Security Information and Event Management (SIEM) SIEM Vi ió i t ld l

Security Information and Event Management (SIEM) SIEM Vi ió i t ld l

Security Information and Event Management (SIEM)
SIEM Visión
SIEM:
Vi ió iintegral
t
ld
de lla seguridad
id d
Andrés Ricardo Almanza
andres almanza@hotmail com
[email protected]
@andresr_almanza
Agradecimiento especial al Master Armando Carvajal
[email protected]
AGENDA
yProblemática actual de gestión de redes
yAntecedentes:
A t d t SIM,
SIM SEM,
SEM SIEM
SIEM…Plataforma
Pl t f
d
de iinteligencia
t li
i segura
yArquitectura
yProcesos de Gestión e Indicadores
yFuturo de SIEM
yConclusiones
Problemática de Infraestructura:
y Crecientes
amenazas internas contra los
recursos de TI como: BD, servidores de
correos, servidores web…
y No es fácil detectar donde esta el problema de
la red que nos llevo al caos con los sistemas
críticos del negocio!
y Son los administradores de TI flojos o no les
queda tiempo para leer sus log?
y Cuantos tienen que leer?
Problemática de Infraestructura:
y Difícil gerenciamiento de incidentes
y Poca
o ninguna
g
Visibilidad de toda la
infraestructura
y No hay
y suficiente evidencia p
para sustentar un
incidente en IT
y No es fácil buscar y descubrir evidencias
Problemática de Inseguridad:
y Ajustar
j
p
políticas de seguridad
g
cuando crece el
y
y
y
y
riesgo basado en evidencias
Están ocurriendo ataques internos
Hay Malware en mi infraestructura
DoS: Denegación de servicios
ID/IP(S). Falsos positivos y falsos negativos
Problemática de cumplimiento:
y No tengo suficientes registros para cumplir
las auditoría de red internas y externas
y No tengo la materia prima para sustentar los
Análisis forenses cuando se dan los incidentes
y Cuando se da un incidente no se donde
conseguir toda la evidencia en forma
correlacionada
y Amplio margen de normativas (Internacional
y nacional)
Evolución de los SIEM’s
Security Information Management (SIM)
y Nos ayuda
y
con la Administración de logs
g
y Reportes de logs
y Análisis de logs
y Reportes de cumplimiento
y Conclusión:
C
l ió
E t es monitoreo
Esto
it
t di i
tradicional
l
necesario en infraestructura
y NO es seguridad
id d de
d la
l información
i f
ió
Security Event Management (SEM)
y Monitoreo casi en tiempo real de eventos
y Captura eventos de seguridad en dispositivos
de red, Captura eventos de aplicaciones*,
Correlación de eventos, Respuesta a
incidentes
y Conclusión: Visibilidad de servidores y de los
sistemas de seguridad (FW, IDS, IPS…)
Security Information Event Management (SIEM)
SIEM = SIM + SEM
yDetección de anomalías de red y amenazas
yAnálisis antes, durante y después del ataque
yCaptura total de los paquetes en la red
yComportamiento del usuario y su contexto
yCumplimiento de nuevas normas/leyes
Security Information Event Management (SIEM)
… + Administración del riesgo:
g
yTopología de red y vulnerabilidades
yConfiguración de dispositivos
yAnálisis de fallas y simulación de exploits
yPriorización de vulnerabilidades
yCorrelación avanzada y profunda de eventos
yUso de SIEM como un Information Secure
Warehouse.
yConclusión: Plataforma de inteligencia de la
seguridad
Conceptos de la Industria
y“The SIEM system is a complex collection of technologies
designed
d
i
d to provide
id vision
i i and
d clarity
l i on the
h corporate IT
system as a whole, benefitting security analysts and IT
administrators as well”
y“Much more powerful than data aggregation, Takes
multiple
l i l isolated
i l d events, combining
bi i
them
h
i
into
a single
i l
relevant security
incident,
Requires
comparative
observations based on multiple
p
parameters such as–
p
Source/destination IP addresses– Identifiable network
routes– Type of attack– Type of malware installed on
compromised systems – The time the activity began or
ended”
Cuadrante SIEM de Gartner
•
•
No todos los fabricantes en este cuadrante de Gartner se enfocan en lo mismo
SIEM se compone dde ddos mercados
d dif
diferentes:SIM
t SIM y SEM
© Copyright LogLogic Inc. Confidential
Friday, January 8, 2010
Page 13
Servicios (SIEM)
y Administración de logs
y Cumplimiento de regulaciones de IT
y Correlación de eventos (*)
y Respuestas activas
y Seguridad en el punto final (*)
Correlación de eventos (*):
y Si la CPU de un servidor critico del negocio esta al 100%:
y A) El AV identifico malware en ese servidor?
y B) Otros AV de otros servidores han reportado actividades de
malware?
y C) Están otros servidores al 100% y el AV detecto actividades de
malware?
y D) Hay
Ha aplicaciones o servicios
ser icios que
q e no responden?
y E) Hay picos de trafico de red generados por ese servidor?
y F) Si hay picos de trafico de red,
red es ese trafico de DoS,
DoS
DDoS?
y Si todo lo anterior se cumple….
