Webinar A3Sec

AlienVault USM -Sistemas de detección de ataques en tiempo real

4 de Febrero del 2014

• AlienVault USM• IDS de Red • IDS de Host• IDS de Wireless• Configuración de IDS• Recolección de eventos IDS• Demos• Q&A

Contenido

2

AlienVault USM

3

AlienVault Unified Security Management

4

Determinamos que tiene Valor

Identificamos como pueden afectar lo que es valioso

Identificamos Amenazas

Buscamos actividad que pueda ser sospechosa

Unimos todas las piezas

¿Cómo protegemos nuestras casas ?

AlienVault Unified Security Management

5

¿Cómo aseguramos nuestra empresa?

Determinamos que tiene Valor

Identificamos como pueden afectar lo que es valioso

Identificamos Amenazas

Buscamos actividad que pueda ser sospechosa

Unimos todas las piezas

AlienVault Unified Security Management

6

¿Como aseguramos nuestra empresa?

Análisis de la Red

Inventario de Activos

Escaneos

Vulnerabilidades

Recolección de Logs

Análisis de NetFlows

Monitorización Disponibilidad

Correlación de eventos

Respuesta a Incidentes

IDS de Red

IDS de Host

IDS Wireless

5 Capacidades principales del USM

AlienVault’s Unified Security Management™ (USM™) proporciona unaforma rápida y rentable para las organizaciones de hacer frente a lasnecesidades de gestión de amenazas y cumplimento.

Con todos los controles de seguridad esenciales incorporados,AlienVault USM provee una visibilidad completa de la seguridad de lainformación.

7

5 Capacidades principales del USM

Automatización de Inventario para los activos críticos

El descubrimiento de activos nos permite crear un inventario de losactivos desplegados, logrando con ello dar un primer paso para laevaluación de vulnerabilidades, detección de amenazas, apreciación delcomportamiento de la red y de los servicios para detectar violaciones enlas políticas corporativas.

8

5 Capacidades principales del USM

Detecta que activos son vulnerables a los ataques

Mediante la combinación de la visibilidad completa y actualizada de lossistemas a través de las herramientas de evaluación de vulnerabilidades,AlienVault ha incorporado medidas preventivas de seguridad. Laevaluación de vulnerabilidades permite identificar posibles debilidadesen los sistemas y así priorizar las acciones para mejorar su nivel deseguridad.

9

5 Capacidades principales del USM

Identifica exploits específicos utilizados en los ataques

Con una amplia base de conocimiento, el Sistema de Detección deIntrusiones en la red que AlienVault incorpora el análisis del tráfico dered para detectar firmas de ataques conocidos, e identificar patrones delos métodos de ataque conocidos. Esto proporciona una visibilidadinmediata de los ataques que se utilizan en contra de su sistema.

10

5 Capacidades principales del USM

Identifica los comportamientos anormales

Los cambios en el comportamiento de las redes, sistemas y serviciospueden indicar una defensa débil o violación de seguridad. Para ello secombina el análisis del flujo de red para identificar los cambios sufridos,la captura de paquetes completos para el análisis forense y elseguimiento de servicios activos para verificar proactivamente cambiosen los servicios.

11

5 Capacidades principales del USM

Inteligencia en la Seguridad de la Información en acción

Dar un valor añadido a la gran cantidad de información recogida es unosde los grandes objetivos de la Inteligencia de seguridad. Así, mediante laautomatización de la correlación de eventos en tiempo real podemoshacer que un trozo de información que por sí solo no significa nada,puede ser una pieza muy importante de un conjunto global.

12

IDS de Red

13

Snort es un sistema de detección de intrusos a nivel de red.

Dispone de un lenguaje de creación de reglas en el que se pueden definirlos patrones (reglas) que se utilizarán a la hora de monitorizar el sistema.

Snort es uno de los NIDS más utilizados en todo el mundo, su proyectoarranco en 1998 de la mano de Martin Roesch.

Es bastante útil para identificar: Malware, Escáneo de Puertos, Violaciónde Políticas(P2P, IM, Porn, Games...).

IDS de Red - Snort

14

Malwarealert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"ET CURRENT_EVENTS MALWAREPotential Malware Download, rogue antivirus (IAInstall.exe)"; flow:established,to_server;uricontent:"/download/IAInstall.exe"; nocase; classtype:bad-unknown; reference:url,malwareurl.com;reference: url, www.emergingthreats.net/cgi-bin/cvsweb.cgi/sigs/CURRENT _EVENTS/CURRENT_Malwareurl_top_downloads; reference:url,doc.emergingthreats.net/2010447; sid:2010447; rev:2;)

Scansalert tcp $HTTP_SERVERS $HTTP_PORTS -> $EXTERNAL_NET any (msg:"ET SCAN Unusually Fast 403 ErrorMessages, Possible Web Application Scan"; flow:from_server,established; content:"HTTP/1.1 403";depth:13; threshold: type threshold, track by_dst, count 35, seconds 60; classtype:attempted-recon;reference: url www.checkupdown.com/status/E403.html; reference:url, doc.emergingthreats.net/2009749; reference:url,www.emergingthreats.net/cgi-bin/cvsweb.cgi/sigs/SCAN/SCAN_403; sid:2009749;rev:2;)

Violación de Políticasalert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"ET POLICY Megaupload file downloadservice access"; flow:to_server,established; content:"GET "; depth: 4; uricontent:"/?d="; content:"|0d0a|Host\: "; content:"megaupload.com"; within:25; nocase; classtype:policy-violation; reference:url,doc.emergingthreats.net/2009301; reference:url,www.emergingthreats.net/cgi-bin/cvsweb.cgi/sigs/POLICY/POLICY_Download_Services; sid:2009301; rev:2;)

IDS de Red - Snort

15

Suricata es un sistema de detección de intrusos de red de la OpenInformation Security Foundation (OISF).

