Correlacin de Eventos

(Gestin de eventos de Seguridad)

Pablo Ruiz Garca - Julio de 2003

http://www.digitalsec.net

[...] Many computers and network devices keep logs of the events they encounter. These events are usually very specific to a certain operating system, application, or network component. When intruders attack any part of a computer network, its likely that telltale signs are left behind, written as events to the logs of the computers on the front line of the attack. Youd like to see these events as they are occurring, rather than going back to each system weeks later and dumping its system logs. Youd like to have the events from different systems correlated, to detect broad attacks. Youd like the log data to be consolidated and synchronized, so you can see what is happening where. Most important, youd like to generate automated responses to intrusions, corresponding to the security policies youve established in your organization. These are the topics addressed by products that perform security event correlation. [...]

John Q. Walker (NetIQ Corp.)

Gestin de intrusiones Realidad de mercado

El mercado de la seguridad se mueve a dia de hoy hacia la prevencin de los ataques y las intrusiones donde sea posible mientras se supervisan, manejan y procura responder a los acontecimientos crticos de la seguridad

Mucho de ese esfuerzo se ha enfocado en comprar y desplegar productos basados en la deteccin de la intrusin en red, pero con resultados generalmente insatisfactorios
A da de hoy los actuales sistemas de seguridad corporativos (IDSs, fws, etc.) adolecen de una falta de integracin en los procesos de gestin de las empresas

Gestin de intrusiones - Futuro

En palabras de Pinkesh Shah, director de PentaSafe Inc:

IDS must evolve beyond its point product tradition and encompass a new level of management capabilities. Companies have to focus on managing events, correlating them, and responding to them in real time.

La correlacin de eventos es una parte fundamental de la gestin de eventos de seguridad y su automatizacin e integracin con el resto de procesos puede facilitar mucho la operacin eficiente de las empresas

Gestin de Intrusiones - qu es?

Esta integracin entre seguridad y gestin es lo que se llama Intrusion Management y esta divido en varias areas:
Vulnerability management Intrusion detection Security Event Management Incident Response

(fuente Giga Information Group)

Antecedentes La correlacin de eventos apareci inicialmente en las herramientas de gestin y monitorizacin de redes, en especial para evitar los tpicos Event Storms ocurridos tras la caida de algun dispositivo critico, pe:
HP OpenView/ECS http://www.openview.hp.com/products/ecs/ ECS & Cisco http://www.cisco.com/warp/public/cc/pd/wr2k/t ech/cnm_rg.htm Tivoli Event Correlation & Automation http://www-3.ibm.com/software/tivoli/solutions/pa/event/

Sin embargo, es una tecnologa mucho mas practica en seguridad, donde generalmente varios eventos indican un nico problema.

Que significa Correlacin?

Relacin recproca o mutua entre dos o ms entidades comparables en un determinado periodo de tiempo. Existencia de mayor o menor dependencia mutua entre dos variables aleatorias. (Seguridad): La agrupacin de mltiples elementos individuales para la determinacin de ataques o situaciones anmalas en los diferentes elementos de la arquitectura corporativa. (Estadstica): El cambio simultaneo del valor de dos variables aleatorias aparentemente no relacionadas.

Por qu es necesaria la correlacin de eventos? I

Check Point

Necesidad de integracin: mltiples plataformas y sistemas de diferentes fabricantes con formatos de informacin y registro diferentes. Excesivas cantidades de datos (logs) que son difciles de procesar, o que limitan la efectividad de los equipos de investigacin de incidentes. El trafico de Internet, los gusanos y los scripts de automatizacin de ataques causan grandes cantidades de falsos positivos y de eventos de seguridad en firewalls y sistemas de deteccin de intrusos. Tanto los grandes volmenes de datos, como los falsos positivos causan una gran perdida de tiempo (y recursos) en anlisis.

