Security Information and Event Management (SIEM) SIEM Vi ió i t ld l
Transcripción
Security Information and Event Management (SIEM) SIEM Vi ió i t ld l
Security Information and Event Management (SIEM) SIEM Visión SIEM: Vi ió iintegral t ld de lla seguridad id d Andrés Ricardo Almanza andres almanza@hotmail com [email protected] @andresr_almanza Agradecimiento especial al Master Armando Carvajal [email protected] AGENDA yProblemática actual de gestión de redes yAntecedentes: A t d t SIM, SIM SEM, SEM SIEM SIEM…Plataforma Pl t f d de iinteligencia t li i segura yArquitectura yProcesos de Gestión e Indicadores yFuturo de SIEM yConclusiones Problemática de Infraestructura: y Crecientes amenazas internas contra los recursos de TI como: BD, servidores de correos, servidores web… y No es fácil detectar donde esta el problema de la red que nos llevo al caos con los sistemas críticos del negocio! y Son los administradores de TI flojos o no les queda tiempo para leer sus log? y Cuantos tienen que leer? Problemática de Infraestructura: y Difícil gerenciamiento de incidentes y Poca o ninguna g Visibilidad de toda la infraestructura y No hay y suficiente evidencia p para sustentar un incidente en IT y No es fácil buscar y descubrir evidencias Problemática de Inseguridad: y Ajustar j p políticas de seguridad g cuando crece el y y y y riesgo basado en evidencias Están ocurriendo ataques internos Hay Malware en mi infraestructura DoS: Denegación de servicios ID/IP(S). Falsos positivos y falsos negativos Problemática de cumplimiento: y No tengo suficientes registros para cumplir las auditoría de red internas y externas y No tengo la materia prima para sustentar los Análisis forenses cuando se dan los incidentes y Cuando se da un incidente no se donde conseguir toda la evidencia en forma correlacionada y Amplio margen de normativas (Internacional y nacional) Evolución de los SIEM’s Security Information Management (SIM) y Nos ayuda y con la Administración de logs g y Reportes de logs y Análisis de logs y Reportes de cumplimiento y Conclusión: C l ió E t es monitoreo Esto it t di i tradicional l necesario en infraestructura y NO es seguridad id d de d la l información i f ió Security Event Management (SEM) y Monitoreo casi en tiempo real de eventos y Captura eventos de seguridad en dispositivos de red, Captura eventos de aplicaciones*, Correlación de eventos, Respuesta a incidentes y Conclusión: Visibilidad de servidores y de los sistemas de seguridad (FW, IDS, IPS…) Security Information Event Management (SIEM) SIEM = SIM + SEM yDetección de anomalías de red y amenazas yAnálisis antes, durante y después del ataque yCaptura total de los paquetes en la red yComportamiento del usuario y su contexto yCumplimiento de nuevas normas/leyes Security Information Event Management (SIEM) … + Administración del riesgo: g yTopología de red y vulnerabilidades yConfiguración de dispositivos yAnálisis de fallas y simulación de exploits yPriorización de vulnerabilidades yCorrelación avanzada y profunda de eventos yUso de SIEM como un Information Secure Warehouse. yConclusión: Plataforma de inteligencia de la seguridad Conceptos de la Industria y“The SIEM system is a complex collection of technologies designed d i d to provide id vision i i and d clarity l i on the h corporate IT system as a whole, benefitting security analysts and IT administrators as well” y“Much more powerful than data aggregation, Takes multiple l i l isolated i l d events, combining bi i them h i into a single i l relevant security incident, Requires comparative observations based on multiple p parameters such as– p Source/destination IP addresses– Identifiable network routes– Type of attack– Type of malware installed on compromised systems – The time the activity began or ended” Cuadrante SIEM de Gartner • • No todos los fabricantes en este cuadrante de Gartner se enfocan en lo mismo SIEM se compone dde ddos mercados d dif diferentes:SIM t SIM y SEM © Copyright LogLogic Inc. Confidential Friday, January 8, 2010 Page 13 Servicios (SIEM) y Administración de logs y Cumplimiento de regulaciones de IT y Correlación de eventos (*) y Respuestas activas y Seguridad en el punto final (*) Correlación de eventos (*): y Si la CPU de un servidor critico del negocio esta al 100%: y A) El AV identifico malware en ese servidor? y B) Otros AV de otros servidores han reportado actividades de malware? y C) Están otros servidores al 100% y el AV detecto actividades de malware? y D) Hay Ha aplicaciones o servicios ser icios que q e no responden? y E) Hay picos de trafico de