Mayo del 2006 www.itdeusto.com Gestión de la Seguridad con OSSIM Gonzalo Asensio Asensio Jefe de Proyecto Seguridad Informática gasensio@itdeusto.com
La Seguridad en IT-Deusto Área de Seguridad IT Deusto IT-Deusto posee una larga experiencia y especialización. Responsables de Seguridad de Primeros ISP Creación de IP6 Seguridad (1997) e IP Soluciones (2000) Integración de IP Soluciones en IT- Deusto (2003) Equipos de expertos: más de 40 personas dedicadas exclusivamente a la seguridad informática Soluciones de Seguridad propias Open Source (OSSIM) 2
Evolución Tecnológica SIM SENSOR Integración IDS Firewall 1994 2000 2001 2003 3
El Problema 1. Por donde empiezo? 1. Cuales son las alertas de verdad? 1. En que situación estoy? 4
La solución para Gestionar la Seguridad: OSSIM Open Source Security Information Management Consola de Gestión de Seguridad (código abierto) http://www.ossim.net/ http://sourceforge.net/projects/os-sim/ Se trata de un Producto líder, probado por más de 22.000 usuarios a nivel mundial. 5
Qué es OSSIM? Plataforma de Seguridad Open Source compuesta por más de 22 Herramientas lideres en el campo de la Seguridad Informática: Composición Básica de OSSIM; 5. 8. Servidor OSSIM (Consola de Gestión) Framework (Interacción entre Módulos) Base de datos de OSSIM (Eventos) Agentes (Sondas Colectoras) Todo montado sobre Sistemas Linux 6. 7. 6
OSSIM. Herramientas Pioneras. Herramientas más Destacadas de OSSIM IDS (Snort) Monitorización de tráfico de Red (Ntop) Anomalías y detección de nuevos Servicios (Pads) Anomalías de Red por comportamiento (Spade) Detección de Cambios de Mac (Arpwatch) Detección de Cambios de Sistema Operativo (P0f) Monitor de persistencia (rrd, Spade) Analizadores de protocolos (Ntop) Inventariado servicios activo (Nmap) Scanner de Vulnerabilidades (Nessus) IDS de HOST (Osiris) Recolección de Multiples Dispositivos (Plugins) 7
Security Information Management (SIM) Presentación Cuadro de Mandos C. Forense M. Riesgos Monitorización Detección Transacciones Val. Riesgo M. Servicios Correlación Auditoría Val. Riesgo Inventario Priorización M. Sesiones M. Uso D. Anomalías D. Patrones Audit Sist Audit Red Normalización Colección 8
Funcionalidades de OSSIM Consola Forense y Monitores de Red para el bajo nivel Nuevas capacidades desarrolladas para aumentar la fiabilidad y sensibilidad de la detección: Correlación Priorización Valoración de Riesgos Detectores y monitores integrados en la distribución de la solución: IDS (detectores de patrones) Detectores de Anomalías Firewalls Monitores Varios Pluggins de recolección de fuentes externas Herramientas de Monitorización Monitores de Riesgo y Comportamiento para la monitorización a nivel medio Postproceso de los SIM Cuadro de Mandos para visibilidad a alto nivel Preprocesadores Framework, herramienta de administración que configura y organiza los diferentes módulos Cuáles son las principales funcionalidades? OSSIM complementa muchos otros productos de mercado que no disponen de todas sus funcionalidades 9
Efecto embudo Unix Windows Router Web Host BBDD Colección Correlación Cuadro de Mandos Alarma! 10
Arquitectura OSSIM Cuadro de Mandos A. Forense Monitor Riesgos Monitor Uso KDB Correlación Valor de Riesgo EDB UDB Priorización Colector / Normalización Detectores: Anomalías IDS FW UNIX Windows 11
De los Eventos a la Gestión de la Seguridad 1.- Colección Millones de Eventos 2.- Anomalías 3.- Priorización 4.- Valor del Riesgo Cientos de Eventos 5.- Correlación 6.- Consola Forense Decenas de Alarmas 7.- Cuadro de Mandos Gestión de la Seguridad 12
1.- Colección: Topología Correla Correla BBDD Valora Riesgos Prioriza Prioriza D i s t r i b Management Server Consolid Mon IDS Sonda / gente Colector 1 Sensor Anom Scan Sonda / Colector 2 Parser Plg Plg Plg Plg Plg Plg Plg Plg Plg PC PC PC 13
2.1.- Anomalías Monitorización del Uso (Estadístico) Monitorización de Sesiones (En Tiempo Real) Creación de Perfiles por Patrones. Anomalías de Red. 14
2.2.- Anomalías Monitorización del Uso (Estadístico) 15
