A3sec Webinar AlienVault USM - Sistemas de detección de ataques en tiempo real
- 1. Webinar A3Sec AlienVault USM Sistemas de detección de ataques en tiempo real 4 de Febrero del 2014
- 2. Contenido • • • • • • • • AlienVault USM IDS de Red IDS de Host IDS de Wireless Configuración de IDS Recolección de eventos IDS Demos Q&A 2
- 4. AlienVault Unified Security Management Unimos todas las piezas Buscamos actividad que pueda ser sospechosa ¿Cómo protegemos nuestras casas ? Identificamos Amenazas Determinamos que tiene Valor Identificamos como pueden afectar lo que es valioso 4
- 5. AlienVault Unified Security Management Unimos todas las piezas Buscamos actividad que pueda ser sospechosa ¿Cómo aseguramos nuestra empresa? Identificamos Amenazas Determinamos que tiene Valor Identificamos como pueden afectar lo que es valioso 5
- 6. AlienVault Unified Security Management Correlación de eventos Respuesta a Incidentes Recolección de Logs Análisis de NetFlows Monitorización Disponibilidad IDS de Red IDS de Host IDS Wireless Análisis de la Red Inventario de Activos ¿Como aseguramos nuestra empresa? Escaneos Vulnerabilidades 6
- 7. 5 Capacidades principales del USM AlienVault’s Unified Security Management™ (USM™) proporciona una forma rápida y rentable para las organizaciones de hacer frente a las necesidades de gestión de amenazas y cumplimento. Con todos los controles de seguridad esenciales incorporados, AlienVault USM provee una visibilidad completa de la seguridad de la información. 7
- 8. 5 Capacidades principales del USM Automatización de Inventario para los activos críticos El descubrimiento de activos nos permite crear un inventario de los activos desplegados, logrando con ello dar un primer paso para la evaluación de vulnerabilidades, detección de amenazas, apreciación del comportamiento de la red y de los servicios para detectar violaciones en las políticas corporativas. 8
- 9. 5 Capacidades principales del USM Detecta que activos son vulnerables a los ataques Mediante la combinación de la visibilidad completa y actualizada de los sistemas a través de las herramientas de evaluación de vulnerabilidades, AlienVault ha incorporado medidas preventivas de seguridad. La evaluación de vulnerabilidades permite identificar posibles debilidades en los sistemas y así priorizar las acciones para mejorar su nivel de seguridad. 9
- 10. 5 Capacidades principales del USM Identifica exploits específicos utilizados en los ataques Con una amplia base de conocimiento, el Sistema de Detección de Intrusiones en la red que AlienVault incorpora el análisis del tráfico de red para detectar firmas de ataques conocidos, e identificar patrones de los métodos de ataque conocidos. Esto proporciona una visibilidad inmediata de los ataques que se utilizan en contra de su sistema. 10
- 11. 5 Capacidades principales del USM Identifica los comportamientos anormales Los cambios en el comportamiento de las redes, sistemas y servicios pueden indicar una defensa débil o violación de seguridad. Para ello se combina el análisis del flujo de red para identificar los cambios sufridos, la captura de paquetes completos para el análisis forense y el seguimiento de servicios activos para verificar proactivamente cambios en los servicios. 11
- 12. 5 Capacidades principales del USM Inteligencia en la Seguridad de la Información en acción Dar un valor añadido a la gran cantidad de información recogida es unos de los grandes objetivos de la Inteligencia de seguridad. Así, mediante la automatización de la correlación de eventos en tiempo real podemos hacer que un trozo de información que por sí solo no significa nada, puede ser una pieza muy importante de un conjunto global. 12
- 13. IDS de Red 13
- 14. IDS de Red - Snort Snort es un sistema de detección de intrusos a nivel de red. Dispone de un lenguaje de creación de reglas en el que se pueden definir los patrones (reglas) que se utilizarán a la hora de monitorizar el sistema. Snort es uno de los NIDS más utilizados en todo el mundo, su proyecto arranco en 1998 de la mano de Martin Roesch. Es bastante útil para identificar: Malware, Escáneo de Puertos, Violación de Políticas(P2P, IM, Porn, Games...). 14
- 15. IDS de Red - Snort Malware alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"ET CURRENT_EVENTS MALWARE Potential Malware Download, rogue antivirus (IAInstall.exe)"; flow:established,to_server; uricontent:"/download/IAInstall.exe"; nocase; classtype:bad-unknown; reference:url,malwareurl.com; reference: url, www.emergingthreats.net/cgi-bin/cvsweb.cgi/sigs/CURRENT _EVENTS/CURRENT_Malware url_top_downloads; reference:url,doc.emergingthreats.net/2010447; sid:2010447; rev:2;) Scans alert tcp $HTTP_SERVERS $HTTP_PORTS -> $EXTERNAL_NET any (msg:"ET SCAN Unusually Fast 403 Error Messages, Possible Web Application Scan"; flow:from_server,established; content:"HTTP/1.1 403"; depth:13; threshold: type threshold, track by_dst, count 35, seconds 60; classtype:attempted-recon; reference: url www.checkupdown.com/status/E403.html; reference:url, doc.emergingthreats.net /2009749; reference:url,www.emergingthreats.net/cgi-bin/cvsweb.cgi/sigs/SCAN/SCAN_403; sid:2009749; rev:2;) Violación de Políticas alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"ET POLICY Megaupload file download service access"; flow:to_server,established; content:"GET "; depth: 4; uricontent:"/?d="; content:"|0d 0a|Host: "; content:"megaupload.com"; within:25; nocase; classtype:policy-violation; reference: url,doc.emergingthreats.net/2009301; reference:url,www.emergingthreats.net/cgi-bin/cvsweb.cgi /sigs/POLICY/POLICY_Download_Services; sid:2009301; rev:2;) 15
