Resposta a Incidentes de Segurança com ferramentas SIEM
2 gostaram960 visualizações
O documento aborda a evolução da segurança da informação e a importância das ferramentas SIEM na resposta a incidentes. Destaca que, apesar dos benefícios significativos proporcionados pelas ferramentas SIEM, seu uso eficaz depende da estruturação correta das áreas de TI, segurança e resposta a incidentes. A conclusão enfatiza a necessidade de uma abordagem contínua e evolutiva na segurança da informação, dada a natureza dinâmica das ameaças.
Resposta a Incidentes de Segurança com ferramentas SIEM
- 1. Resposta a Incidentes de Segurança com ferramentas SIEM Nichols Jasper 16º Congresso de Tecnologia – FATEC-SP 16/10/2014 [email protected] 1
- 2. Agenda Modelos de segurança. Desafios atuais da segurança. Intelligence Driven Security. SIEM: definições e exemplos SIEM: arquitetura e casos de uso. Benefícios da Resposta a Incidentes com o uso de ferramentas SIEM. Conclusão. 2
- 3. Modelos de Segurança Segurança Física (Mainframes) – 60 – Hoje • Os perímetros de segurança eram claros. • As informações residiam em computadores e centros de processamento com acessos restritos. • A grande maioria dos usuários somente conseguiam visualizar as informações em seus terminais, que não as armazenavam. Segurança de Redes (Sistemas Distribuídos) – 90 – Hoje • Com a ampliação das redes de computadores surgiram sistemas cliente-servidor aonde os dados trafegavam via rede entre um servidor e os computadores dos usuários. • Ameaças surgiram em relação ao tráfego de dados, como: Interceptação; Interrupção; Modificação; e Fabricação. 3
- 4. Modelos de Segurança Segurança na Internet (Sistemas Web) – 2000 – Hoje • Aplicações web cresceram e hoje fazem parte de praticamente toda empresa. • Os sistemas agora estão expostos ao mundo e com uma superfície de ataque muito maior: Internet e Extranets ampliam consideravelmente os antigos perímetros de proteção. 4
- 5. Modelos de Segurança Segurança Onipresente – Hoje! • Internet das Coisas, Big Data, Cloud, BYOD, Mobile... Hoje o perímetro de segurança é muito difícil de se mapear. Afinal, aonde estão as informações que precisam ser protegidas? • Os sistemas hoje apresentam três características que dificultam muito a sua segurança: Interconectividade: com os sistemas acessíveis através da Internet, extranets e intranets a tarefa de projetar a segurança do software se tornou árdua, devido a ameaças distintas de cada um desses ambientes. Extensibilidade: os sistemas de hoje precisam receber atualizações, funcionar com códigos externos (plugins e add-ons), interagir com os sistemas legados; tudo em nome da flexibilidade. Complexidade: O aumento de funcionalidades e compatibilidades agrega valor ao sistema, mas em termos de segurança muitas vezes o torna difícil de gerenciar devido a sobreposições de pacotes de software, integrações e customizações de cada ambiente. 5 Fonte: https://freedom-to-tinker.com/blog/gem/software-security-trinity-trouble/
- 6. Complexidade dos Sistemas – Milhões de Linhas de Código por Sistema 6 Fonte: http://www.informationisbeautiful.net/visualizations/million-lines-of-code/
- 7. Para pensar.... O mundo da segurança é marcado pela evolução contínua, no qual novos ataques têm como resposta novas formas de proteção, que levam ao desenvolvimento de novas técnicas de ataques, de maneira que um ciclo é formado. Isso ocorre porque o arsenal de defesa usado pela organização pode funcionar contra determinados tipos de ataques; porém, pode ser falho contra novas técnicas desenvolvidas para driblar esse arsenal de defesa. Deve se ter em mente que a segurança deve ser contínua e evolutiva! 7 Fonte: Segurança de Redes em Ambientes Cooperativos - Nakamura e Geus
- 8. Desafios atuais Os intrusos são mais espertos que você. 8 Fonte: http://taosecurity.blogspot.com.br/2006/02/bears-teach-network-security.html
- 9. Desafios atuais 9 Os intrusos são imprevisíveis. Fonte: http://taosecurity.blogspot.com.br/2006/02/bears-teach-network-security.html
- 10. Desafios atuais A prevenção eventualmente falha. 10 Fonte: http://taosecurity.blogspot.com.br/2006/02/bears-teach-network-security.html
- 11. Intelligence Driven Security Hoje Proposta RSA 11 80% 15% 5% Prevenção Detecção Resposta 34% 33% 33% Prevenção Detecção Resposta Etapas da Segurança (Prevenção / Detecção / Resposta). Fonte: http://www.emc.com/collateral/white-papers/h13235-wp-adopting-intelligence-driven-security.pdf Principais diferencias: Visibilidade, Análise, Ação.