Microsoft

OS/390

Por qu es necesaria la correlacin de eventos? II

Falta de metodologas para la revisin de logs

La correlacin puede indicarnos que existe un problema aunque no se puede identificar el problema en concreto Necesidad de una visin horizontal de la seguridad de todos los sistemas. (En especial de cara a direccin)

Visin horizontal incluso de los sistemas de varias empresas, pe: Managed Security Services o Security Providers)

Qu informacin se puede utilizar en la correlacin? I Registros de seguridad/Auditoria:

Firewalls Antivirus Sistemas de deteccin de intrusos Herramientas de filtrado de contenidos Herramientas de bsqueda de vulnerabilidades Informacin de anlisis de seguridad Manual Unix Syslog. NT Eventlog. Routers, switches, etc. Proxys.

Registros de sistema/comunicaciones:
NT EventLog

Informacin de aplicativos:
Aplicaciones Corporativas (Aplicaciones propias) Mail, Servidor Web, DNS, etc.

Qu informacin se puede utilizar en la correlacin? II

Informacin de herramientas de gestin

Inventario! Gestores SNMP (HPOV, Tivoli, etc.)

Informacin externa
Security Focus (Vuln. DDBB) Security Providers Informacin de fabricantes (Advisories) Otras herramientas de correlacin

Histricos!
Datos de correlacin histricos Mtricas de red y comunicaciones Mtricas de rendimiento de sistemas

Informacin Interna
Call center Administradores

Requisitos Que necesita un sistema de Correlacin?

Centralizacin de logs y eventos

Reduccin de la informacin a tratar

Motor de correlacin Explotacin del sistema

Control de cambios
Continuidad

Requisitos - Centralizacin de logs y eventos I

Cuanta mas informacin, mejor! (siempre siendo coherente con los posibles problemas de rendimiento asociados) Es necesario un anlisis global a todos los entornos implicados para determinar como extraer la informacin de cada

Es importante tener en cuenta que se va a extraer informacin de dispositivos de diferentes departamentos y entornos, con polticas y necesidades diferentes
Transporte y almacenamiento seguro de los datos a procesar:
Seguridad de que los datos no se han perdido Seguridad de que los datos no han sido alterados Ciertos datos se deben tratar conforme a la ley (LOPD)

Requisitos - Centralizacin de logs y eventos II

Todas las maquinas involucradas deben mantener sus fechas sincronizadas. El sistema donde se almacenen centralizados los datos se debe considerar critico y debe ser tratado como tal Es fundamental conservar nicamente las partes tiles de cada formato de log de diversos dispositivos (reduccin de datos) El formato de log final debe ser los suficientemente dinamico y extensible para poder aadir diferentes tipos de datos a lo largo de la vida del sistema de correlacin Consolidacin de los datos unificados en un nico punto (Generalmente una BBDD relacional que facilite su acceso)

Requisitos - Reduccin de la informacin a tratar

Reduccin de la informacin a tratar

Eliminacin de duplicados Filtrar eventos similares Sumarizacin/Compresin de eventos

Cuidado! los logs modificados pueden no ser validos judicialmente:

Almacenamiento o Backup paralelo de los logs originales

Requisitos Motor y Explotacin

Motor de correlacin Explotacin del sistema

El uso del sistema requiere de entrenamiento y conocimiento de las plataformas involucradas, as como del lenguaje para la creacin de nuevas reglas de correlacin Integracin con el workflow de operacin de la empresa Necesidad de soporte (Partner Tecnolgico)

Requisitos Control de cambios y Continuidad

Control de cambios
En algunos casos y por diferentes motivos, puede ser necesario asumir una vulnerabilidad, para esto, puede ser necesario el uso del inventario o de historicos

Continuidad
Reingeniera de procesos: Cada nuevo desarrollo dentro de la compaa debe tener en cuenta su integracin en el sistema de correlacin La definicin del formato, tratamiento y almacenamiento de logs debe ser una fase mas a tener en cuenta dentro de los proyectos de la empresa.

