GESTION DE RIESGOS Y SEGURIDAD DE LA INFORMACION

POR: - CHAVEZ QUISPE, LUIS MIGUEL - LINAREZ VIGO, MARLON JOER - SALAZAR CACHO, ERICKA MILAGROS - VASQUEZ NUEZ, J. ERICK

UNIVERSIDAD NACIONAL DE CAJAMARCA

SIEM/ARQUITECTURA
UNIVERSIDAD NACIONAL DE CAJAMARCA

SIEM se deriva de dos tecnologas independientes, pero complementarias: - El Administrador de Eventos de Seguridad (SEM) y - El Administrador de Informacin de Seguridad (SIM).

SEM seguimiento de eventos de seguridad en tiempo real, as como la correlacin y el procesamiento. Estos eventos de seguridad eran tpicamente alertas generadas por un dispositivo de seguridad de red, tales como un firewall o un Sistema de Deteccin de Intrusos (IDS). SIM, anlisis histrico de la informacin del archivo de registro para apoyar las investigaciones forenses y los informes. SIM centraliza el almacenamiento de registros y archivos, bsqueda y anlisis de funciones y, slidas capacidades de presentacin de informes.

Estos sistemas tienen una arquitectura bsica; tienen partes donde cada una realiza un trabajo especfico e independiente.

DISPOSITIVO FUENTE

REGISTRO DE COLECCION

ANALISIS Y NORMALIZACION DE RIESGOS

NUCLEO DE REGLAS Y NUCLEO DE CORRELACION

ALMACENAMIENTO DE REGISTROS

MONITOREO

QUE ES OSSIM?
UNIVERSIDAD NACIONAL DE CAJAMARCA

OSSIM Alienvault (Open Source Security Information Manager) es un SIEM que implementa la deteccin y prevencin de intrusiones, y la seguridad de redes en general. Es una distribucin que integra ms de 22 productos de seguridad todos ellos Open Source capaces de correlacionar entre ellos. El objetivo de Ossim ha sido crear un framework capaz de recolectar toda la informacin de los diferentes plugins, para integrar e interrelacionar entre si y obtener una visualizacin nica del estado de la red y con el mismo formato, con el objetivo de aumentar la capacidad de deteccin de anomalas, priorizar los eventos segn el contexto en el que se producen y mejorar la visibilidad de la monitorizacin del estado de la red actual.

CARACTERISTICAS PRINCIPALES :

- Anlisis de comportamiento de red

- Gestin de registros forenses - Realiza anlisis del riesgo de seguridad - Presenta informes ejecutivos y tcnicos - Arquitectura escalable de alto rendimiento - Es gratuito OSSIM se puede dividir en 3 capas: PREPROCESADO: - IDS (detectores de patrones). - Detectores de anomalas. - Cortafuegos - Varios tipos de Monitores POSTPROCESADO - Normalizacin. - Correlacin. - Priorizacin. - Valoracin de Riesgos.

FRONT-END se ubica una herramienta de gestin, capaz de configurar y visualizar tanto los mdulos externos como los propios del framework, mediante ella se puede crear la topologa de la red, inventariar activos, crear las polticas de seguridad, definir las reglas de correlacin y enlazar las diferentes

ARQUITECTURA
UNIVERSIDAD NACIONAL DE CAJAMARCA

Arquitectura
Un despliegue tpico de OSSIM consiste en 4 elementos: Sensores Servidor de Gestin Base de Datos Frontend

Arquitectura (2)

Arquitectura (3)

Sensor: Los sensores se despliegan en la red para monitorizar actividad de red. Server de Gestin: El Servidor de Gestin (o Servidor) normalmente incluye los siguientes componentes:

Framework. Es el demonio de control que mantiene unidas algunas partes. OSSIM Server. centraliza la informacin recibida de los sensores.

Arquitectura (4)
OSSIM utiliza tres bases de datos heterogneas para los distintos tipos de datos almacenados: EDB base de datos de eventos, la ms voluminosa pues almacena todos los eventos recibidos desde los detectores y monitores. KDB base de datos del Framework, en la cual se almacena toda la informacin referente a la red y la definicin de la poltica de seguridad. UDB base de datos de perfiles, almacena todos los datos aprendidos por el monitor de

COMPONENTES
UNIVERSIDAD NACIONAL DE CAJAMARCA

Componentes (1)
Las herramientas o componentes incluidas en OSSIM se pueden clasificar entre: Pasivas. Generan trfico dentro de la red en la que se encuentran. Activas. Analizan el trfico de la red sin generar nada de trfico dentro de ella.

