Upload File

nsm (network security monitoring) - tecland chapeco

42
NSM (Network Security Monitoring) - Porque a invasão é “inevitável" e alertas somente não suficiente ! Rodrigo “Sp0oKeR” Montoro @spookerlabs

Upload: rodrigo-montoro

Post on 15-Aug-2015

124 views

Category:

Technology


1 download

Report

Tags:

TRANSCRIPT

Page 1: NSM (Network Security Monitoring) - Tecland Chapeco

NSM (Network Security Monitoring) - Porque a invasão é “inevitável" e alertas somente não suficiente !

Rodrigo “Sp0oKeR” Montoro

@spookerlabs

Page 2: NSM (Network Security Monitoring) - Tecland Chapeco

$ whois Rodrigo “Sp0oKeR” Montoro

● Security System Administrator @ Sucuri

– Centenas de Web Application Firewall

– Milhões alertas mês (Disneyland =) )

● Autor de 2 patentes pendentes

– Detecção Documentos maliciosos

– Análise Cabeçalhos HTTP

● Palestrante em diversos eventos

– FISL, Latinoware, CNASI, SecTor (Canada), H2HC, Bsides (São Paulo e Las

Vegas), Source Seattle e Boston (EUA), Toorcon (EUA), Zoncon (EUA).

● Triatleta / Corredor de Trilhas

Page 3: NSM (Network Security Monitoring) - Tecland Chapeco

MOTIVAÇÃO

Page 4: NSM (Network Security Monitoring) - Tecland Chapeco

AGENDA

● Atual problema na detecção de um intrusão

● O conceito de NSM

● Como colocar isso em prática ?

● Perguntas

Page 5: NSM (Network Security Monitoring) - Tecland Chapeco

Atual problema na detecção ...

Page 6: NSM (Network Security Monitoring) - Tecland Chapeco

Como funciona um invasão

● Antes

● Durante

● Depois

Page 7: NSM (Network Security Monitoring) - Tecland Chapeco

Conceito de Detecção / Prevenção Intrusão

Atacantes eventualmente terão sucesso.

Page 8: NSM (Network Security Monitoring) - Tecland Chapeco

Tempo é o fator chave ...

Page 9: NSM (Network Security Monitoring) - Tecland Chapeco

Sistemas de proteção genérico

Page 10: NSM (Network Security Monitoring) - Tecland Chapeco

Exemplo simples de genérico, “mundo fragmentação” ...

Sistemas operacionais diferentes, necessitam configurações de proteção diferente

Page 11: NSM (Network Security Monitoring) - Tecland Chapeco

Timeout fragmentação da proteção < dispositivo

Page 12: NSM (Network Security Monitoring) - Tecland Chapeco

Timeout fragmentação da proteção > dispositivo

Page 13: NSM (Network Security Monitoring) - Tecland Chapeco

De brinde tem o overlaping ...

Page 14: NSM (Network Security Monitoring) - Tecland Chapeco

E o grande “problema” da maioria das proteções …

Page 15: NSM (Network Security Monitoring) - Tecland Chapeco

Alerta é apenas uma foto do momento ….

Page 16: NSM (Network Security Monitoring) - Tecland Chapeco

Conceito de Network Security Monitoring (NSM)

Page 17: NSM (Network Security Monitoring) - Tecland Chapeco

Porque apenas o alerta

não é suficiente ….

Page 18: NSM (Network Security Monitoring) - Tecland Chapeco

Vulnerability Centric versus Threat Centric

Page 19: NSM (Network Security Monitoring) - Tecland Chapeco

Identificar ameaças

Page 20: NSM (Network Security Monitoring) - Tecland Chapeco

Quantificar risco

Probabilidade x Impacto

=

Risco

Page 21: NSM (Network Security Monitoring) - Tecland Chapeco

Identificar as fonte de informações

● Full Packet Capture

● Logs

● Session Data

● Signature Based Alerts

● Anomaly Based Alerts

Page 22: NSM (Network Security Monitoring) - Tecland Chapeco

Ciclo do NSM

Coleta

DetecçãoAnálise

Page 23: NSM (Network Security Monitoring) - Tecland Chapeco

Coleta

Page 24: NSM (Network Security Monitoring) - Tecland Chapeco

Os componentes da coleta

● Full content● Extracted content● Session data● Statical data● Metadata● Alert data

Page 25: NSM (Network Security Monitoring) - Tecland Chapeco

Full Content

Page 26: NSM (Network Security Monitoring) - Tecland Chapeco

Extracted Data

Page 27: NSM (Network Security Monitoring) - Tecland Chapeco

Session Data

Page 28: NSM (Network Security Monitoring) - Tecland Chapeco

Statical Data

Page 29: NSM (Network Security Monitoring) - Tecland Chapeco

Metadata

Page 30: NSM (Network Security Monitoring) - Tecland Chapeco

Alert Data

Page 31: NSM (Network Security Monitoring) - Tecland Chapeco

Detecção

Page 32: NSM (Network Security Monitoring) - Tecland Chapeco

Detecção

● IoC ( Indicators of Compromise )

● Reputation

● Signatures

● Anomalias com dados estatísticos

● Honeypots

Page 33: NSM (Network Security Monitoring) - Tecland Chapeco

Análise

Page 34: NSM (Network Security Monitoring) - Tecland Chapeco

E como coloco isso em prática ?