Tipos de Correlacin

Micro Correlacin: Comparar datos de mismo tipo generados por diferentes fuentes. (Buscar todos los eventos de una misma direccin IP) Correlacin atmica: Tipo de micro correlacin que se realiza sobre un mismo tipo de dato no normalizado Macro Correlacin: Comparar mltiples tipos de datos de diferentes sistemas. (Comparar un evento generado por un IDS con el informe de un escner de vulnerabilidades) Correlacin mltiple: Aplicar los otros tipos de correlacin en fuentes de datos generados por mltiples compaas (Managed Services)

Micro correlacin

Correlacin de Campos Correlar eventos dado un unico o multiples campos dentro de los datos normalizados. (Todos los eventos de una misma direccin IP y/o destinados al puerto 80) Correlacin mediante reglas o patrones Correlacion de un cojunto de eventos relacionables mediante reglas y patrones preestablecidos en un unico evento de seguridad. (Aunar multiples eventos de apertura de puertos [paquetes SYN] como un unico PORTSCAN) Correlacin de firmas El tipo de correlacin de utiliza un IDS, comparar datos sospechosos con patrones predefinidos como maliciosos

Macro Correlacin I

Correlacin de Vulnerabilidades Asociar los eventos detectados por un IDS a las alertas de seguridad generadas por una herramienta de analisis de vulnerabilidades (o a las alertas generadas por un servicio de alerta automatico, pe: Security Focus) Correlacin de Perfiles Comparar los eventos sucedidos en un momento determinado con los eventos originados por ataques en el pasado (Event Sequence) Correlacin Estadstica Correlar metricas actuales con sus equivalencias historicas en diferentes periodos de tiempo. (Comparar el numero de logins fallidos en un entorno entre el ultimo mes y el mes actual)

Macro Correlacin II

Correlacin mediante listas Correlacionar los eventos normalizados con una serie de listas predefinidas de anteriores atacantes. Dichas listas se actualizan automaticamente con cada nuevo incidente de seguridad (pe: analizar las direcciones IP de los eventos con una lista de atacantes conocidos) Correlacin dirigida a eventos Es la que utiliza informacin de cualquier fuente pertinente como medio para ayudar en el diagnostico, resolucin o prioritizacin del evento. (el uso de un inventario para asignar prioridades a los eventos de seguridad segn la criticidad del entorno al que afecten)

dnde tiene sentido el uso de la Correlacin?

Cualquier persona dando soporte y gestin a mas de un dispositivo de seguridad (o de red):

Proveedores de seguridad gestionada Grandes empresas (especialmente las tecnolgicas) Entidades estatales con mucha infraestructura IT Entornos crticos con infraestructura de seguridad Cuanto mas grande y heterognea sea una compaa, mas til es el uso de la Correlacin

Ejemplo funcional

Ante el ataque de un gusano como el CodeRed a alguna de las redes de la empresa, varios sistemas empiezan a generar informacin:
1. El firewall genera eventos informando de conexiones dirigidas al puerto 80 de diferentes direcciones IP, algunas de estas conexiones son denegadas (dropped) y algunas consiguen acceder hasta los servidores Web de nuestra empresa El NIDS avisa del intento de ataque de la vulnerabilidad IIS-IDQ en algunos de nuestros servidores Web Cada Servidor Web afectado registra en sus ficheros de log las conexiones del ataque y su codigo de respuesta pertinente El HDIS tambin registra los intentos de ataque registrados por el servidor Web en su fichero de Log.

2. 3. 4.

Adicionalmente, debido a la configuracin de red, el servidor Web tiene un direccionamiento interno, pero se publica con direccionamiento publico mediante NAT, lo cual hace que algunos de estos eventos tengas direcciones de destino diferentes.

Code Red
Vitim.com

Servidor Infectado
Servidor Infectado con CodeRed tratando de Infectar IPs de vitim.com

1
Internet

HIDS

NIDS

WWW

El firewall genera una entrada en de log para cada conexin: Jul 17 17:35:29 fw RULE 14 - ACCEPT SRC=192.168.13.3:4457 DST=10.144.33.1:80 TCP Jul 17 17:35:30 fw RULE 32 - DROPED SRC=192.168.13.3:4458 DST=10.144.33.8:80 TCP Jul 17 17:35:31 fw RULE 32 - DROPED SRC=192.168.13.3:4459 DST=10.144.33.5:80 TCP Jul 17 17:35:32 fw RULE 32 - DROPED SRC=192.168.13.3:4460 DST=10.144.33.2:80 TCP [...] FTP El servidor Web responde a las peticiones y las registra: 172.17.21.33 - - [17/Jul/2003:17:35:29 +0200] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u 7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 2898 "-" "- [...] El sistema de deteccin de intrusos detecta los ataques (tanto por red): 2003-07-17 17:35:29|NIDS|WEB:IIS-IDA|192.168.13.3|10.144.33.2|4457|80|T||6|tcp| (Como en los logs) 2003-07-17 17:35:29|HIDS|HOST:IIS-IDA|192.168.13.3|172.17.21.33|4457|80|T|||log| [...] DNS

