Documentos de Académico
Documentos de Profesional
Documentos de Cultura
http://www.digitalsec.net
[...] Many computers and network devices keep logs of the events they encounter. These events are usually very specific to a certain operating system, application, or network component. When intruders attack any part of a computer network, its likely that telltale signs are left behind, written as events to the logs of the computers on the front line of the attack. Youd like to see these events as they are occurring, rather than going back to each system weeks later and dumping its system logs. Youd like to have the events from different systems correlated, to detect broad attacks. Youd like the log data to be consolidated and synchronized, so you can see what is happening where. Most important, youd like to generate automated responses to intrusions, corresponding to the security policies youve established in your organization. These are the topics addressed by products that perform security event correlation. [...]
El mercado de la seguridad se mueve a dia de hoy hacia la prevencin de los ataques y las intrusiones donde sea posible mientras se supervisan, manejan y procura responder a los acontecimientos crticos de la seguridad
Mucho de ese esfuerzo se ha enfocado en comprar y desplegar productos basados en la deteccin de la intrusin en red, pero con resultados generalmente insatisfactorios
A da de hoy los actuales sistemas de seguridad corporativos (IDSs, fws, etc.) adolecen de una falta de integracin en los procesos de gestin de las empresas
La correlacin de eventos es una parte fundamental de la gestin de eventos de seguridad y su automatizacin e integracin con el resto de procesos puede facilitar mucho la operacin eficiente de las empresas
Esta integracin entre seguridad y gestin es lo que se llama Intrusion Management y esta divido en varias areas:
Vulnerability management Intrusion detection Security Event Management Incident Response
Antecedentes La correlacin de eventos apareci inicialmente en las herramientas de gestin y monitorizacin de redes, en especial para evitar los tpicos Event Storms ocurridos tras la caida de algun dispositivo critico, pe:
HP OpenView/ECS http://www.openview.hp.com/products/ecs/ ECS & Cisco http://www.cisco.com/warp/public/cc/pd/wr2k/t ech/cnm_rg.htm Tivoli Event Correlation & Automation http://www-3.ibm.com/software/tivoli/solutions/pa/event/
Sin embargo, es una tecnologa mucho mas practica en seguridad, donde generalmente varios eventos indican un nico problema.
Relacin recproca o mutua entre dos o ms entidades comparables en un determinado periodo de tiempo. Existencia de mayor o menor dependencia mutua entre dos variables aleatorias. (Seguridad): La agrupacin de mltiples elementos individuales para la determinacin de ataques o situaciones anmalas en los diferentes elementos de la arquitectura corporativa. (Estadstica): El cambio simultaneo del valor de dos variables aleatorias aparentemente no relacionadas.
Necesidad de integracin: mltiples plataformas y sistemas de diferentes fabricantes con formatos de informacin y registro diferentes. Excesivas cantidades de datos (logs) que son difciles de procesar, o que limitan la efectividad de los equipos de investigacin de incidentes. El trafico de Internet, los gusanos y los scripts de automatizacin de ataques causan grandes cantidades de falsos positivos y de eventos de seguridad en firewalls y sistemas de deteccin de intrusos. Tanto los grandes volmenes de datos, como los falsos positivos causan una gran perdida de tiempo (y recursos) en anlisis.
Microsoft
OS/390
Visin horizontal incluso de los sistemas de varias empresas, pe: Managed Security Services o Security Providers)
Registros de sistema/comunicaciones:
NT EventLog
Informacin de aplicativos:
Aplicaciones Corporativas (Aplicaciones propias) Mail, Servidor Web, DNS, etc.
Informacin externa
Security Focus (Vuln. DDBB) Security Providers Informacin de fabricantes (Advisories) Otras herramientas de correlacin
Histricos!