- 16. IDS de Red - Suricata Suricata es un sistema de detección de intrusos de red de la Open Information Security Foundation (OISF). Es multiproceso, lo que significa que puede ejecutar una instancia y va a equilibrar la carga de procesamiento a través de cada procesador. Reconocimiento de los protocolos más comunes automáticamente, permitiendo escribir reglas basadas en protocolos. Suricata es compatible con las reglas de Snort. 16
- 17. IDS de Host 17
- 18. IDS de Host - OSSEC OSSEC es un HIDS (Host-level Intrusion Detection System) que permite análisis de logs, detección de rootkit, chequeos de integridad del sistema y monitorización del registro de Windows. OSSEC requiere la instalación de un agente para la monitorización (Excepto sistemas con acceso SSH). Attempt to login using a non-existent user Attempt to use mail server as relay (client host rejected). Logon failure: Account currently disabled Sensor 18
- 19. IDS de Host - OSSEC OSSEC se basa en una arquitectura cliente -> servidor. AlienVault colecta los eventos del servidor OSSEC (Instalado en el Sensor AlienVault). OSSEC provee un sistema de plugins propios usados para el análisis de plataformas Windows y UNIX. Utilidad dentro de la plataforma AlienVault: Colección de logs de Windows y Unix Colección de logs de aplicaciones Monitorización de registro, archivos y directorios (DLP) 19
- 21. IDS de Wireless- Kismet Kismet es un sistema detector de red Wireless en capa 2 (802.11), con funcionalidades de sniffer y detector de intrusos. Kismet funciona con cualquier tarjeta inalámbrica con soporte para monitorización en bruto (rfmon), y (con hardware apropiado) puede monitorizar tráfico 802.11b, 802.11a, 802.11g y 802.11n. Utilidad dentro de la plataforma AlienVault: Aseguramiento de redes WIFI. Detección de AP falsos. Cumplimiento (Requerimientos PCI Wireless). 21
- 23. Pasivo Vs Activo Pasivo Activo Las herramientas pasivas requieren un puerto mirroring / puerto span configurado en el equipo de red para ser capaz de analizar el tráfico de la red monitorizada/ s. 23
- 24. IDS de Red - Snort & Suricata Por defecto en una instalación de AlienVault USM viene activado el NIDS Suricata. Tener las interfaces recibiendo el trafico de los port mirroring. Avanzado: Realizar ajuste fino diferente para cada interfaz (Red de oficina, DMZ…) No utilizar aquellas reglas que no resultan interesantes para el tráfico que se va a recibir por cada interfaz. 24
- 25. IDS de Host - OSSEC Por defecto en una instalación de AlienVault AIO o Sensor viene activado el HIDS OSSEC con un agente desplegado para el proprio AlienVault. AlienVault ha integrado todas las funcionalidades de OSSEC en su consola Web (todas las configuraciones necesarias se harán en el menú Environment -> detection -> HIDS ). 25
- 26. IDS de Wireless- Kismet Tener configurado el Sensor Kistmet (howto en AlienVault Bloomfire) Por defecto en una instalación de AlienVault, Kismet no viene activado por ello es necesario habilitar el plugin de Kismet (AlienVault Center). 26
- 27. Recolección de eventos IDS 27
- 28. SDEE FTP WMI OPSEC SYSLOG SYSLOG SYSLOG WMI SYSLOG Recolección de Eventos IDS Puerto MIRRORING Colección de Logs Comunicación Interna AlienVault 28
- 29. Demostración 29
- 30. Top 10 de Ataques de Seguridad Desde Open Web Application Security Project (OWASP) han determinado: A1 Inyección A2 Pérdida de Autenticación y Gestión de Sesiones A3 Cross-Site Scripting (XSS) A4 Referencias directa inseguras a objetos A5 Configuración de Seguridad incorrecta A6 Exposición de datos sensibles A7 – Ausencia de Control de Acceso a las Funciones A8 Cross-Site Request Forgery (CSRF) A9 Utilización de componentes con vulnerabilidades conocidas A10 Redirects y Forwards no validados 30
- 31. Arquitectura de la Demo Alienvault USM 192.168.0.1 Apache Vulnerable 192.168.0.123 31
- 32. Q&A 32
- 33. A3Sec en la Red www.a3sec.com youtube.com/a3sec twitter.com/a3sec linkedin.com/company/a3sec 33
- 34. Preguntas A3Sec México A3Sec USA A3Sec España Avda. Paseo de la Reforma, 389 Piso10, México DF Tlf. +52 55 5980 3547 1401 Brickell Ave #320 Miami, FL 33131, USA T. +1 786 556 90 32 C/ Aravaca, 6Piso2Dcha 28040 Madrid Tlf. +34 915 330 978 [email protected] 34