Componentes (2)
OSSIM est compuesto por los siguientes elementos de software: Arpwatch, utilizado para deteccin de anomalas en direcciones MAC. P0f, utilizado para la identificacin pasiva de OS. Pads, utilizado para detectar anomalas en servicios. Openvas, utilizado para la evaluacin y correlacin cruzada (Sistema de deteccin de intrusos vs Escner de Vulnerabilidad) Snort, utilizado como sistema de deteccin de intrusos (IDS) como tambin para la correlacin cruzada con Nessus. Spade, es un motor de deteccin de anomalas en paquetes. Utilizado para obtener conocimiento de ataques sin firma.

Componentes (3)

Tcptrack, utilizado para conocer la informacin de las sesiones, lo cual puede conceder informacin til relativa a los ataques. Ntop, el mismo construye una impresionante base de datos con la informacin de la red, para la deteccin de anomalas en el comportamiento. Nagios, utilizado para monitorear la disponibilidad de los hosts y servicios. nfSen, visor de flujos de red para la deteccin de anomalas de red. Osiris, es un sistema de deteccin de intrusos basado en host (HIDS). Snare, colecciona los logs de sistemas Windows. OSSEC, es un sistema de deteccin de intrusos basado en hosts.

FUNCIONALIDAD Y CORRELACIN
UNIVERSIDAD NACIONAL DE CAJAMARCA

FUNCIONALIDAD OSSIM

Representacin de Niveles OSSIM

Detectores de Patrones

La mayora de los detectores clsicos funcionan con patrones, el ejemplo ms claro es el IDS o sistema de deteccin de intrusos, sistema capaz de detectar patrones definidos a travs de firmas o reglas. Cualquier otro dispositivo de la red, como puede ser un router, firewall, o el mismo sistema operativo de los hosts, tienen la capacidad de detectar patrones en la red como puede ser un escaneo de puertos, intentos de spoofing, o posibles ataques por fragmentacin, cada uno de ellos tiene su propio log de seguridad capaz de alertar de posibles problemas en la red, que podremos recolectar para su posterior tratado

Detectores de anomalas

En este caso al sistema de deteccin no tenemos que especificarle mediante reglas que es un comportamiento bueno o malo, sino que es capaz de aprender por s solo y alertar cuando un comportamiento difiere del comportamiento normal. Est tcnica provee una solucin para controlar el acceso de usuarios privilegiados y ataques internos, como puede ser un empleado desleal, o simplemente hacen un mal uso de los recursos y servicios de la empresa. Detectores de anomalas incluidos en Ossim.

Spade detecta conexiones no usuales por puertos y destinos utilizados. Usado para mejorar el reconocimiento sobre ataques sin firma. Aberrant Behaviour plugin para Ntop aprende el uso de parmetros y alerta cuando dichos parmetros se salen de los valores esperados. ArpWatch utilizado para detectar cambios de mac. Pof utilizado para deteccin de cambios de sistema operativo. Pads y Nmap Utilizado para detectar anomalas en los servicios de red.

Sistema de Coleccin y Normalizacin

La normalizacin y centralizacin (o agregacin) tiene como objetivo unificar en una nica consola y formato los eventos de seguridad de todos los sistemas crticos de la organizacin. La recoleccin de datos se puede hacer de dos formas distintas en el sensor. Se puede enviar los datos desde el equipo analizado usando protocolos nativos del equipo al gestor central, o instalando agentes en el equipo analizado que recopilan la informacin en el host y la envan seguidamente. Ossim normalmente no utiliza agentes y utiliza las formas de comunicacin naturales de los sistemas.De esta forma se podr visualizar en la misma pantalla y con el mismo formato los eventos de seguridad de un determinado momento, ya sean del Router, firewall, IDS o de cualquier host. Al tener centralizado en la misma base de datos todos los eventos de la red se podr desarrollar procesos a niveles superiores que permitan detectar patrones ms complejos y distribuidos.

Polticas de priorizacin

El proceso de priorizacin de alertas se realiza mediante contextualizacin, es decir la valoracin de la importancia de una alerta depende del escenario de la red. Este escenario est descrito en una base de conocimientos sobre la red formada por: Inventario de Mquinas y Redes (ip, mac, sistema operativo, servicios, etc). Polticas de Acceso (desde donde a donde est permitido o prohibido). Para que el proceso de priorizacin sea efectivo se debe realizar una continua y detallada especificacin de la situacin de la organizacin.

