detección de un escaneo de puertos en el ids y firewall ”

If the system sees an event E1 where E1.eventType=portscan followed by an event E2 where E2.srcip=E1.srcip and E2.dstip=E1.dstip and E2.eventType=fw.reject then doSomething

Casos de uso, ejemplos:

“Detección de puertos, vía escaneo”

if (event E1.dstport != (Known_Open_Ports on event E1.dstip)) then doSomething

Pensemos/Imaginación

•  Fuentes a integrar:

•  Nuestras propias fuentes: §  Horarios de trabajo §  Ciclos de vacaciones §  Segmentos de red §  Comportamiento típico de nuestras aplicaciones

•  SANS TOP 7 logs reports

Más casos

Detección de equipo comprometido: Impresora HP como punto ciego, la cual fue comprometida

Más casos

"Un dispositivo envía trafico HTTP/SSH/FTP etc en lugar de LPD/IPR, IPP" Fuentes: Cruzar: NetFlow + Firewall + Sniffer

Pensemos/Imaginación

•  Identificar autenticación (fallida o exitosa) a más de 5 computadoras en un periodo de 5 minutos

•  Un usuario se autentica a la VPN en diferentes computadores en menos de 6 horas

•  Se establece una conexión de VPN desde una computadora que no está en el sistema de administración activos y no es conocida por el servidor de antivirus

Pensemos/Imaginación

•  Identifcar una cuenta que se ha firmado en una PC que no corresponde a su área

•  (Idem en segmentos de la red) •  Desde la DMZ identificar una dirección de red

que se comunique a más de 1 host por diferentes puertos en menos de 5 minutos.

•  SPAM proveniente de las mismas IPs detectadas por el sistema IDS

Herramientas existentes

•  Recolección de logs §  NXLog, Syslog-ng, logger,

Apache2Syslog

•  Pre-procesamiento de logs: LogPP

•  Storage: §  PostgreSQL, MongoDB, etc

•  Análisis §  R §  Hoja de cálculo §  LogStash

•  Inteligencia §  OSSEC §  OSSIM §  Echidna §  iView

•  Correlación §  SEC y Jess §  Echidna §  NXLog

•  Reporteo §  Graphviz y Secviz.org

Conlusión

•  Usar y encender tus Logs •  Primero un LM antes de SIEM •  No hay “balas de plata” • Gana el pensamiento vs la tecnología • Menos es más •  Casos de uso , caso de uso, casos de

uso!.

Referencias

•  Kent,Karen;Souppaya, Murugiah.Guide to Computer Security Log Management, NIST.

•  Chuvakin, Anton; Schmidt, Kevin; Phillips, Chris. Logging and Log Management: The Authoritative Guide to Dealing with Syslog, Audit Logs, Events, Alerts and other IT �Noise�.

•  Zeltser,Lenny;Chuvakin, Anton;Critical Log Review Checklist for Security Incidents

•  Sweeny, Jonathan. Creating Your Own SIEM and Incident Response Toolkit Using Open Source Tools, SANS.

Gracias por su atención! Dudas?

Víctor Gómez � victor@vgomez.com � @bytevic

ASIMX

• Asimx.org • @asimx • Facebook.com/asimx • linkedin.com/asimx