SlideShare ist ein Scribd-Unternehmen logo

Apresentação dissertação

Miky Mikusher Raymond
Miky Mikusher Raymond

Este documento resume uma dissertação de mestrado sobre análise de eventos de segurança usando a ferramenta OSSIM. O trabalho configurou o OSSIM para monitorar uma rede experimental e avaliou os resultados, procurando soluções para diminuir falsos positivos, como ativar plugins relevantes e calibrar correlações de eventos. Após as melhorias, os alarmes verdadeiros aumentaram e os eventos e alarmes totais diminuíram, demonstrando que o OSSIM pode fornecer análise de segurança eficiente quando devidamente configurado.

Bildung
1 von 15
Downloaden Sie, um offline zu lesen
Análise de eventos de segurança: baseado no OSSIM Orientador: Professor Doutor Henrique Manuel Denis Santos Mestrando: Luís Amílcar Dias Neves Tavares UNIVERSIDADE DO MINHO ESCOLA DE ENGENHARIA DISSERTAÇÃO DE MESTRADO EM ENGENHARIA INFORMATICA Braga, Dezembro de 2015
Introdução  Por mais que consideremos um ambiente seguro os utilizadores acabam por ser sempre a maior vulnerabilidade da rede;  Cada vez mais são usadas ferramentas e aplicações que possibilitam uma melhor gestão da rede, criando regras de permissões, acesso e uso do sistema;  Sistemas com boa gestão e sem falhas internas estão sujeitos a sofrer falhas provocadas por agentes externos, que podem ser devastadoras;
Motivação  Segurança em Redes de computadores tem sido cada vez mais exigida pelo facto da rápida evolução da tecnologia, que além de trazer melhorias traz também diversos problemas.  Ferramentas de gestão de redes têm sido uma das soluções para resolver tais problemas. Só que nada é totalmente satisfatório para sanar os problemas que vão ocorrendo com o tempo.  É relevante explorar as potencialidades, capacidades e limitações dos gestores de redes, para dar continuidade a melhor e maior garantia em monitorização de rede;  Interesse e curiosidade pessoal na segurança em redes.
Objetivos  Usar a ferramenta de gestão de eventos de segurança OSSIM;  Estudar e avaliar os logs de eventos e alertas gerados pelo OSSIM;  Configurar o OSSIM na tentativa de apresentar somente eventos desejados;  Otimizar a análise de resultados obtidos com o OSSIM, nomeadamente no que respeita aos falsos positivos.
Problema OSSIM pode gerar milhares de eventos, dependendo da rede onde estiver instalado; e nesses eventos o numero de falsos positivos é normalmente elevado. Como podemos diminuir esse numero aumentando a eficiência deste controlo de segurança?
Enquadramento Teórico  Questões:  Como avaliar o nível de risco a que estamos exposto?  Que ferramentas promovem a gestão de segurança, sem comprometer os objetivos do negocio?  A que tipo de ataques somos vulneráveis?  Ferramentas Distintas:  Autenticação de utilizadores;  Antivírus;  Firewall;  Métodos de prevenção de ataques;  IDS (Host e Network).  Solução:  Security Information and Event Managment (SIEM)
