Análisis Forense práctico para CSIRTs

Tamaño: px

Comenzar la demostración a partir de la página:

Download "Análisis Forense práctico para CSIRTs"

Ignacio Espejo Ramos
hace 8 años
Vistas:

1 Análisis Forense práctico para CSIRTs Usando herramientas de software libre para mejorar la capacidad de respuesta a incidentes James Pichardo - Consultor Seguridad de Información

2 whoami InfoSec Consultant based in Dominican Republic 10 years experience in network Intrusion analysis and InfoSec Management (Academic, Telecommunications, online gaming and Government sectors) Witnessed a good share of DDoS attacks in the past while working at biggest online poker room and casino Currently at DR s Ministry of Finance building a secure monitoring and network infrastructure Pushing the development of a national government CSIRT in DR

share of DDoS attacks in the past while working at biggest online poker room and casino Currently at DR s Ministry of

3 Agenda Introducción Situación actual en ciber-seguridad Análisis forense de redes Tendencias en análisis de tráfico de redes Escenarios típicos de análisis forense de redes Obtención de Indicadores de Compromiso (IOCs) Compartir información de inteligencia Conclusiones

Escenarios típicos de análisis forense de redes Obtención de

4 Introducción El análisis forense de redes es esencial en el proceso de gestión de Incidentes Los CSIRTs o grupos de respuesta a incidentes deben tener un amplio conocimiento en temas de análisis y monitoreo de tráfico de redes Trataré de mostrarles las últimas herramientas que facilitan la práctica de analisis forense de redes Obtención de indicadores de compromiso (IOCs) y como compartirlos con otros grupos

monitoreo de tráfico de redes Trataré de mostrarles las últimas herramientas que facilitan la práctica

5 Situación actual en ciberseguridad 2011 es quizás el año del despertar : hacktivismo, espionaje corporativo y entre gobiernos, APTs, etc Florecimiento de la economia underground Herramientas de hacking maduras: metasploit community, armitage, SET, mona.py, etc. Herramientas de inteligencia gratis o con muy bajo costo: Maltego, FOCA, SHODAN Conclusión: necesitamos herramientas y frameworks de defensa equivalentes en sofisticación, costo y poder

6 Armitage: hacking como se ve en las películas

7 SHODAN busca e indexa toda clase de dispositivos

8 SHODAN te observa!

9 Análisis forense de redes En esencia: extraer evidencia basada en red (NBE) del tráfico de redes Requiere una gran cantidad de análisis y se ayuda de métodos y técnicas de Monitoreo de Seguridad de Redes (NSM) Se trata de producir data accionable. Para llegar a ella hace falta montones de horas y experticia en análisis de tráfico de redes Objetivo final: Superioridad de Información (Martin Roesch)

de Redes (NSM) Se trata de producir data accionable.

10 Tendencias en análisis de tráfico de redes Hasta recientemente, instalar una capacidad de análisis forense de redes requería hardware y software costoso y complejo Herramientas de software libre para NSM como Sguil, son dificiles de instalar y mantener La distribución Linux Security Onion creada por Doug Burks, ha cambiado completamente este escenario y nivela un poco mas la balanza La adopción cada vez mayor de frameworks de análisis de tráfico como Bro 2.0, represena un hito en analisis y obtención de información accionable

distribución Linux Security Onion creada por Doug Burks, ha cambiado completamente este escenario y nivela un poco mas la balanza La

11 Security Onion Es una distribución Linux para IDS (Intrusion Detection) y NSM (Network Security Monitoring) Herramientas que ayudan al análisis forense y obtención de NBEs (Xplico, Networkminer, etc) Wizard para configurar los sensores que simplifica enormemente las tareas de configuración y puesta en marcha Arquitectura extensible: roles de sensor y servidor

(Xplico, Networkminer, etc) Wizard para configurar los sensores que simplifica enormemente

12 Bro Framework y lenguaje de análisis de tráfico de red Mucho mas extensible, adaptable y flexible que un IDS Niveles extensivos de logging que lo hacen una herramienta ideal para análisis forense Pre-empacado con analizadores para muchos protocolos lo que permite análisis semántico de alto nivel Incorpora plugins de altísima utilidad para la gestión de incidentes (detect_mhr, verificación de certificados, etc.) Versión 2.0 es un hito para la comunidad!