red generados por ese servidor? y F) Si hay picos de trafico de red, red es ese trafico de DoS, DoS DDoS? y Si todo lo anterior se cumple…. Antes de implementar un SIEM y Tengo mi información clasificada? y A que dispositivos le hare toma de eventos o logs, con que prioridad? y Que clase de eventos colectare? y Por cuanto tiempo debo retener esos logs? y Que cantidad de esos logs retendré? Antes de implementar un SIEM y Donde almacenare esos logs cifrados, localmente o en la nube? y Que regulaciones (GRC) debo cumplir? y Nota: GRC = “Governance, Risk and Compliance” y Tengo unos RFP? y Data en bruto vs la data modificada Estándares de logs y Syslog (RFC5424, linux/unix, mac, etc) y Alertas propietarias (Antivirus, IDS, IPS, Windows, AS400, etc) y Flujo de datos (HTTP): y Netflow (Cisco), J-Flow (Juniper), y Q-Flow (Q1Labs), sFlow (RFC3176) Colectores y Libres vs Comerciales y Invasivos vs Agentless y Mecanismos propios vs Mecanismos estándar (Snmp, syslog, netflow, etc..) ARQUITECTURA DE LOS SISTEMAS SIEM 4 - Nivel de reportes Vi Visualización li ió y E Exposición i ió 3 - Nivel de correlación R l e IInteligencia Reglas t li i 2 - Nivel de normalización Estandarización 1 – Nivel de captura de eventos Integración Pil d Pila de capas d de llos SIEM ARQUITECTURA PARA CAPTURA DE EVENTOS y Requiere R i que llos d datos de logs, flujo, y SNMP se obtengan varias veces de cada sistema y Puede requerir múltiples agentes para recolectar datos y Almacenamiento Duplicado y Altísimo Costo Operacional i l © Copyright LogLogic Inc. Confidential Friday, January 8, 2010 Page 22 Anatomía de un sistema SIEM Dispositivos Prioridad! Tasa de generación! Colector de logs Push método! Pull método! Normalización (Parsing) Motor de reglas --------------------Motor de Correlación Almacenamiento de logs Monitoreo Proceso de Operación SIEM Gestión de eventos Eventos Windows Windows is shutting down The audit log was cleared S ccessf l Logon Successful Logon Failure - Unknown user name or bad password Eventos Linux Linux se está cerrando Error de inicio de sesión - nombre de usuario desconocido o contraseña incorrecta Error de inicio de sesión - Cuenta actualmente deshabilitada Error de inicio de sesión - Cuenta bloqueada Privilegios especiales asignados al nuevo inicio de sesión Se hizo un intento para cambiar la contraseña de una cuenta Logon Failure - Account currently disabled Logon Failure - Account locked out Gestión de alarmas Calificación de la Acuerdos de Servicio Alarma a a (OLA) (O ) Muy Grave ( 9-10 ) 1 día Grave ( 7 – 8) 2 Días Normal ( 5- 6)) 4 Días Poco Importante (3 – 4) 7 Días No importante (1 - 2) 10 Días Indicador Para la Gestión de Incidentes Apoyo a la gestión del modelo de controles Controles Gestion de Inventario de activos (software y hardaware) yp g Gestión de usuarios y privilegios Gestion de Logs Uptimes de plataformas Identificacion de malware Gestion de vulnerabilidades G ti d i id t Gestion de incidentes Fronteras de proteccion (FW, ID/IP(S), DLP, Proxys) Futuro de SIEM y Arquitectura menos intrusiva y Consola única, y El análisis del incidente debe incluir el flujo de red y Fuentes de datos empresariales para la captura de los eventos de CRM, ERP, Ventas, etc y SDK… …Futuro de SIEM (La nube) y Ilimitado número de dispositivos p y Ilimitado número de eventos capturados por segundo y Ilimitado almacenamiento apalancado en la infraestructura que provee la nube y Posibilidad de capturar eventos de usuarios basados en el negocio Conclusiones y SIM nos entrega logs de IT y SEM nos entrega logs o la materia prima para sustentar como ocurrió una falla o un incidente de seguridad (dispositivos seguridad) y No se p puede hacer g gestión de incidentes sin un sistema de gestión y correlación de eventos Conclusiones y No puedo prever si no tengo tendencias basados en mi realidad y SIEM esta en línea haciendo push a la estrategia “Defensa Defensa en profundidad” profundidad para suplir las falencias de los IPS, IDS, Firewalls… y Haga g su lista especifica p de dispositivos p yp priorice la clase de logs Bibliografía y [1] http : // blog.q1labs.com/2011/09/26/evolution-of-themodern siem infographic/ modern-siem-infographic/ y [2] Security Information and Event Management (SIEM) implementation, implementation McGraw Hill Hill, David Miller, Shon Harris
Documentos relacionados
La evolución de los sistemas SIEM frente a la correlación de
“The SIEM system is a complex collection of technologies designed to provide vision and clarity on the corporate IT system as a whole, benefitting security
Más detalles