Enquadramento Teórico  Líder do Mercado  IBM Security  HP/ArcSight  Splunk  Visionário  AlienVault  USM  OSSIM Magic Quadrant for SIEM (Gartner, Junho 2014)  OSSIM – Open Source Security Information Managment  Solução gratuita para gestão de eventos de segurança;  Inteligência para classificar riscos de eventos e ativos;  Gestão de incidentes de segurança, tudo integrado em uma única plataforma;  Elevado desempenho no tratamento de dados;  Componentes  Sensor  Servidor de gestão  Base de dados  Frontend
Metodologia  Topologia da Rede  Interfaces da rede (5):  Router  OSSIM (com todos os componentes)  Servidor Web  Máquina com Windows XP
Metodologia  Ataque a rede (LabOSSIM)  Construída em três etapas – baseado em Attack Tree  Coleta de informações  Scanner de vulnerabilidade  Pós Exploração
Testes/Resultados  Relatório dos resultados iniciais  Plugins ativos no teste  5 Monitorização  tcptrack-monitor  ossim-monitor  nmap-monitor  nessus-monitor  opennms-monitor  11 Gestão de dados  sudo  ossim-agente  snort-syslog  snortunified  ossec-idm-singleline  ossec-singleline  nagios  snare  nessus  prads  pam_unix  OSSIM v4.13 (default)  183 gestão  12 monitorização  Eventos e Alarmes  2 dias  159.515 eventos  46 alarmes  Alarmes – Falso Positivo  Nagios: hard critical/down (serviço ou host indisponível)  WebServer Attack – XXS (correlação de eventos sucessivo, scanner OSSIM)  WebServer Attack – SQL Injection (log com linhas de query suspeita)
Procura de soluções que ajudem a diminuir o numero de falsos positivos.  Soluções:  Ativar plugins existentes e logs de ativos necessário da rede;  Criar plugins que satisfaçam a necessidade e vão ao encontro da estrutura de rede;  “Calibrar” a correlação entre os eventos, de acordo com as atividades da rede;  Reformular as regras, além de desativar as que sejam obsoletas;  Otimizar as diretivas de alarmes existentes;  Lista base de plugins, levando em conta os mais populares em função de:  Deteção e prevenção de Intrusões;  Monitorização da rede e gestão de segurança;  Servidor Web;  Scanner de Vulnerabilidade;  Serviço de inteligência a ameaça. Soluções a considerar
Resultados após melhorias Resultado com o OSSIM, após aplicar as soluções propostas. OSSIM Dia Ativo Eventos Alarmes Default 1 159.515 46 Melhorias 2 120.337 2  Alarmes – Verdadeiro Positivo  2 – Brute force autentication  Ataque usando medusa (dias diferentes)
Conclusão  A segurança é fundamental, nos sistemas de hoje, assim como a compreensão e uso das ferramentas SIEM.  OSSIM:  Código livre,  Poderoso, robusto e bem estruturado;  Instalação escalonada (web, BD, servidor, sensor)  Inúmeras possibilidades de configurações;  Fácil configurar as ferramentas (ex: Snort, Nessus, OSSEC);  Inúmeras possibilidade de correlação de eventos e criação de regras.  Frontend muito intuitivo e com usabilidade elevada (eventos e relatórios)
Analise critica / Trabalhos futuros Análise Crítica  Falta de documentação atualizada e oficial sobre OSSIM;  Falta de recursos (hardware);  Maioria de Plugins existentes encontra-se desatualizado;  Inconsistência entre as release (erros ao reconhecer hardware). Trabalhos Futuros  Plugins, para plataformas web.  Monitorizar redes com dispositivos móveis.  Conformidade da segurança de informação, norma PCIDSS e ISO 27001  Alternativas de alertas – usar python e representar dados em tabelas.
Obrigado pela atenção.