- 12. Vídeo – SIEM 12Splunk For Security Vs SIEM – Legendado - www.youtube.com/watch?v=tnS-T_JzoWM
- 13. SIEM - Definições Evento • Qualquer atividade de um sistema passível de registro. Log • É o registro do eventos em algum formato estruturado. Alertas • Visualização de certos eventos com a aplicação de um filtro. Incidentes • Eventos que geram ou tem grande potencial de gerar um dano ou prejuízo. Correlação de eventos • Estabelecer relacionamentos dos registros de eventos de acordo com regras e padrões definidos de forma a gerar informações que sejam relevantes para o seu proprietário. SIEM (Security Information Event Management) • É o sistema que faz a correlação de eventos relacionados a segurança da informação (eventos relativos à confidencialidade, integridade e disponibilidade das informações e ambientes de processamento de dados.) 13
- 14. SIEM – Exemplos de Eventos de TI Sistemas operacionais registram as atividades de suas aplicações e eventos de segurança. Servidores de autenticação registram os acessos feitos a pastas, arquivos e aos computadores e dispositivos da rede. Bancos de dados armazenam os registros de modificações nos dados, como inserções, deleções, alterações e consultas. Aplicações registram transações, erros, alertas e falhas. Sistemas de firewall e proxy registram o tráfego de internet e de rede. Roteadores e demais dispositivos de rede registram o tráfego entre os segmentos internos de rede. 14
- 15. SIEM – Exemplo de Log: Autenticação SSH 15
- 16. SIEM – Exemplos de Correlação de Eventos Dezenas de falhas de autenticação de um usuário em um sistema exposto à Internet. Acessos a determinadas pastas e arquivos em horários fora do expediente de trabalho através de acessos remotos. Requisições feitas a partir de computador da rede interna para links com reputação maliciosa na Internet. • Ex: http://www.phishtank.com Comandos SQL submetidos para uma aplicação através de interface web. Tráfego de rede em portas de serviço TCP ou UDP anômalas e não registradas para serviços conhecidos. 16
- 17. SIEM – Exemplo de Painel de Eventos 17
- 18. SIEM - Arquitetura 18 Antivírus Aplicações Servidores Bases de Dados Mainframe Firewall / Proxy de Internet SIEM
- 19. SIEM – Casos de uso Uma ferramenta SIEM pode ser apoio para diversas áreas e demandas das empresas, como: •Investigação de fraudes. •Suporte às operações de TI. •Conformidade com as normativas de segurança e padrões externos como SOX e PCI-DSS. •Identificação de vulnerabilidades e ameaças aos sistemas. •Resposta a incidentes de segurança. 19
- 20. SIEM – Benefícios para a Resposta a Incidentes O monitoramento em tempo real dos eventos de segurança, coletando e agregando os dados. Uma análise histórica dos eventos de segurança, para análises de padrões e comportamentos, extraídos a partir de certos parâmetros de pesquisa. O estabelecimento regras para alertar a equipe de monitoração caso ocorram certos eventos ou conjunto de eventos no ambiente de TI que sejam relevantes conforme as diretrizes da área de segurança. 20
- 21. SIEM – Considerações Ferramentas SIEM não fazem mágica! Elas apenas mostram ao usuário o que é pedido. Se não houver uma coleta eficiente dos logs e não forem feitas as “perguntas” certas, o que teremos será apenas TB de registros de atividades dos sistemas! Uma abordagem que vem dando certo é a criação de uma área de inteligência de regras e a automatização de ações de acordo com a detecção de certos padrões. O essencial é ver quais tipos de registros temos na infraestrutura de TI e estudar como podemos utilizá-los de acordo com as estratégias de segurança e gestão de riscos da empresa. 21
- 22. Conclusão As ferramentas de SIEM possuem diversas funcionalidades que podem colaborar e aumentar significativamente os processos e atividades de segurança, agilizando as atividades de detecção e resposta a incidentes de segurança. Entretanto, seu valor é alto e seu uso adequado depende fortemente das pessoas e processos das empresas, além de uma grande estruturação das áreas de TI, Segurança e Resposta a Incidentes, podendo ter seu desempenho seriamente afetado por ineficiências e obstáculos existentes nestas áreas. 22
- 23. Dúvidas? 23
- 24. Referências Chuvakin, Anton. SIEM Primer - http://pt.slideshare.net/anton_chuvakin/siem-primer Bejtlich, Richard. Bears Teach Network Security Monitoring Principles - http://taosecurity.blogspot.com.br/2006/02/bears-teach- network-security.html. RSA. Adopting Intelligence Driven Security - http://www.emc.com/collateral/white-papers/h13235- wp-adopting-intelligence-driven-security.pdf. Gartner. SIEM. http://www.gartner.com/it- glossary/security-information-and-event-management- siem/ 24