Page 35: NSM (Network Security Monitoring) - Tecland Chapeco

Projeto Security Onion (Opensource)

● Snort / Suricata● OSSEC● Sguil● Squert● Snorby● ELSA● Xplico● PRADS● Outros

Page 36: NSM (Network Security Monitoring) - Tecland Chapeco

Snorby

Page 37: NSM (Network Security Monitoring) - Tecland Chapeco

Squert

Page 38: NSM (Network Security Monitoring) - Tecland Chapeco

Sguil ( Real Time )

Page 39: NSM (Network Security Monitoring) - Tecland Chapeco

O que realmente se “gasta” é com armazenamento

Média utlização em Mbps x 1byte / 8bits x 60 seconds/minutes x 60 minutes / hours x 24 hours / day

Em resumo:

Rede Tráfego 100 Mbps aproximadamente 1.08 TB dia de log dia X quantidade de dias que deseja armazena

Page 40: NSM (Network Security Monitoring) - Tecland Chapeco

Referências

Page 41: NSM (Network Security Monitoring) - Tecland Chapeco

Referências

http://etplc.org/http://blog.securityonion.net/http://www.appliednsm.com/

http://etplc.org/
http://blog.securityonion.net/
http://www.appliednsm.com/
Page 42: NSM (Network Security Monitoring) - Tecland Chapeco

Perguntas & Contatos

Pessoal

[email protected]

@spookerlabs

http://spookerlabs.blogspot.com

Profissional

[email protected]

@sucuri_security

http://sucuri.net

mailto:[email protected]

1a Chamada Chapeco

The Rift Valley fever accessory proteins NSm and P78/NSm

RPM 최대 5000namsuntool.co.kr/kr/download/nsm_series_kr.pdf · 2014. 4. 4. · RPM. 5000. SINCE 1950 NSM-A NSM-A NSM-V NSM-V NSM-H NSM-H NSM-U NSM-U. July 2009. Title: ³²¼±±â°øÄ«´Þ·Î±×b61¹F27-1

nsm presentation 2016

III Encontro TecLand 25 de maio de 2013 Erechim/RS TecLand ... · aleluia! :) após minha participação no Tchelinux deste mesmo ano (que coincidentemente ocorreu na FAE também)

Reseña historica nsm

Plano Diretor Chapeco

Viagem para Chapeco

Milano NSM 9

Cisco Networking Academy - TecLand Group Palestra.pdf · CCNA Exploration Para cada curso ICND 1

Nsm Manual Es

NSM-Jukeboks · 2019. 11. 15. · NSM-Jukeboks.dk NSM-Jukeboks.dk Rugvænget 7 6823 Ansager Tlf.: 75296300 ... For at programmere NSM musikbokse på en effektiv måde, er der installeret

NSM PPT 14032011

NSM in Thailand

contoh sosialisasi nsm

NSM Stimulation - Patienteninformation

SDR Chapeco

NSM-Jukeboks.dk Rugvænget 7 · 2019. 11. 15. · 6 NSM-Jukeboks.dk NSM-Jukeboks.dk Rugvænget 7 6823 Ansager Tlf.: 75296300 NSM Musikbokse _____ _____ P031* Data overførsel til

FICHA TÉCNICA EcoTank ET-2714 - Tecland Innovación

Network Security Monitoring (NSM) Using - nwclug.orgnwclug.org/demos/171003/NSM+Security_Onion.pdf · Network Security Monitoring (NSM) Using James Kirn ... SO Cheat Sheet ... SNORT

Sosialisasi nsm

NSM - Steelingeneering

RELAÇÃO DE INSCRITOS PROVISÓRIA - PODE SOFRER … · RELAÇÃO DE INSCRITOS PROVISÓRIA ... 84km ERT UNIFORMES CHAPECO ... (30-34 anos) - 84km Apti Alimentos CHAPECO

NSM · NSM Application Form and Guidelines for New Membership UniPort to host the 43rd Scientific Conference & AGM of NSM in 2020 Photo Gallery from NSM Conferences & Zonal Symposia

Nsm Manual Bp

Nsm API Guide

NSM PERBAIKAN TERBARU.xlsx

2012 NSM Brochure

Prefeitura de chapeco plano diretor pdf - pesquisa google

Nsm goa 2016

2016 nsm prototypowanie

TRUCK CLUBE CHAPECO

Nsm Brochure

NSM 2013 Guide

NSM Seminar