Empfohlen

Soluções de segurança Cibernética
Soluções de segurança CibernéticaSoluções de segurança Cibernética
Soluções de segurança Cibernética
Cisco do Brasil
 
CyberGuard_leaflet_2016_Portuguese
CyberGuard_leaflet_2016_PortugueseCyberGuard_leaflet_2016_Portuguese
CyberGuard_leaflet_2016_Portuguese
Javier Macineiras
 
QualysGuard Vulnerability Manager
QualysGuard Vulnerability ManagerQualysGuard Vulnerability Manager
QualysGuard Vulnerability Manager
Site Blindado S.A.
 
3 dicas para escolher um firewall de última geração
3 dicas para escolher um firewall de última geração3 dicas para escolher um firewall de última geração
3 dicas para escolher um firewall de última geração
Cisco do Brasil
 
Gerenciamento de Segurança em Dispositivos de Rede
Gerenciamento de Segurança em Dispositivos de RedeGerenciamento de Segurança em Dispositivos de Rede
Gerenciamento de Segurança em Dispositivos de Rede
Virtù Tecnológica
 
Next gen antivirus_cylance
Next gen antivirus_cylanceNext gen antivirus_cylance
Next gen antivirus_cylance
aassenato
 
Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"
Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"
Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"
Carlos Serrao
 
Symantec™ Advanced Threat Protection: Network
Symantec™ Advanced Threat Protection: NetworkSymantec™ Advanced Threat Protection: Network
Symantec™ Advanced Threat Protection: Network
Symantec Brasil
 

Empfohlen

Soluções de segurança Cibernética
Soluções de segurança CibernéticaSoluções de segurança Cibernética
Soluções de segurança Cibernética
Cisco do Brasil
 
CyberGuard_leaflet_2016_Portuguese
CyberGuard_leaflet_2016_PortugueseCyberGuard_leaflet_2016_Portuguese
CyberGuard_leaflet_2016_Portuguese
Javier Macineiras
 
QualysGuard Vulnerability Manager
QualysGuard Vulnerability ManagerQualysGuard Vulnerability Manager
QualysGuard Vulnerability Manager
Site Blindado S.A.
 
3 dicas para escolher um firewall de última geração
3 dicas para escolher um firewall de última geração3 dicas para escolher um firewall de última geração
3 dicas para escolher um firewall de última geração
Cisco do Brasil
 
Gerenciamento de Segurança em Dispositivos de Rede
Gerenciamento de Segurança em Dispositivos de RedeGerenciamento de Segurança em Dispositivos de Rede
Gerenciamento de Segurança em Dispositivos de Rede
Virtù Tecnológica
 
Next gen antivirus_cylance
Next gen antivirus_cylanceNext gen antivirus_cylance
Next gen antivirus_cylance
aassenato
 
Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"
Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"
Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"
Carlos Serrao
 
Symantec™ Advanced Threat Protection: Network
Symantec™ Advanced Threat Protection: NetworkSymantec™ Advanced Threat Protection: Network
Symantec™ Advanced Threat Protection: Network
Symantec Brasil
 
Ameaças Persistentes Avançadas: Passando da Detecção para a Prevenção e Resposta
Ameaças Persistentes Avançadas: Passando da Detecção para a Prevenção e RespostaAmeaças Persistentes Avançadas: Passando da Detecção para a Prevenção e Resposta
Ameaças Persistentes Avançadas: Passando da Detecção para a Prevenção e Resposta
Symantec Brasil
 
Symantec Advanced Threat Protection: Symantec Cynic
Symantec Advanced Threat Protection: Symantec CynicSymantec Advanced Threat Protection: Symantec Cynic
Symantec Advanced Threat Protection: Symantec Cynic
Symantec Brasil
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Eduardo Lanna
 
Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"
Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"
Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"
Symantec Brasil
 
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidade
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidadeBe Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidade
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidade
Symantec Brasil
 
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
Carlos Serrao
 
Redes de controle: Mantenha a disponibilidade durante um ataque cibernético
Redes de controle: Mantenha a disponibilidade durante um ataque cibernéticoRedes de controle: Mantenha a disponibilidade durante um ataque cibernético
Redes de controle: Mantenha a disponibilidade durante um ataque cibernético
Cisco do Brasil
 
Café com Seguro: Riscos Cibernéticos - Guilheme Procopio
Café com Seguro: Riscos Cibernéticos - Guilheme Procopio Café com Seguro: Riscos Cibernéticos - Guilheme Procopio
Café com Seguro: Riscos Cibernéticos - Guilheme Procopio
Oficina do Texto Assessoria de Comunicação
 
Políticas de Segurança: Verdade ou Mito?
Políticas de Segurança: Verdade ou Mito?Políticas de Segurança: Verdade ou Mito?
Políticas de Segurança: Verdade ou Mito?
Daniel Checchia
 
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoPalestra cnasi 2013 s.video
Palestra cnasi 2013 s.video
Andre Takegawa
 
Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da InformaçãoTestes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Clavis Segurança da Informação
 