Datos de correlacin histricos Mtricas de red y comunicaciones Mtricas de rendimiento de sistemas
Informacin Interna
Call center Administradores
Control de cambios
Continuidad
Cuanta mas informacin, mejor! (siempre siendo coherente con los posibles problemas de rendimiento asociados) Es necesario un anlisis global a todos los entornos implicados para determinar como extraer la informacin de cada
Es importante tener en cuenta que se va a extraer informacin de dispositivos de diferentes departamentos y entornos, con polticas y necesidades diferentes
Transporte y almacenamiento seguro de los datos a procesar:
Seguridad de que los datos no se han perdido Seguridad de que los datos no han sido alterados Ciertos datos se deben tratar conforme a la ley (LOPD)
Todas las maquinas involucradas deben mantener sus fechas sincronizadas. El sistema donde se almacenen centralizados los datos se debe considerar critico y debe ser tratado como tal Es fundamental conservar nicamente las partes tiles de cada formato de log de diversos dispositivos (reduccin de datos) El formato de log final debe ser los suficientemente dinamico y extensible para poder aadir diferentes tipos de datos a lo largo de la vida del sistema de correlacin Consolidacin de los datos unificados en un nico punto (Generalmente una BBDD relacional que facilite su acceso)
Control de cambios
En algunos casos y por diferentes motivos, puede ser necesario asumir una vulnerabilidad, para esto, puede ser necesario el uso del inventario o de historicos
Continuidad
Reingeniera de procesos: Cada nuevo desarrollo dentro de la compaa debe tener en cuenta su integracin en el sistema de correlacin La definicin del formato, tratamiento y almacenamiento de logs debe ser una fase mas a tener en cuenta dentro de los proyectos de la empresa.
Tipos de Correlacin
Micro Correlacin: Comparar datos de mismo tipo generados por diferentes fuentes. (Buscar todos los eventos de una misma direccin IP) Correlacin atmica: Tipo de micro correlacin que se realiza sobre un mismo tipo de dato no normalizado Macro Correlacin: Comparar mltiples tipos de datos de diferentes sistemas. (Comparar un evento generado por un IDS con el informe de un escner de vulnerabilidades) Correlacin mltiple: Aplicar los otros tipos de correlacin en fuentes de datos generados por mltiples compaas (Managed Services)
Micro correlacin
Correlacin de Campos Correlar eventos dado un unico o multiples campos dentro de los datos normalizados. (Todos los eventos de una misma direccin IP y/o destinados al puerto 80) Correlacin mediante reglas o patrones Correlacion de un cojunto de eventos relacionables mediante reglas y patrones preestablecidos en un unico evento de seguridad. (Aunar multiples eventos de apertura de puertos [paquetes SYN] como un unico PORTSCAN) Correlacin de firmas El tipo de correlacin de utiliza un IDS, comparar datos sospechosos con patrones predefinidos como maliciosos
Macro Correlacin I
Correlacin de Vulnerabilidades Asociar los eventos detectados por un IDS a las alertas de seguridad generadas por una herramienta de analisis de vulnerabilidades (o a las alertas generadas por un servicio de alerta automatico, pe: Security Focus) Correlacin de Perfiles Comparar los eventos sucedidos en un momento determinado con los eventos originados por ataques en el pasado (Event Sequence) Correlacin Estadstica Correlar metricas actuales con sus equivalencias historicas en diferentes periodos de tiempo. (Comparar el numero de logins fallidos en un entorno entre el ultimo mes y el mes actual)
Macro Correlacin II
Correlacin mediante listas Correlacionar los eventos normalizados con una serie de listas predefinidas de anteriores atacantes. Dichas listas se actualizan automaticamente con cada nuevo incidente de seguridad (pe: analizar las direcciones IP de los eventos con una lista de atacantes conocidos) Correlacin dirigida a eventos Es la que utiliza informacin de cualquier fuente pertinente como medio para ayudar en el diagnostico, resolucin o prioritizacin del evento. (el uso de un inventario para asignar prioridades a los eventos de seguridad segn la criticidad del entorno al que afecten)
Ejemplo funcional
Ante el ataque de un gusano como el CodeRed a alguna de las redes de la empresa, varios sistemas empiezan a generar informacin:
1. El firewall genera eventos informando de conexiones dirigidas al puerto 80 de diferentes direcciones IP, algunas de estas conexiones son denegadas (dropped) y algunas consiguen acceder hasta los servidores Web de nuestra empresa El NIDS avisa del intento de ataque de la vulnerabilidad IIS-IDQ en algunos de nuestros servidores Web Cada Servidor Web afectado registra en sus ficheros de log las conexiones del ataque y su codigo de respuesta pertinente El HDIS tambin registra los intentos de ataque registrados por el servidor Web en su fichero de Log.