HIDS

...N

HIDS

Existe demasiada informacin sobre el mismo evento en diferentes lugares y con diferentes formatos Perdida de tiempo y recursos!
Analista

IDS Server

Facilidad para que la informacin importante pase inadvertida

Correlacin

Todos los eventos del Firewall relativos a este ataque pueden valorarse de manera conjunta La correlacin de la informacin sobre el servidor Web almacenada en el inventario permite:
Determinar si el servidor a sido infectado o no en base al sistema operativo de la maquina y su nivel de parcheado (pe: Si es apache, no es posible que la vulnerabilidad le afecte, de modo que se ignora) Determinar la criticidad del incidente en base al impacto en el negocio del servidor en cuestin (Un incidente en el portal principal de la compaa debe de gozar de la mxima prioridad) Determinar la dependencia de otros entornos en este servidor, de nuevo ayudando a determinar la criticidad de este incidente Relacionar *todos* los eventos del ataque como uno solo aunque estos tengan direcciones IP diferentes, puesto que en el inventario todas esas direcciones estn asignadas al mismo dispositivo

Correlacin II Determinar la criticidad del evento en funcin de la criticidad de la vulnerabilidad, mediante fuentes como Security Focus, CAN o CERT y sus BBDD pertinentes (esto permite priorizar diferente si el incidente es un DoS, permite tomar el control remoto del sistema o por contrario nicamente permite conocer informacin del sistema operativo [paths, versiones etcetc]) Se puede crear una relacin de actividades ocurridas durante el ataque en orden cronolgico, para utilizara como un perfil de ataque en posteriores incidentes El uso de un scanner de vulnerabilidades permite conocer en el momento si la vulnerabilidad explotada afecta al servidor, siempre y cuando el scanner tenga un checker para dicha vulnerabilidad Adicionalmente, de existir una integracin entre el sistema de correlacin y el sistema de gestin de operacin de la empresa, el tratamiento de la incidencia se incluira automticamente como una actividad a realizar por el personal adecuado. (pe: si existiera contagio de CodeRed, automticamente se genera un ticket para que algn tcnico de sistemas elimine el virus)

Que mas proporciona la Correlacin

Otros beneficios directos son:

Analizar los incidentes determinando sus posibles causas, para mejorar la seguridad global de la empresa Obtener una visin histrica y actual de la seguridad y del numero y tipo de incidentes permitiendo justificar las inversiones en seguridad Obtener una visin completa de la seguridad de la compaa desde un nico punto y en tiempo real Centralizar los eventos de seguridad en un nico punto, para facilitar su tratamiento y acceso Facilita la capacidad para responder a un incidente en el mayor tiempo posible con toda la informacin necesaria Incrementa la eficiencia y disminuye los costes Permite escalar y gestionar mucha infraestructura distribuida

Fabricantes

Sistemas Informticos Abiertos (SIA) PentaSafe eSecurity GuardedNet Intellitactics ISS SiteProtector NetForensics OPEN OpenSystems

Conclusiones

Reduccin de costos y aumento de eficiencia Mejora en la gestin de recursos Eliminar los costos asociados con incidentes de seguridad Paradas de servicio, imagen, etc. Maximizar al mximo el uso de la infraestructura de seguridad actual Aumentar el conocimiento de seguridad global de la compaa

GRACIAS!
Preguntas?

