Click here to load reader
Upload
a3sec
View
1.145
Download
0
Embed Size (px)
Citation preview
Webinar A3Sec
AlienVault USM -Sistemas de detección de ataques en tiempo real
4 de Febrero del 2014
• AlienVault USM• IDS de Red • IDS de Host• IDS de Wireless• Configuración de IDS• Recolección de eventos IDS• Demos• Q&A
Contenido
2
AlienVault USM
3
AlienVault Unified Security Management
4
Determinamos que tiene Valor
Identificamos como pueden afectar lo que es valioso
Identificamos Amenazas
Buscamos actividad que pueda ser sospechosa
Unimos todas las piezas
¿Cómo protegemos nuestras casas ?
AlienVault Unified Security Management
5
¿Cómo aseguramos nuestra empresa?
Determinamos que tiene Valor
Identificamos como pueden afectar lo que es valioso
Identificamos Amenazas
Buscamos actividad que pueda ser sospechosa
Unimos todas las piezas
AlienVault Unified Security Management
6
¿Como aseguramos nuestra empresa?
Análisis de la Red
Inventario de Activos
Escaneos
Vulnerabilidades
Recolección de Logs
Análisis de NetFlows
Monitorización Disponibilidad
Correlación de eventos
Respuesta a Incidentes
IDS de Red
IDS de Host
IDS Wireless
5 Capacidades principales del USM
AlienVault’s Unified Security Management™ (USM™) proporciona unaforma rápida y rentable para las organizaciones de hacer frente a lasnecesidades de gestión de amenazas y cumplimento.
Con todos los controles de seguridad esenciales incorporados,AlienVault USM provee una visibilidad completa de la seguridad de lainformación.
7
5 Capacidades principales del USM
Automatización de Inventario para los activos críticos
El descubrimiento de activos nos permite crear un inventario de losactivos desplegados, logrando con ello dar un primer paso para laevaluación de vulnerabilidades, detección de amenazas, apreciación delcomportamiento de la red y de los servicios para detectar violaciones enlas políticas corporativas.
8
5 Capacidades principales del USM
Detecta que activos son vulnerables a los ataques
Mediante la combinación de la visibilidad completa y actualizada de lossistemas a través de las herramientas de evaluación de vulnerabilidades,AlienVault ha incorporado medidas preventivas de seguridad. Laevaluación de vulnerabilidades permite identificar posibles debilidadesen los sistemas y así priorizar las acciones para mejorar su nivel deseguridad.
9
5 Capacidades principales del USM
Identifica exploits específicos utilizados en los ataques
Con una amplia base de conocimiento, el Sistema de Detección deIntrusiones en la red que AlienVault incorpora el análisis del tráfico dered para detectar firmas de ataques conocidos, e identificar patrones delos métodos de ataque conocidos. Esto proporciona una visibilidadinmediata de los ataques que se utilizan en contra de su sistema.
10
5 Capacidades principales del USM
Identifica los comportamientos anormales
Los cambios en el comportamiento de las redes, sistemas y serviciospueden indicar una defensa débil o violación de seguridad. Para ello secombina el análisis del flujo de red para identificar los cambios sufridos,la captura de paquetes completos para el análisis forense y elseguimiento de servicios activos para verificar proactivamente cambiosen los servicios.
11
5 Capacidades principales del USM
Inteligencia en la Seguridad de la Información en acción
Dar un valor añadido a la gran cantidad de información recogida es unosde los grandes objetivos de la Inteligencia de seguridad. Así, mediante laautomatización de la correlación de eventos en tiempo real podemoshacer que un trozo de información que por sí solo no significa nada,puede ser una pieza muy importante de un conjunto global.
12
IDS de Red
13
Snort es un sistema de detección de intrusos a nivel de red.
Dispone de un lenguaje de creación de reglas en el que se pueden definirlos patrones (reglas) que se utilizarán a la hora de monitorizar el sistema.
Snort es uno de los NIDS más utilizados en todo el mundo, su proyectoarranco en 1998 de la mano de Martin Roesch.
Es bastante útil para identificar: Malware, Escáneo de Puertos, Violaciónde Políticas(P2P, IM, Porn, Games...).
IDS de Red - Snort
14
Malwarealert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"ET CURRENT_EVENTS MALWAREPotential Malware Download, rogue antivirus (IAInstall.exe)"; flow:established,to_server;uricontent:"/download/IAInstall.exe"; nocase; classtype:bad-unknown; reference:url,malwareurl.com;reference: url, www.emergingthreats.net/cgi-bin/cvsweb.cgi/sigs/CURRENT _EVENTS/CURRENT_Malwareurl_top_downloads; reference:url,doc.emergingthreats.net/2010447; sid:2010447; rev:2;)
Scansalert tcp $HTTP_SERVERS $HTTP_PORTS -> $EXTERNAL_NET any (msg:"ET SCAN Unusually Fast 403 ErrorMessages, Possible Web Application Scan"; flow:from_server,established; content:"HTTP/1.1 403";depth:13; threshold: type threshold, track by_dst, count 35, seconds 60; classtype:attempted-recon;reference: url www.checkupdown.com/status/E403.html; reference:url, doc.emergingthreats.net/2009749; reference:url,www.emergingthreats.net/cgi-bin/cvsweb.cgi/sigs/SCAN/SCAN_403; sid:2009749;rev:2;)
Violación de Políticasalert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"ET POLICY Megaupload file downloadservice access"; flow:to_server,established; content:"GET "; depth: 4; uricontent:"/?d="; content:"|0d0a|Host\: "; content:"megaupload.com"; within:25; nocase; classtype:policy-violation; reference:url,doc.emergingthreats.net/2009301; reference:url,www.emergingthreats.net/cgi-bin/cvsweb.cgi/sigs/POLICY/POLICY_Download_Services; sid:2009301; rev:2;)
IDS de Red - Snort
15
Suricata es un sistema de detección de intrusos de red de la OpenInformation Security Foundation (OISF).