2. 3. 4.
Adicionalmente, debido a la configuracin de red, el servidor Web tiene un direccionamiento interno, pero se publica con direccionamiento publico mediante NAT, lo cual hace que algunos de estos eventos tengas direcciones de destino diferentes.
Code Red
Vitim.com
Servidor Infectado
Servidor Infectado con CodeRed tratando de Infectar IPs de vitim.com
1
Internet
HIDS
NIDS
WWW
El firewall genera una entrada en de log para cada conexin: Jul 17 17:35:29 fw RULE 14 - ACCEPT SRC=192.168.13.3:4457 DST=10.144.33.1:80 TCP Jul 17 17:35:30 fw RULE 32 - DROPED SRC=192.168.13.3:4458 DST=10.144.33.8:80 TCP Jul 17 17:35:31 fw RULE 32 - DROPED SRC=192.168.13.3:4459 DST=10.144.33.5:80 TCP Jul 17 17:35:32 fw RULE 32 - DROPED SRC=192.168.13.3:4460 DST=10.144.33.2:80 TCP [...] FTP El servidor Web responde a las peticiones y las registra: 172.17.21.33 - - [17/Jul/2003:17:35:29 +0200] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u 7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 2898 "-" "- [...] El sistema de deteccin de intrusos detecta los ataques (tanto por red): 2003-07-17 17:35:29|NIDS|WEB:IIS-IDA|192.168.13.3|10.144.33.2|4457|80|T||6|tcp| (Como en los logs) 2003-07-17 17:35:29|HIDS|HOST:IIS-IDA|192.168.13.3|172.17.21.33|4457|80|T|||log| [...] DNS
HIDS
...N
HIDS
Existe demasiada informacin sobre el mismo evento en diferentes lugares y con diferentes formatos Perdida de tiempo y recursos!
Analista
IDS Server
Correlacin
Todos los eventos del Firewall relativos a este ataque pueden valorarse de manera conjunta La correlacin de la informacin sobre el servidor Web almacenada en el inventario permite:
Determinar si el servidor a sido infectado o no en base al sistema operativo de la maquina y su nivel de parcheado (pe: Si es apache, no es posible que la vulnerabilidad le afecte, de modo que se ignora) Determinar la criticidad del incidente en base al impacto en el negocio del servidor en cuestin (Un incidente en el portal principal de la compaa debe de gozar de la mxima prioridad) Determinar la dependencia de otros entornos en este servidor, de nuevo ayudando a determinar la criticidad de este incidente Relacionar *todos* los eventos del ataque como uno solo aunque estos tengan direcciones IP diferentes, puesto que en el inventario todas esas direcciones estn asignadas al mismo dispositivo
Correlacin II Determinar la criticidad del evento en funcin de la criticidad de la vulnerabilidad, mediante fuentes como Security Focus, CAN o CERT y sus BBDD pertinentes (esto permite priorizar diferente si el incidente es un DoS, permite tomar el control remoto del sistema o por contrario nicamente permite conocer informacin del sistema operativo [paths, versiones etcetc]) Se puede crear una relacin de actividades ocurridas durante el ataque en orden cronolgico, para utilizara como un perfil de ataque en posteriores incidentes El uso de un scanner de vulnerabilidades permite conocer en el momento si la vulnerabilidad explotada afecta al servidor, siempre y cuando el scanner tenga un checker para dicha vulnerabilidad Adicionalmente, de existir una integracin entre el sistema de correlacin y el sistema de gestin de operacin de la empresa, el tratamiento de la incidencia se incluira automticamente como una actividad a realizar por el personal adecuado. (pe: si existiera contagio de CodeRed, automticamente se genera un ticket para que algn tcnico de sistemas elimine el virus)
Fabricantes
Sistemas Informticos Abiertos (SIA) PentaSafe eSecurity GuardedNet Intellitactics ISS SiteProtector NetForensics OPEN OpenSystems
Conclusiones
Reduccin de costos y aumento de eficiencia Mejora en la gestin de recursos Eliminar los costos asociados con incidentes de seguridad Paradas de servicio, imagen, etc. Maximizar al mximo el uso de la infraestructura de seguridad actual Aumentar el conocimiento de seguridad global de la compaa
GRACIAS!