Ejemplo

Deemostracin de reduccin de eventos de un fallo de autentificacin, al eliminarse los duplicados generados por el IDS (sensor de Host + Sensor de Red) y por el propio servidor WWW. Generando un unico evento de toda esta informacin y para *todos* los fallos de autentificacin. [Grafico]

Ejemplo de correlacin

Ataque de un gusano detectado por el IDS (NIDS y HIDS) y por el servidor WWW y que mediante su correlacin con el Inventario (e incluso puede que con una herramienta de vulnerabilidades) se establece si es un falso positivo o no, y su criticidad o impacto en el negocio (gracias a los datos del inventario). Puede incluso que poner varios IDSs sea util. Adicionalmente, los logs del server WWW indican el agente y plataforma desde la que se lanzo el ataque (links/linux)

Ejemplo de correlacin Anomala

Ataque de autentificacin distribuido; se detectan multiples fallos de autentificacin desde diferentes fuentes de modo que el numero total de eventos de fallo de autentificacin superan el limite de confianza (que puede ser dinamico o preestablecido) en fallos de autentificacin diarios.

Ejemplo de correlacin sencilla

Ante un ataque se comprueba que la IP del atacante existe dentro de una lista de Atacantes conocidos (Watch List)

DRAGON SENSOR DRAGON SENSOR DRAGON SENSOR

APPS SERVER

Squire

WEB SERVER

Squire

DPM

EFP
Squire

Squire

MAIL SERVER

FTP SERVER

Squire

Vitim.com

1
Internet Atacante tratando de entrar en los sistemas de victim.com

HIDS

NIDS

WWW

Jul Jul Jul Jul

17 17 17 17

El firewall genera una entrada en de log para cada conexin: 17:35:29 fw RULE 14 - ACCEPT SRC=192.168.13.3:4457 DST=10.144.33.2:80 17:35:30 fw RULE 14 - ACCEPT SRC=192.168.13.3:4458 DST=10.144.33.2:80 17:35:31 fw RULE 14 - ACCEPT SRC=192.168.13.3:4459 DST=10.144.33.2:80 17:35:32 fw RULE 14 - ACCEPT SRC=192.168.13.3:4460 DST=10.144.33.2:80 [...]

2
TCP TCP TCP TCP FTP

HIDS

El servidor Web detecta los fallos de autentificacin y los registra: 172.17.21.33 - - [17/Jul/2003:17:35:29 +0200] "GET / HTTP/1.0" 403 2898 172.17.21.33 - - [17/Jul/2003:17:35:30 +0200] "GET / HTTP/1.0" 403 2898 172.17.21.33 - - [17/Jul/2003:17:35:31 +0200] "GET / HTTP/1.0" 403 2898 172.17.21.33 - - [17/Jul/2003:17:35:32 +0200] "GET / HTTP/1.0" 403 2898 [...]

"-" "-" "-" "-"

"- "- "- "-

...N

El Sensor de Red detecta los fallos de autentificacin y los registra: 2003-07-17 17:35:29|NIDS|WEB:UNAUTH|192.168.13.3|10.144.33.2|4457|80|T||6|tcp| 2003-07-17 17:35:30|NIDS|WEB:UNAUTH|192.168.13.3|10.144.33.2|4458|80|T||6|tcp| 2003-07-17 17:35:31|NIDS|WEB:UNAUTH|192.168.13.3|10.144.33.2|4459|80|T||6|tcp| 2003-07-17 17:35:32|NIDS|WEB:UNAUTH|192.168.13.3|10.144.33.2|4460|80|T||6|tcp| [...]

HIDS
DNS

Existe demasiada informacin sobre el mismo evento en diferentes lugares y con diferentes formatos Perdida de tiempo y recursos!
Analista

IDS Server

Facilidad para que la informacin importante pase inadvertida

Ejemplos de Correlacin - Inventario

Jul Jul Jul Jul 17 17 17 17 El firewall genera una entrada en de log para cada conexin: 17:35:29 fw RULE 14 - ACCEPT SRC=192.168.13.3:4457 DST=10.144.33.2:80 17:35:30 fw RULE 14 - ACCEPT SRC=192.168.13.3:4458 DST=10.144.33.2:80 17:35:31 fw RULE 14 - ACCEPT SRC=192.168.13.3:4459 DST=10.144.33.2:80 17:35:32 fw RULE 14 - ACCEPT SRC=192.168.13.3:4460 DST=10.144.33.2:80 [...] TCP TCP TCP TCP