2.3.- Anomalías Monitorización de Sesiones (En Tiempo Real) 16
2.4.- Anomalías Creación de Perfiles por Patrones. - Servicios, Duración, Horario, Tamaño, Contenido, etc. Umbrales máximos permitidos 17
2.5.- Anomalías Anomalías de Red. Predicción por el Algoritmo Holt Winters; Predicción futura, a través de tendencias; Diarias, Semanales, Anuales Tráfico anormal 18
3.- Priorización Inventario de Activos Valoración Topológica de Amenaza 19
4.- Valor del Riesgo Riesgo Intrínsico e Instantáneo 1.- Valor del Activo 2.- Amenaza del Evento ACTIVOS AMENAZA IMPACTOS FIABILIDAD RIESGO 3.- Probabilidad Riesgo Real de Amenaza 20
5.- Motor de Correlación. (Valor añadido de OSSIM) Basado en el uso de Directivas lógicas que ayudan a determinar el riesgo de un Ataque en la Red. Estimación del riesgo de un ataque, calculado en función de: ASSET = Activo PRIORITY = Valor de la amenaza RELIABILITY = Fiabilidad Eventos Vulnerabilidades Anomalías Versiones 21
5.1.- Motor de Correlación. (Directivas) Basado en el uso de Directivas lógicas que ayudan a determinar el riesgo de un Ataque en la Red. 22
Ejemplo: Gusano Sasser Evitamos Falsos Positivos Alarma única Verdadera Correlación Priorización Colección D. Anomalías Sasser 23
5.2.- Motor de Correlación Ejemplo de Alarma Correlada de un Gusano 24
5.3.- Motor de Correlación Ej. Intrusión: 1.1. Hola! 0 2. A tus órdenes Fiabilidad del Ataque 3. Persistencia 4. Comportamiento 9 25
6. Consola Forense 26
7. Cuadro de Mandos. Métricas de Seguridad. 27
OSSIM Gestión de la Seguridad a todos los Niveles Abstracción 1. 2. Métricas Estado de Seguridad de la Empresa Alarmas (decenas) Riesgo de Suceso 3. Eventos (millones) Trazas Detallada de Eventos 28
Todo en una Caja Negra 29
Caso de éxito en la Administración pública Cliente: Ayuntamiento de Alcobendas Necesidades: 6. Monitorización del Tráfico de Red. Errores en Aplicaciones de la Administración. Gestión de la Seguridad de sus dispositivos. Estado Real de la Seguridad en su Red. 7. 8. 9. 30
Caso de éxito en la Administración pública: Esquema de red Delegaciones de la Administración del Ayuntamiento de Alcobendas Vlanes Consola de Gestión OSSIM 31
Gestión de la Seguridad Centralizada. 32
Consola Forense: Ejemplos Reales P2P e-donkey Detectado 33
Consola Forense: Ejemplos Reales Detectada Actividad MNS (Messenger) Tunelizado por Tramas HTTP a través del Proxy. 34
Eventos de Seguridad: Ejemplos Reales Detectado Cambio de Mac: Detectado Cambio de Sistema Operativo: Sistema Operativo Actual Sistema Operativo Anterior 35
Gestión de la Seguridad: Incidencias Gestor de Incidencias: 36
Gestión de la Seguridad: Incidencias Comunicado y Escalado de Incidencias: 37
Gestión de la Seguridad: Informes de Seguridad Ejemplo de Informes propios del sistema; 38
Caso de éxito en la Administración pública: Beneficios Beneficios con la herramienta OSSIM: 3. Disponibilidad de Información para la Toma de Decisiones. Mejora del Rendimiento de Redes. Optimización de la Productividad del equipo técnico del Cliente. Incorporación de Nuevos Servicios. Aumento de la capacidad de Gestión de la seguridad de la información. 4. 5. 6. 7. 39
Referencias OSSIM 40
Referencias de la plataforma de seguridad OSSIM Por qué OSSIM es Nº 1 como producto? Es la 1º Consola Open Source de Seguridad del Mundo Esta en el puesto 85 como producto open source (sourceforge) Tuvo alrededor de 30.000 downloads en el año 2005 Es visitada por 15.000 especialistas al mes 41
Referencias España CASA/EADS Espacio Telefónica Móviles Telefónica Empresas Mercados Financieros People ETT Chronoexpress Grupo Bergé Ayto Alcobendas 42
Referencias (no implantados por IT Deusto) Extranjero Navy (EEUU) Nasa (EEUU) Min. Defensa (Australia) Min. Economía (Francia) Dep del Gobierno (Mexico) Philipps (Holanda) BellSouth (EEUU) Universidad de Pekin (China) 43
Área Seguridad IT Deusto Ruegos y Preguntas! Gonzalo Asensio Asensio Jefe de Proyecto Seguridad Informática gasensio@itdeusto.com Tlf: 659 43 43 33 GRACIAS POR LA ATENCIÓN