Log crazyness
“The worst enemy of security is complexity”
• Bruce Schneier
Nuevos modelos de seguridad
• “Sexy defense” Ian Amit
• “Intrusion Detection Along the Kill Chain: Why Your Detection System Sucks and What To Do About It” John Flynn
Log??? Logs???
Importancia de….
• “84% de los incidentes de seguridad (intrusiones exitosas) se han reflejado en los logs” *
• “Sólo el 8% de los incidentes de seguridad detectados por las empresas han sido por minar sus logs”*
* [Verizon 2012]
Pwned! Pwned!
Y ahora? Que hago?
Cuida, quiere y “apapacha” a tus logs :)
¿Cómo?
Modelo
§ LogManagement (Reac0vo)
� “Jefe! Fueron los hackers!”,
§ Abarca todos los logs
Modelos
– SIEM (Proac0vo) • “Jefe! Hubo intentos de ataque en X y Y vector…”
• Sólo seguridad
Versus
SIEM!
§ Security Information and Event Management
§ Especializado en seguridad § “Inteligente”
Lo bueno (ventajas)
• Ventaja visualización de eventos (gráficas) • “Inteligencia” en la detección de
eventos. • Compliance (PCI, ISO etc) / Auditoria. • Forense
Funcionamiento
Iniciemos….
Obligación del SIEM, (para llamarse así)
1. Recolección de datos 2. Normalización 3. Correlación 4. Generación y envio de informes (reportes) 5. Soporte en el flujo de seguridad en el
manejo a incidentes (SOC, respuesta a incidentes)
Recolección
SIEM
Syslog
scp/ ftp
VBS/WMI
Normalización
Firewall: Feb 25 12:11:24 bridge kernel: INBOUND TCP: IN=br0 PHYSIN=eth0 OUT=br0 PHYSOUT=eth1 SRC=220.228.136.38 DST=11.11.79.83 LEN=64 TOS=0x00 PREC=0x00 TTL=47 ID=17159 DF PROTO=TCP SPT=1629 DPT=139 WINDOW=44620 RES=0x00 SYN URGP=0
Time: 12:11:24 Action: Pass Src: 220.228.136.38 Dst: 11.11.79.83 Port: 139
Correlación
Time: 12:11:24 Action: Block Src: w.x.y.z. Dst: a.b.c.d user: john
Time: 12:12:54 Action: Block Src: w.x.y.z. Dst: a.b.c.d User:john
Time: 12:14:16 Action: Pass Src: w.x.y.z. Dst: a.b.c.d user: john
Time: 12:13:18 Action: Block Src: w.x.y.z. Dst: a.b.c.d User:john
Regla de oro #1:
“No basarse en la tecnología, sino en la inteligencia y el pentest”
Receta
1. Que deseo resolver con el SIEM 2. Elegir el alcance de los datos a recolectar
(sistemas) 3. Desarrollar la arquitectura 4. Crear un sistema de Log Management y
después un SIEM J 5. Generar casos de uso del SIEM
You can't secure what you don't understand
• Bruce Schneier
Diseño
• ¿Qué deseo resolver con el SIEM? • ¿Quienes somos?
• ¿Qué queremos asegurar?
Arquitectura
Arquitectura
• Medir los EPS
• Storage § Definir la política de LogRetention
Logs por segundo (en bytes) * 86400 = (almacenamiento día) + 25%
Arquitectura
• Hardware § Almacenamiento de alta calidad (RPMs SAN)
• Expresiones regulares (cuidado!):
Procesador y memoria RAM poderosa!
Fases de implementación
• Fase 1: Crear un sistema LM § Comunicación entre dispositivos
§ Tiempo!
Fases de implementación
• Fase 2: Llegar al SIEM como tal
-Definir primeras pruebas de filtrado � Ejecutar primeros pasos de filtrado de
logs – (auténticaciones fallidas,web hacking, core dumps)
No olvidar…
You can't secure what you don't understand
Bruce Schneier
Casi Final! “Inteligencia” del SIEM
Taxonomía
Casos de uso
Casi Final! “Inteligencia” del SIEM
¿Cómo?