Desafios Futuros e Oportunidades
Desafios Futuros e OportunidadesDesafios Futuros e Oportunidades
Desafios Futuros e Oportunidades
Marcio Cunha
 
OWASP Mobile Top 10
OWASP Mobile Top 10OWASP Mobile Top 10
OWASP Mobile Top 10
Carlos Serrao
 
Symantec™ Advanced Threat Protection: Endpoint
Symantec™ Advanced Threat Protection: EndpointSymantec™ Advanced Threat Protection: Endpoint
Symantec™ Advanced Threat Protection: Endpoint
Symantec Brasil
 
Apresentação Workshop - Análise de Vulnerabilidades
Apresentação Workshop - Análise de VulnerabilidadesApresentação Workshop - Análise de Vulnerabilidades
Apresentação Workshop - Análise de Vulnerabilidades
Petter Lopes
 
Auditoria e Análise de Vulnerabilidades em Sistemas WEB
Auditoria e Análise de Vulnerabilidades em Sistemas WEBAuditoria e Análise de Vulnerabilidades em Sistemas WEB
Auditoria e Análise de Vulnerabilidades em Sistemas WEB
Petter Lopes
 
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUMArtigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Bruno Motta Rego
 
Sophos Endpoint - GVTech
Sophos Endpoint - GVTechSophos Endpoint - GVTech
Sophos Endpoint - GVTech
DeServ - Tecnologia e Servços
 
Modulo 01 CapíTulo 04
Modulo 01 CapíTulo 04Modulo 01 CapíTulo 04
Modulo 01 CapíTulo 04
Robson Silva Espig
 
Introdução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoIntrodução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de Proteção
Neemias Lopes
 
Resposta a Incidentes de Segurança com ferramentas SIEM
Resposta a Incidentes de Segurança com ferramentas SIEMResposta a Incidentes de Segurança com ferramentas SIEM
Resposta a Incidentes de Segurança com ferramentas SIEM
Spark Security
 
H11031 transforming-traditional-security-strategies-so
H11031 transforming-traditional-security-strategies-soH11031 transforming-traditional-security-strategies-so
H11031 transforming-traditional-security-strategies-so
JOSÉ RAMON CARIAS
 

Weitere ähnliche Inhalte

Was ist angesagt?

Ameaças Persistentes Avançadas: Passando da Detecção para a Prevenção e Resposta
Ameaças Persistentes Avançadas: Passando da Detecção para a Prevenção e RespostaAmeaças Persistentes Avançadas: Passando da Detecção para a Prevenção e Resposta
Ameaças Persistentes Avançadas: Passando da Detecção para a Prevenção e Resposta
Symantec Brasil
 
Symantec Advanced Threat Protection: Symantec Cynic
Symantec Advanced Threat Protection: Symantec CynicSymantec Advanced Threat Protection: Symantec Cynic
Symantec Advanced Threat Protection: Symantec Cynic
Symantec Brasil
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Eduardo Lanna
 
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoPalestra cnasi 2013 s.video
Palestra cnasi 2013 s.video
Andre Takegawa
 
Desafios Futuros e Oportunidades
Desafios Futuros e OportunidadesDesafios Futuros e Oportunidades
Desafios Futuros e Oportunidades
Marcio Cunha
 
Symantec™ Advanced Threat Protection: Endpoint
Symantec™ Advanced Threat Protection: EndpointSymantec™ Advanced Threat Protection: Endpoint
Symantec™ Advanced Threat Protection: Endpoint
Symantec Brasil
 
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUMArtigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Bruno Motta Rego
 

Was ist angesagt? (20)

Ameaças Persistentes Avançadas: Passando da Detecção para a Prevenção e Resposta
Ameaças Persistentes Avançadas: Passando da Detecção para a Prevenção e RespostaAmeaças Persistentes Avançadas: Passando da Detecção para a Prevenção e Resposta
Ameaças Persistentes Avançadas: Passando da Detecção para a Prevenção e Resposta
 