Antes de implementar un SIEM
y Tengo mi información clasificada?
y A que dispositivos le hare toma de eventos o logs,
con que prioridad?
y Que clase de eventos colectare?
y Por cuanto tiempo debo retener esos logs?
y Que cantidad de esos logs retendré?
Antes de implementar un SIEM
y Donde almacenare esos logs cifrados, localmente o
en la nube?
y Que regulaciones (GRC) debo cumplir?
y Nota: GRC = “Governance, Risk and Compliance”
y Tengo unos RFP?
y Data en bruto vs la data modificada
Estándares de logs
y Syslog (RFC5424, linux/unix, mac, etc)
y Alertas propietarias (Antivirus, IDS, IPS, Windows,
AS400, etc)
y Flujo de datos (HTTP):
y Netflow (Cisco), J-Flow (Juniper),
y Q-Flow (Q1Labs), sFlow (RFC3176)
Colectores
y Libres vs Comerciales
y Invasivos vs Agentless
y Mecanismos propios vs Mecanismos estándar
(Snmp, syslog, netflow, etc..)
ARQUITECTURA DE LOS
SISTEMAS SIEM
4 - Nivel de reportes
Vi
Visualización
li
ió y E
Exposición
i ió
3 - Nivel de correlación
R l e IInteligencia
Reglas
t li
i
2 - Nivel de normalización
Estandarización
1 – Nivel de captura de eventos
Integración
Pil d
Pila
de capas d
de llos SIEM
ARQUITECTURA PARA CAPTURA DE EVENTOS
y Requiere
R
i
que llos d
datos
de logs, flujo, y SNMP se
obtengan varias veces de
cada sistema
y Puede requerir múltiples
agentes para recolectar
datos
y Almacenamiento
Duplicado
y Altísimo Costo
Operacional
i
l
© Copyright LogLogic Inc. Confidential
Friday, January 8, 2010
Page 22
Anatomía de un sistema SIEM
Dispositivos
Prioridad!
Tasa de
generación!
Colector de logs
Push método!
Pull método!
Normalización
(Parsing)
Motor de reglas
--------------------Motor de
Correlación
Almacenamiento
de logs
Monitoreo
Proceso de Operación
SIEM
Gestión de eventos
Eventos Windows
Windows is shutting down
The audit log was cleared
S ccessf l Logon
Successful
Logon Failure - Unknown user name or bad password
Eventos Linux
Linux se está cerrando
Error de inicio de sesión - nombre de usuario desconocido o
contraseña incorrecta
Error de inicio de sesión - Cuenta actualmente deshabilitada
Error de inicio de sesión - Cuenta bloqueada
Privilegios especiales asignados al nuevo inicio de sesión
Se hizo un intento para cambiar la contraseña de una cuenta
Logon Failure - Account currently disabled
Logon Failure - Account locked out
Gestión de alarmas
Calificación de la Acuerdos de Servicio
Alarma
a
a
(OLA)
(O
)
Muy Grave ( 9-10 )
1 día
Grave ( 7 – 8)
2 Días
Normal ( 5- 6))
4 Días
Poco Importante (3 – 4)
7 Días
No importante (1 - 2)
10 Días
Indicador Para la Gestión de
Incidentes
Apoyo a la gestión del modelo
de controles
Controles
Gestion de Inventario de activos (software y hardaware)
yp
g
Gestión de usuarios y privilegios
Gestion de Logs
Uptimes de plataformas
Identificacion de malware
Gestion de vulnerabilidades
G ti d i id t
Gestion de incidentes
Fronteras de proteccion (FW, ID/IP(S), DLP, Proxys)
Futuro de SIEM
y Arquitectura menos intrusiva
y Consola única,
y El análisis del incidente debe incluir el flujo de
red
y Fuentes de datos empresariales para la
captura de los eventos de CRM, ERP, Ventas,
etc
y SDK…
…Futuro de SIEM (La nube)
y Ilimitado número de dispositivos
p
y Ilimitado número de eventos capturados por
segundo
y Ilimitado almacenamiento apalancado en la
infraestructura que provee la nube
y Posibilidad de capturar eventos de usuarios
basados en el negocio
Conclusiones
y SIM nos entrega logs de IT
y SEM nos entrega logs o la materia prima para
sustentar como ocurrió una falla o un incidente de
seguridad (dispositivos seguridad)
y No se p
puede hacer g
gestión de incidentes sin un
sistema de gestión y correlación de eventos
Conclusiones
y No puedo prever si no tengo tendencias basados
en mi realidad
y SIEM esta en línea haciendo push a la estrategia
“Defensa
Defensa en profundidad”
profundidad para suplir las falencias
de los IPS, IDS, Firewalls…
y Haga
g su lista especifica
p
de dispositivos
p
yp
priorice
la clase de logs
Bibliografía
y [1] http : //
blog.q1labs.com/2011/09/26/evolution-of-themodern siem infographic/
modern-siem-infographic/
y [2] Security Information and Event Management
(SIEM) implementation,
implementation McGraw Hill
Hill, David
Miller, Shon Harris