Es multiproceso, lo que significa que puede ejecutar una instancia y va aequilibrar la carga de procesamiento a través de cada procesador.

Reconocimiento de los protocolos más comunes automáticamente,permitiendo escribir reglas basadas en protocolos.

Suricata es compatible con las reglas de Snort.

IDS de Red - Suricata

16

IDS de Host

17

OSSEC es un HIDS (Host-level Intrusion Detection System) que permiteanálisis de logs, detección de rootkit, chequeos de integridad del sistema ymonitorización del registro de Windows.

OSSEC requiere la instalación de un agente para la monitorización(Excepto sistemas con acceso SSH).

IDS de Host - OSSEC

18

Attempt to login using a non-existent user

Attempt to use mail server as relay (client host rejected).

Logon failure: Account currently disabledSensor

OSSEC se basa en una arquitectura cliente -> servidor.

AlienVault colecta los eventos del servidor OSSEC (Instalado en el SensorAlienVault).

OSSEC provee un sistema de plugins propios usados para el análisis deplataformas Windows y UNIX.

Utilidad dentro de la plataforma AlienVault:

Colección de logs de Windows y Unix

Colección de logs de aplicaciones

Monitorización de registro, archivos y directorios (DLP)

IDS de Host - OSSEC

19

IDS de Wireless

20

Kismet es un sistema detector de red Wireless en capa 2 (802.11), confuncionalidades de sniffer y detector de intrusos.

Kismet funciona con cualquier tarjeta inalámbrica con soporte paramonitorización en bruto (rfmon), y (con hardware apropiado) puedemonitorizar tráfico 802.11b, 802.11a, 802.11g y 802.11n.

Utilidad dentro de la plataforma AlienVault:

Aseguramiento de redes WIFI.

Detección de AP falsos.

Cumplimiento (Requerimientos PCI Wireless).

IDS de Wireless- Kismet

21

Configuración de IDS

22

Pasivo Vs Activo

23

ActivoPasivo

Las herramientas pasivas requieren un puerto mirroring / puerto span configurado en el equipo de red para ser capaz de analizar el tráfico de la red monitorizada/ s.

Por defecto en una instalación de AlienVault USM viene activado el NIDSSuricata.

Tener las interfaces recibiendo el trafico de los port mirroring.

Avanzado: Realizar ajuste fino diferente para cada interfaz (Red de oficina,DMZ…) No utilizar aquellas reglas que no resultan interesantes para eltráfico que se va a recibir por cada interfaz.

IDS de Red - Snort & Suricata

24

Por defecto en una instalación de AlienVault AIO o Sensor viene activadoel HIDS OSSEC con un agente desplegado para el proprio AlienVault.

AlienVault ha integrado todas las funcionalidades de OSSEC en su consolaWeb (todas las configuraciones necesarias se harán en el menúEnvironment -> detection -> HIDS ).

IDS de Host - OSSEC

25

Tener configurado el Sensor Kistmet (howto en AlienVault Bloomfire)

Por defecto en una instalación de AlienVault, Kismet no viene activado porello es necesario habilitar el plugin de Kismet (AlienVault Center).

IDS de Wireless- Kismet

26

Recolección de eventos IDS

27

Recolección de Eventos IDS

28

SY

SLO

G

WM

I

WM

I

SY

SLO

G

SDEE

SY

SLO

G

OP

SE

C

FT

P

SYSLOG

Puerto MIRRORING

Colección de Logs

Comunicación Interna AlienVault

Demostración

29

Top 10 de Ataques de Seguridad

30

Desde Open Web Application Security Project (OWASP) han determinado:

A1 Inyección

A2 Pérdida de Autenticación y Gestión de Sesiones

A3 Cross-Site Scripting (XSS)

A4 Referencias directa inseguras a objetos

A5 Configuración de Seguridad incorrecta

A6 Exposición de datos sensibles

A7 – Ausencia de Control de Acceso a las Funciones

A8 Cross-Site Request Forgery (CSRF)

A9 Utilización de componentes con vulnerabilidades conocidas

A10 Redirects y Forwards no validados

Arquitectura de la Demo

31

Apache Vulnerable192.168.0.123

Alienvault USM192.168.0.1

Q & A

32

A3Sec en la Red

33

www.a3sec.com

linkedin.com/company/a3secyoutube.com/a3sec

twitter.com/a3sec

Preguntas

info@a3sec.com34

A3Sec MéxicoAvda. Paseo de la Reforma,389 Piso10, México DFTlf. +52 55 5980 3547

A3Sec EspañaC/ Aravaca, 6Piso2Dcha28040 MadridTlf. +34 915 330 978

A3Sec USA1401 Brickell Ave #320Miami, FL 33131, USAT. +1 786 556 90 32