analizadores para muchos protocolos lo que permite análisis semántico de alto nivel Incorpora plugins de altísima

13 Rol del malware analysis (Cuckoo SandBox) Se trata de disecar el malware y determinar como trabaja, como identificarlo y como anularlo o eliminarlo El análisis automatizado de malware ayuda enormemente en la obtención de IOCs y caracterización de malware (esenciales para la gestión de Incidentes) Cuckoo Sandbox es un framework open source basado en python y usando Virtualbox como plataforma de virtualización

en la obtención de IOCs y caracterización de malware (esenciales para la gestión de Incidentes) Cuckoo

14 Escenarios típicos (Proactivo) IDS Rulebase Network Security Patterns Network Security Policy Snort/Suricata Bro 2.0 Cluster NFSEN CIF MHR Collective Intelligence Sguil/Snorby ELSA StreamDB Network Forensics IOCs Alerts Share with other CSIRTs

0 Cluster NFSEN CIF MHR Collective Intelligence Sguil/Snorby

15 Escenarios típicos (Reactivo) Honeypots Check CIF, MHR, other CSIRTS Network Security Policy Digital Forensics investigation Malware Analysis -Cuckoo- IOCs Network Security Patterns Malware repository Network Forensics IDS Rulebase Bro/ELSA openfpc Share with other CSIRTs Misma primera capa que en escenario proactivo

Network Security Patterns Malware repository Network Forensics IDS Rulebase

16 Obtención de IOCs Uno de los entregables en el analisis forense y en la respuesta a incidentes en general IOCs provienen del proceso de análisis o de procesos de soporte como análisis de malware Se necesita una forma estructurada de obtención y documentación El valor final de estos IOCs se realiza cuando son compartidos en forma de inteligencia con otros grupos de gestión de incidentes

malware Se necesita una forma estructurada de obtención y documentación El valor final de estos

17 Compartir información de inteligencia Existen varias formas estructuradas de obtención y caracterización de incidentes RFC 5070: Incident Object Decription Exchange Format (IODEF) RFC 6545/6546: Real time Inter-network Defense RFC 2350: Expectations for Computer Security Incident response

Incident Object Decription Exchange Format (IODEF) RFC 6545/6546: Real

18 Compartir información de inteligencia (contd) Como buscamos un enfoque práctico, necesitamos comparar los frameworks mas representativos para compartir información de incidentes Veris: el framework para managers IODEF: una base muy sólida openioc: framework orientado a defender host y redes Fuente: Keith Gilbert (

de incidentes Veris: el framework para managers IODEF: una base muy sólida openioc:

19 Demo y casos de estudio Vistazo general a Security Onion y la configuración de sensores Determinar estado del sensor y subsistemas de análisis y monitoreo Localización de logs Casos: canales encubiertos con DNS y aplicación modificada con backdoor Nuevas interfaces para accesar la información Editor de IOCs: IOCe de Mandiant

Localización de logs Casos: canales encubiertos con DNS y aplicación modificada

20 Conclusiones Debemos mejorar el desbalance entre tecnicas ofensivas y técnicas defensivas Aprovechar las distribuciones y frameworks como SO, Bro y ELSA. La curva de aprendizaje es mucho menor! Crear IOCs y obtener NBEs es importante. Pero no olvidemos que la ventaja en esta batalla se gana cuando la comunidad comparte esta información de inteligencia

La curva de aprendizaje es mucho menor! Crear IOCs y obtener NBEs es importante.

21 Q&A

22 Gracias!

Documentos relacionados

Introducción. Objetivo. Implementar un detector de malware con software libre empleando el protocolo Netflow.

Introducción. Objetivo. Implementar un detector de malware con software libre empleando el protocolo Netflow. 1 Objetivo. Implementar un detector de malware con software libre empleando el protocolo Netflow. Descripción del problema. Generalmente las herramientas de seguridad como los antivirus, firewalls, IDS