Es multiproceso, lo que significa que puede ejecutar una instancia y va aequilibrar la carga de procesamiento a través de cada procesador.
Reconocimiento de los protocolos más comunes automáticamente,permitiendo escribir reglas basadas en protocolos.
Suricata es compatible con las reglas de Snort.
IDS de Red - Suricata
16
IDS de Host
17
OSSEC es un HIDS (Host-level Intrusion Detection System) que permiteanálisis de logs, detección de rootkit, chequeos de integridad del sistema ymonitorización del registro de Windows.
OSSEC requiere la instalación de un agente para la monitorización(Excepto sistemas con acceso SSH).
IDS de Host - OSSEC
18
Attempt to login using a non-existent user
Attempt to use mail server as relay (client host rejected).
Logon failure: Account currently disabledSensor
OSSEC se basa en una arquitectura cliente -> servidor.
AlienVault colecta los eventos del servidor OSSEC (Instalado en el SensorAlienVault).
OSSEC provee un sistema de plugins propios usados para el análisis deplataformas Windows y UNIX.
Utilidad dentro de la plataforma AlienVault:
Colección de logs de Windows y Unix
Colección de logs de aplicaciones
Monitorización de registro, archivos y directorios (DLP)
IDS de Host - OSSEC
19
IDS de Wireless
20
Kismet es un sistema detector de red Wireless en capa 2 (802.11), confuncionalidades de sniffer y detector de intrusos.
Kismet funciona con cualquier tarjeta inalámbrica con soporte paramonitorización en bruto (rfmon), y (con hardware apropiado) puedemonitorizar tráfico 802.11b, 802.11a, 802.11g y 802.11n.
Utilidad dentro de la plataforma AlienVault:
Aseguramiento de redes WIFI.
Detección de AP falsos.
Cumplimiento (Requerimientos PCI Wireless).
IDS de Wireless- Kismet
21
Configuración de IDS
22
Pasivo Vs Activo
23
ActivoPasivo
Las herramientas pasivas requieren un puerto mirroring / puerto span configurado en el equipo de red para ser capaz de analizar el tráfico de la red monitorizada/ s.
Por defecto en una instalación de AlienVault USM viene activado el NIDSSuricata.
Tener las interfaces recibiendo el trafico de los port mirroring.
Avanzado: Realizar ajuste fino diferente para cada interfaz (Red de oficina,DMZ…) No utilizar aquellas reglas que no resultan interesantes para eltráfico que se va a recibir por cada interfaz.
IDS de Red - Snort & Suricata
24
Por defecto en una instalación de AlienVault AIO o Sensor viene activadoel HIDS OSSEC con un agente desplegado para el proprio AlienVault.
AlienVault ha integrado todas las funcionalidades de OSSEC en su consolaWeb (todas las configuraciones necesarias se harán en el menúEnvironment -> detection -> HIDS ).
IDS de Host - OSSEC
25
Tener configurado el Sensor Kistmet (howto en AlienVault Bloomfire)
Por defecto en una instalación de AlienVault, Kismet no viene activado porello es necesario habilitar el plugin de Kismet (AlienVault Center).
IDS de Wireless- Kismet
26
Recolección de eventos IDS
27
Recolección de Eventos IDS
28
SY
SLO
G
WM
I
WM
I
SY
SLO
G
SDEE
SY
SLO
G
OP
SE
C
FT
P
SYSLOG
Puerto MIRRORING
Colección de Logs
Comunicación Interna AlienVault
Demostración
29
Top 10 de Ataques de Seguridad
30
Desde Open Web Application Security Project (OWASP) han determinado:
A1 Inyección
A2 Pérdida de Autenticación y Gestión de Sesiones
A3 Cross-Site Scripting (XSS)
A4 Referencias directa inseguras a objetos
A5 Configuración de Seguridad incorrecta
A6 Exposición de datos sensibles
A7 – Ausencia de Control de Acceso a las Funciones
A8 Cross-Site Request Forgery (CSRF)
A9 Utilización de componentes con vulnerabilidades conocidas
A10 Redirects y Forwards no validados
Arquitectura de la Demo
31
Apache Vulnerable192.168.0.123
Alienvault USM192.168.0.1
Q & A
32
A3Sec en la Red
33
www.a3sec.com
linkedin.com/company/a3secyoutube.com/a3sec
twitter.com/a3sec
Preguntas
A3Sec MéxicoAvda. Paseo de la Reforma,389 Piso10, México DFTlf. +52 55 5980 3547
A3Sec EspañaC/ Aravaca, 6Piso2Dcha28040 MadridTlf. +34 915 330 978
A3Sec USA1401 Brickell Ave #320Miami, FL 33131, USAT. +1 786 556 90 32