Preguntas?
Ejemplo
Deemostracin de reduccin de eventos de un fallo de autentificacin, al eliminarse los duplicados generados por el IDS (sensor de Host + Sensor de Red) y por el propio servidor WWW. Generando un unico evento de toda esta informacin y para *todos* los fallos de autentificacin. [Grafico]
Ejemplo de correlacin
Ataque de un gusano detectado por el IDS (NIDS y HIDS) y por el servidor WWW y que mediante su correlacin con el Inventario (e incluso puede que con una herramienta de vulnerabilidades) se establece si es un falso positivo o no, y su criticidad o impacto en el negocio (gracias a los datos del inventario). Puede incluso que poner varios IDSs sea util. Adicionalmente, los logs del server WWW indican el agente y plataforma desde la que se lanzo el ataque (links/linux)
Ataque de autentificacin distribuido; se detectan multiples fallos de autentificacin desde diferentes fuentes de modo que el numero total de eventos de fallo de autentificacin superan el limite de confianza (que puede ser dinamico o preestablecido) en fallos de autentificacin diarios.
Ante un ataque se comprueba que la IP del atacante existe dentro de una lista de Atacantes conocidos (Watch List)
APPS SERVER
Squire
WEB SERVER
Squire
DPM
EFP
Squire
Squire
MAIL SERVER
FTP SERVER
Squire
Vitim.com
1
Internet Atacante tratando de entrar en los sistemas de victim.com
HIDS
NIDS
WWW
17 17 17 17
El firewall genera una entrada en de log para cada conexin: 17:35:29 fw RULE 14 - ACCEPT SRC=192.168.13.3:4457 DST=10.144.33.2:80 17:35:30 fw RULE 14 - ACCEPT SRC=192.168.13.3:4458 DST=10.144.33.2:80 17:35:31 fw RULE 14 - ACCEPT SRC=192.168.13.3:4459 DST=10.144.33.2:80 17:35:32 fw RULE 14 - ACCEPT SRC=192.168.13.3:4460 DST=10.144.33.2:80 [...]
2
TCP TCP TCP TCP FTP
HIDS
El servidor Web detecta los fallos de autentificacin y los registra: 172.17.21.33 - - [17/Jul/2003:17:35:29 +0200] "GET / HTTP/1.0" 403 2898 172.17.21.33 - - [17/Jul/2003:17:35:30 +0200] "GET / HTTP/1.0" 403 2898 172.17.21.33 - - [17/Jul/2003:17:35:31 +0200] "GET / HTTP/1.0" 403 2898 172.17.21.33 - - [17/Jul/2003:17:35:32 +0200] "GET / HTTP/1.0" 403 2898 [...]
...N
El Sensor de Red detecta los fallos de autentificacin y los registra: 2003-07-17 17:35:29|NIDS|WEB:UNAUTH|192.168.13.3|10.144.33.2|4457|80|T||6|tcp| 2003-07-17 17:35:30|NIDS|WEB:UNAUTH|192.168.13.3|10.144.33.2|4458|80|T||6|tcp| 2003-07-17 17:35:31|NIDS|WEB:UNAUTH|192.168.13.3|10.144.33.2|4459|80|T||6|tcp| 2003-07-17 17:35:32|NIDS|WEB:UNAUTH|192.168.13.3|10.144.33.2|4460|80|T||6|tcp| [...]