Symantec Advanced Threat Protection: Symantec Cynic
Symantec Advanced Threat Protection: Symantec CynicSymantec Advanced Threat Protection: Symantec Cynic
Symantec Advanced Threat Protection: Symantec Cynic
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
 
Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"
Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"
Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"
 
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidade
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidadeBe Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidade
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidade
 
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
 
Redes de controle: Mantenha a disponibilidade durante um ataque cibernético
Redes de controle: Mantenha a disponibilidade durante um ataque cibernéticoRedes de controle: Mantenha a disponibilidade durante um ataque cibernético
Redes de controle: Mantenha a disponibilidade durante um ataque cibernético
 
Café com Seguro: Riscos Cibernéticos - Guilheme Procopio
Café com Seguro: Riscos Cibernéticos - Guilheme Procopio Café com Seguro: Riscos Cibernéticos - Guilheme Procopio
Café com Seguro: Riscos Cibernéticos - Guilheme Procopio
 
Políticas de Segurança: Verdade ou Mito?
Políticas de Segurança: Verdade ou Mito?Políticas de Segurança: Verdade ou Mito?
Políticas de Segurança: Verdade ou Mito?
 
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoPalestra cnasi 2013 s.video
Palestra cnasi 2013 s.video
 
Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da InformaçãoTestes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
 
Desafios Futuros e Oportunidades
Desafios Futuros e OportunidadesDesafios Futuros e Oportunidades
Desafios Futuros e Oportunidades
 
OWASP Mobile Top 10
OWASP Mobile Top 10OWASP Mobile Top 10
OWASP Mobile Top 10
 
Symantec™ Advanced Threat Protection: Endpoint
Symantec™ Advanced Threat Protection: EndpointSymantec™ Advanced Threat Protection: Endpoint
Symantec™ Advanced Threat Protection: Endpoint
 
Apresentação Workshop - Análise de Vulnerabilidades
Apresentação Workshop - Análise de VulnerabilidadesApresentação Workshop - Análise de Vulnerabilidades
Apresentação Workshop - Análise de Vulnerabilidades
 
Auditoria e Análise de Vulnerabilidades em Sistemas WEB
Auditoria e Análise de Vulnerabilidades em Sistemas WEBAuditoria e Análise de Vulnerabilidades em Sistemas WEB
Auditoria e Análise de Vulnerabilidades em Sistemas WEB
 
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUMArtigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
 
Sophos Endpoint - GVTech
Sophos Endpoint - GVTechSophos Endpoint - GVTech
Sophos Endpoint - GVTech
 
Modulo 01 CapíTulo 04
Modulo 01 CapíTulo 04Modulo 01 CapíTulo 04
Modulo 01 CapíTulo 04
 
Introdução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoIntrodução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de Proteção
 

Ähnlich wie Apresentação dissertação

H11031 transforming-traditional-security-strategies-so
H11031 transforming-traditional-security-strategies-soH11031 transforming-traditional-security-strategies-so
H11031 transforming-traditional-security-strategies-so
JOSÉ RAMON CARIAS
 
Sistemas da informação1
Sistemas da informação1Sistemas da informação1
Sistemas da informação1
gabrio2022
 
Proteção contra Ameaças Avançadas:Aproveitando a Inteligência Global para Det...
Proteção contra Ameaças Avançadas:Aproveitando a Inteligência Global para Det...Proteção contra Ameaças Avançadas:Aproveitando a Inteligência Global para Det...
Proteção contra Ameaças Avançadas:Aproveitando a Inteligência Global para Det...
Symantec Brasil
 

Ähnlich wie Apresentação dissertação (20)

Resposta a Incidentes de Segurança com ferramentas SIEM
Resposta a Incidentes de Segurança com ferramentas SIEMResposta a Incidentes de Segurança com ferramentas SIEM
Resposta a Incidentes de Segurança com ferramentas SIEM
 
H11031 transforming-traditional-security-strategies-so
H11031 transforming-traditional-security-strategies-soH11031 transforming-traditional-security-strategies-so
H11031 transforming-traditional-security-strategies-so
 