• Vía el framework del SIEM • Todo es un evento (normalización)
Casos de uso, ejemplos:
• “Los usuarios no deben reenviar automáticamente correo fuera de la organización”
Evento 1: Email de entrada, dominio del emisor es ejemplo.com Evento2: Email de salida, donde: • SUBJECT es el mismo que Evento1 pero con FWD: al inicio (contatenado) • SRCUSER es el mismo que Event 1 • DST USER (el dominio NO es ejemplo.com) Evento 3: sucede a los 3 segundos del evento 1
Casos de uso, ejemplos:
• “Detección de un escaneo de puertos en el ids y firewall ”
If the system sees an event E1 where E1.eventType=portscan followed by an event E2 where E2.srcip=E1.srcip and E2.dstip=E1.dstip and E2.eventType=fw.reject then doSomething
Casos de uso, ejemplos:
“Detección de puertos, vía escaneo”
if (event E1.dstport != (Known_Open_Ports on event E1.dstip)) then doSomething
Pensemos/Imaginación
• Fuentes a integrar:
• Nuestras propias fuentes: § Horarios de trabajo § Ciclos de vacaciones § Segmentos de red § Comportamiento típico de nuestras aplicaciones
• SANS TOP 7 logs reports
Más casos
Detección de equipo comprometido: Impresora HP como punto ciego, la cual fue comprometida
Más casos
"Un dispositivo envía trafico HTTP/SSH/FTP etc en lugar de LPD/IPR, IPP" Fuentes: Cruzar: NetFlow + Firewall + Sniffer
Pensemos/Imaginación
• Identificar autenticación (fallida o exitosa) a más de 5 computadoras en un periodo de 5 minutos
• Un usuario se autentica a la VPN en diferentes computadores en menos de 6 horas
• Se establece una conexión de VPN desde una computadora que no está en el sistema de administración activos y no es conocida por el servidor de antivirus
Pensemos/Imaginación
• Identifcar una cuenta que se ha firmado en una PC que no corresponde a su área
• (Idem en segmentos de la red) • Desde la DMZ identificar una dirección de red
que se comunique a más de 1 host por diferentes puertos en menos de 5 minutos.
• SPAM proveniente de las mismas IPs detectadas por el sistema IDS
Herramientas existentes
• Recolección de logs § NXLog, Syslog-ng, logger,
Apache2Syslog
• Pre-procesamiento de logs: LogPP
• Storage: § PostgreSQL, MongoDB, etc
• Análisis § R § Hoja de cálculo § LogStash
• Inteligencia § OSSEC § OSSIM § Echidna § iView
• Correlación § SEC y Jess § Echidna § NXLog
• Reporteo § Graphviz y Secviz.org
Conlusión
• Usar y encender tus Logs • Primero un LM antes de SIEM • No hay “balas de plata” • Gana el pensamiento vs la tecnología • Menos es más • Casos de uso , caso de uso, casos de
uso!.
Referencias
• Kent,Karen;Souppaya, Murugiah.Guide to Computer Security Log Management, NIST.
• Chuvakin, Anton; Schmidt, Kevin; Phillips, Chris. Logging and Log Management: The Authoritative Guide to Dealing with Syslog, Audit Logs, Events, Alerts and other IT �Noise�.
• Zeltser,Lenny;Chuvakin, Anton;Critical Log Review Checklist for Security Incidents
• Sweeny, Jonathan. Creating Your Own SIEM and Incident Response Toolkit Using Open Source Tools, SANS.
Gracias por su atención! Dudas?
Víctor Gómez � [email protected] � @bytevic
ASIMX
• Asimx.org • @asimx • Facebook.com/asimx • linkedin.com/asimx