Firewall

El servidor Web detecta los fallos de autentificacin y los registra: 172.17.21.33 - - [17/Jul/2003:17:35:29 +0200] "GET / HTTP/1.0" 403 2898 172.17.21.33 - - [17/Jul/2003:17:35:30 +0200] "GET / HTTP/1.0" 403 2898 172.17.21.33 - - [17/Jul/2003:17:35:31 +0200] "GET / HTTP/1.0" 403 2898 172.17.21.33 - - [17/Jul/2003:17:35:32 +0200] "GET / HTTP/1.0" 403 2898 [...]

"-" "-" "-" "-"

"- "- "- "-

Servidor Web

El Sensor de Red detecta los fallos de autentificacin y los registra: 2003-07-17 17:35:29|NIDS|WEB:UNAUTH|192.168.13.3|10.144.33.2|4457|80|T||6|tcp| 2003-07-17 17:35:30|NIDS|WEB:UNAUTH|192.168.13.3|10.144.33.2|4458|80|T||6|tcp| 2003-07-17 17:35:31|NIDS|WEB:UNAUTH|192.168.13.3|10.144.33.2|4459|80|T||6|tcp| 2003-07-17 17:35:32|NIDS|WEB:UNAUTH|192.168.13.3|10.144.33.2|4460|80|T||6|tcp| [...]

Sensor IDS

El Sensor de Red detecta los fallos de autentificacin y los registra: 2003-07-17 17:35:29|NIDS|WEB:UNAUTH|192.168.13.3|10.144.33.2|4457|80|T||6|tcp| 2003-07-17 17:35:30|NIDS|WEB:UNAUTH|192.168.13.3|10.144.33.2|4458|80|T||6|tcp| 2003-07-17 17:35:31|NIDS|WEB:UNAUTH|192.168.13.3|10.144.33.2|4459|80|T||6|tcp| 2003-07-17 17:35:32|NIDS|WEB:UNAUTH|192.168.13.3|10.144.33.2|4460|80|T||6|tcp| [...]

NT EventLog

Inventario

!
Administrador Seguridad

Soporte e-scudo

FTP Srv. WWW Srv. BBDD Srv. LDAP/PKI File Srv. Firewall

Antivirus IDS CMS/CFS

Vuln. Scan.

Monitorizacin

Histricos

Administradores

Routers Switches

Registros de seguridad/Auditoria: Firewalls Antivirus Sistemas de deteccin de intrusos Herramientas de filtrado de contenidos Herramientas de bsqueda de vulnerabilidades Informacin de anlisis de seguridad Manual Registros de sistema/comunicaciones: Unix Syslog. NT Eventlog. Routers, switches, etc. Proxys. Informacin de aplicativos: Aplicaciones Corporativas (Aplicaciones propias) Mail, Servidor Web, DNS, etc.

Informacin de herramientas de gestin Inventario! Gestores SNMP (HPOV, Tivoli, etc.) Informacin externa: Security Focus (Vuln. DDBB) Security Providers Informacin de fabricantes (Advisories) Otras herramientas de correlacin Histricos! Datos de correlacin histricos Mtricas de red y comunicaciones Mtricas de rendimiento de sistemas

Infraestructura Tecnolgica
Firewall Antivirus IDS Vuln. Scan. Switches Routers PBXs Acceso RAS File Srv. FTP Srv. BBDD Srv. PKI/PMI

Fuentes Externas

Agentes de correlacin

Sistema de Correlacin

Inventario Histricos Net. Mng HelpDesk

Operadores de Explotacin Administradores Call center Direccin ejecutiva

Alertas

Mtricas

Productos

Recoleccin

Filtrado

Comunicacin

Centro Control

Visualizacin Grficos

Check Point Agentes TCP w/SSL Correlacin & Lista Alertas detalladas

Microsoft Windows
Windows/ Solaris

Solaris

Informes

OS/390 Muchos ms... Datos Conocimiento