Valoracin de Riesgos.
La arquitectura de Ossim ha sido diseada para que todas las decisiones que se tomen a la hora de actuar sobre una alerta, se apoyen en funcin de la valoracin de riesgos calculada, por eso es necesario comprender el proceso de clculo de valor de riesgo que Ossim realiza sobre cada evento.
La importancia que se debe dar a cada evento ser dependiente de los tres factores siguientes: El valor del activo equipo implicado sobre el evento. La amenaza que representa el evento o cuanto dao puede hacer al activo implicado. La probabilidad de que este evento ocurra.

Riesgo intrnseco (visin tradicional).

El motor de Correlacin

La funcin de correlacin se puede definir como un algoritmo que realiza una operacin a travs de unos datos de entrada y ofrece un dato de salida. Los sistemas de correlacin suplen la falta de necesidad que hoy en da existe en la mayora de las redes, aumentando la sensibilidad, fiabilidad, escalabilidad y la visibilidad limitada de cada detector. El motor de correlacin desarrollado en Ossim, se encarga de comprobar cada uno de los eventos recibidos y busca evidencias o sntomas que prueben la veracidad de un ataque o si se trata de un falso positivo. En Ossim se ha desarrollado un modelo de correlacin tan ambicioso que tiene la capacidad de:

Desarrollar patrones especficos para detectar lo conocido y detectable. Desarrollar patrones ambiguos para detectar lo desconocido y no detectable. Poseer una mquina de inferencia configurable a travs de reglas relacionadas entre s capaz de describir patrones ms complejos. Permitir enlazar Detectores y Monitores de forma recursiva para crear cada vez objetos ms abstractos y capaces. Desarrollar algoritmos que ofrezcan una visin general de la situacin de seguridad de la red.

Niveles de Correlacin

Monitores
Ossim realiza una monitorizacin de la red esencial para un sistema de seguridad, ya que sin ella un administrador de seguridad estar ciego cuando ocurran eventos, sin poder distinguir la actividad anmala de la normal. Ossim realiza diferentes tipos de monitorizacin: Monitor de Riesgos (RiskMeter). Representa los valore producidos por el algoritmo CALM, valores que miden el nivel de riesgo de compromiso C y el de ataque A procedentes de la recepcin de alertas que indican que una determinada maquina ha sido comprometido o est siendo atacada. Monitor de Uso, Sesiones y Perfiles: Creemos que cualquiera de estos 3 son imprescindibles para un sistema de seguridad, en caso contrario, el administrador de seguridad estar ciego ante eventos pasados, no podr distinguir lo normal de lo anormal y no ser capaz de ver su red, sera semejante a un guarda de trfico en una carretera completamente oscura. Monitor de Uso. Monitor de Perfiles. Monitor de Sesin. Monitor de Caminos. Ofrece una representacin en tiempo real de los caminos trazados en la red entre las diferentes mquinas que interactan entre ellas en un intervalo de tiempo. Monitor de Disponibilidad. La informacin de disponibilidad es importante para detectar ataques de denegacin de servicios. Ossim incluye el plugin Nagios capaz de chequear y mostrar la disponibilidad o no de servicios y equipos en la red.

Consola forense

La consola forense es un frontal Web que permite la consulta a toda la informacin almacenada en el colector. Esta consola es un buscador que ataca a la base de datos de eventos EDB, y permite al administrador analizar a posteriori y de una forma centralizada los eventos de seguridad de todos los elementos crticos de la red. Al contrario que el monitor de riesgos, esta consola permite profundizar al mximo detalle sobre cada uno de los eventos ocurridos en el sistema

Cuadro de mandos

El cuadro de mandos monitorizar una serie de indicadores definidos que medirn el estado de seguridad de la organizacin, definiendo umbrales que debe cumplir la organizacin. Es la principal herramienta para saber en todo momento que ocurre en la red, mostrando la informacin ms concisa y simple posible. A travs de l se enlazara con cada una de las herramientas de monitorizacin para profundizar sobre cualquier problema localizado. Como ejemplo se podran visualizar los siguientes datos: Monitorizacin permanente de los niveles de riesgo de las principales redes de la organizacin. Monitorizacin de las mquinas o subredes que superen el umbral de seguridad. Monitorizacin de perfiles que superen los umbrales por: Uso de trfico Uso de servicios crticos. Cambios en configuracin. Uso de servicios anmalos. Monitorizacin de aquellos parmetros de la red o niveles de servicio que superen el umbral establecido: Nmero de correos, virus, accesos externos.