nsm (network security monitoring) - tecland chapeco
TRANSCRIPT
NSM (Network Security Monitoring) - Porque a invasão é “inevitável" e alertas somente não suficiente !
Rodrigo “Sp0oKeR” Montoro
@spookerlabs
$ whois Rodrigo “Sp0oKeR” Montoro
● Security System Administrator @ Sucuri
– Centenas de Web Application Firewall
– Milhões alertas mês (Disneyland =) )
● Autor de 2 patentes pendentes
– Detecção Documentos maliciosos
– Análise Cabeçalhos HTTP
● Palestrante em diversos eventos
– FISL, Latinoware, CNASI, SecTor (Canada), H2HC, Bsides (São Paulo e Las
Vegas), Source Seattle e Boston (EUA), Toorcon (EUA), Zoncon (EUA).
● Triatleta / Corredor de Trilhas
MOTIVAÇÃO
AGENDA
● Atual problema na detecção de um intrusão
● O conceito de NSM
● Como colocar isso em prática ?
● Perguntas
Atual problema na detecção ...
Como funciona um invasão
● Antes
● Durante
● Depois
Conceito de Detecção / Prevenção Intrusão
Atacantes eventualmente terão sucesso.
Tempo é o fator chave ...
Sistemas de proteção genérico
Exemplo simples de genérico, “mundo fragmentação” ...
Sistemas operacionais diferentes, necessitam configurações de proteção diferente
Timeout fragmentação da proteção < dispositivo
Timeout fragmentação da proteção > dispositivo
De brinde tem o overlaping ...
E o grande “problema” da maioria das proteções …
Alerta é apenas uma foto do momento ….
Conceito de Network Security Monitoring (NSM)
Porque apenas o alerta
não é suficiente ….
Vulnerability Centric versus Threat Centric
Identificar ameaças
Quantificar risco
Probabilidade x Impacto
=
Risco
Identificar as fonte de informações
● Full Packet Capture
● Logs
● Session Data
● Signature Based Alerts
● Anomaly Based Alerts
Ciclo do NSM
Coleta
DetecçãoAnálise
Coleta
Os componentes da coleta
● Full content● Extracted content● Session data● Statical data● Metadata● Alert data
Full Content
Extracted Data
Session Data
Statical Data
Metadata
Alert Data
Detecção
Detecção
● IoC ( Indicators of Compromise )
● Reputation
● Signatures
● Anomalias com dados estatísticos
● Honeypots
Análise
E como coloco isso em prática ?
Projeto Security Onion (Opensource)
● Snort / Suricata● OSSEC● Sguil● Squert● Snorby● ELSA● Xplico● PRADS● Outros
Snorby
Squert
Sguil ( Real Time )
O que realmente se “gasta” é com armazenamento
Média utlização em Mbps x 1byte / 8bits x 60 seconds/minutes x 60 minutes / hours x 24 hours / day
Em resumo:
Rede Tráfego 100 Mbps aproximadamente 1.08 TB dia de log dia X quantidade de dias que deseja armazena
Referências
Referências
http://etplc.org/http://blog.securityonion.net/http://www.appliednsm.com/
Perguntas & Contatos
Pessoal
@spookerlabs
http://spookerlabs.blogspot.com
Profissional
@sucuri_security
http://sucuri.net