HIDS
DNS
Existe demasiada informacin sobre el mismo evento en diferentes lugares y con diferentes formatos Perdida de tiempo y recursos!
Analista
IDS Server
Firewall
El servidor Web detecta los fallos de autentificacin y los registra: 172.17.21.33 - - [17/Jul/2003:17:35:29 +0200] "GET / HTTP/1.0" 403 2898 172.17.21.33 - - [17/Jul/2003:17:35:30 +0200] "GET / HTTP/1.0" 403 2898 172.17.21.33 - - [17/Jul/2003:17:35:31 +0200] "GET / HTTP/1.0" 403 2898 172.17.21.33 - - [17/Jul/2003:17:35:32 +0200] "GET / HTTP/1.0" 403 2898 [...]
Servidor Web
El Sensor de Red detecta los fallos de autentificacin y los registra: 2003-07-17 17:35:29|NIDS|WEB:UNAUTH|192.168.13.3|10.144.33.2|4457|80|T||6|tcp| 2003-07-17 17:35:30|NIDS|WEB:UNAUTH|192.168.13.3|10.144.33.2|4458|80|T||6|tcp| 2003-07-17 17:35:31|NIDS|WEB:UNAUTH|192.168.13.3|10.144.33.2|4459|80|T||6|tcp| 2003-07-17 17:35:32|NIDS|WEB:UNAUTH|192.168.13.3|10.144.33.2|4460|80|T||6|tcp| [...]
Sensor IDS
El Sensor de Red detecta los fallos de autentificacin y los registra: 2003-07-17 17:35:29|NIDS|WEB:UNAUTH|192.168.13.3|10.144.33.2|4457|80|T||6|tcp| 2003-07-17 17:35:30|NIDS|WEB:UNAUTH|192.168.13.3|10.144.33.2|4458|80|T||6|tcp| 2003-07-17 17:35:31|NIDS|WEB:UNAUTH|192.168.13.3|10.144.33.2|4459|80|T||6|tcp| 2003-07-17 17:35:32|NIDS|WEB:UNAUTH|192.168.13.3|10.144.33.2|4460|80|T||6|tcp| [...]
NT EventLog
Inventario
!
Administrador Seguridad
Soporte e-scudo
FTP Srv. WWW Srv. BBDD Srv. LDAP/PKI File Srv. Firewall
Vuln. Scan.
Monitorizacin
Histricos
Administradores
Routers Switches
Registros de seguridad/Auditoria: Firewalls Antivirus Sistemas de deteccin de intrusos Herramientas de filtrado de contenidos Herramientas de bsqueda de vulnerabilidades Informacin de anlisis de seguridad Manual Registros de sistema/comunicaciones: Unix Syslog. NT Eventlog. Routers, switches, etc. Proxys. Informacin de aplicativos: Aplicaciones Corporativas (Aplicaciones propias) Mail, Servidor Web, DNS, etc.
Informacin de herramientas de gestin Inventario! Gestores SNMP (HPOV, Tivoli, etc.) Informacin externa: Security Focus (Vuln. DDBB) Security Providers Informacin de fabricantes (Advisories) Otras herramientas de correlacin Histricos! Datos de correlacin histricos Mtricas de red y comunicaciones Mtricas de rendimiento de sistemas
Infraestructura Tecnolgica
Firewall Antivirus IDS Vuln. Scan. Switches Routers PBXs Acceso RAS File Srv. FTP Srv. BBDD Srv. PKI/PMI
Fuentes Externas
Agentes de correlacin
Sistema de Correlacin
Alertas
Mtricas
Productos
Recoleccin
Filtrado
Comunicacin
Centro Control
Visualizacin Grficos
Check Point Agentes TCP w/SSL Correlacin & Lista Alertas detalladas
Microsoft Windows
Windows/ Solaris
Solaris
Informes