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
 
Positive Cybersecurity PT-br_2.pptx
Positive Cybersecurity PT-br_2.pptxPositive Cybersecurity PT-br_2.pptx
Positive Cybersecurity PT-br_2.pptx
 
Segurança em Sistemas Baseados em Redes de Computadores
Segurança em Sistemas Baseados em Redes de ComputadoresSegurança em Sistemas Baseados em Redes de Computadores
Segurança em Sistemas Baseados em Redes de Computadores
 
Sistemas da informação1
Sistemas da informação1Sistemas da informação1
Sistemas da informação1
 
Proteção contra Ameaças Avançadas:Aproveitando a Inteligência Global para Det...
Proteção contra Ameaças Avançadas:Aproveitando a Inteligência Global para Det...Proteção contra Ameaças Avançadas:Aproveitando a Inteligência Global para Det...
Proteção contra Ameaças Avançadas:Aproveitando a Inteligência Global para Det...
 
CLASS 2016 - Palestra Renato Mendes
CLASS 2016 - Palestra Renato Mendes CLASS 2016 - Palestra Renato Mendes
CLASS 2016 - Palestra Renato Mendes
 
Aula 1 semana
Aula 1 semanaAula 1 semana
Aula 1 semana
 
Artigo cientifico
Artigo cientifico Artigo cientifico
Artigo cientifico
 
Segurança em Rede.pptx
Segurança em Rede.pptxSegurança em Rede.pptx
Segurança em Rede.pptx
 
Gestão integrada gsidsicabin 24jun2016
Gestão integrada gsidsicabin 24jun2016Gestão integrada gsidsicabin 24jun2016
Gestão integrada gsidsicabin 24jun2016
 
Palestra
PalestraPalestra
Palestra
 
2011 - TI - Novos Desafios de Segurança
2011 - TI - Novos Desafios de Segurança2011 - TI - Novos Desafios de Segurança
2011 - TI - Novos Desafios de Segurança
 
Java security
Java securityJava security
Java security
 
Be Aware Webinar - Protegendo PDV de ameaças Externas e Garantindo Conformidade
Be Aware Webinar - Protegendo PDV de ameaças Externas e Garantindo ConformidadeBe Aware Webinar - Protegendo PDV de ameaças Externas e Garantindo Conformidade
Be Aware Webinar - Protegendo PDV de ameaças Externas e Garantindo Conformidade
 
Artigo Cloud Computing
Artigo Cloud ComputingArtigo Cloud Computing
Artigo Cloud Computing
 
Be Aware Webinar - Segurança de email: Ameaças, SPAM e Sequestros, uma máquin...
Be Aware Webinar - Segurança de email: Ameaças, SPAM e Sequestros, uma máquin...Be Aware Webinar - Segurança de email: Ameaças, SPAM e Sequestros, uma máquin...
Be Aware Webinar - Segurança de email: Ameaças, SPAM e Sequestros, uma máquin...
 
Be Aware Symantec Webinar - Wednesday, September 16, 2015
Be Aware Symantec Webinar - Wednesday, September 16, 2015Be Aware Symantec Webinar - Wednesday, September 16, 2015
Be Aware Symantec Webinar - Wednesday, September 16, 2015
 
Ameaças e vulnerabilidades - Material Comercial Unbroken
Ameaças e vulnerabilidades - Material Comercial UnbrokenAmeaças e vulnerabilidades - Material Comercial Unbroken
Ameaças e vulnerabilidades - Material Comercial Unbroken
 

Kürzlich hochgeladen

O Reizinho Autista.pdf - livro maravilhoso
O Reizinho Autista.pdf - livro maravilhosoO Reizinho Autista.pdf - livro maravilhoso
O Reizinho Autista.pdf - livro maravilhoso
VALMIRARIBEIRO1
 
Slide Licao 4 - 2T - 2024 - CPAD ADULTOS - Retangular.pptx
Slide Licao 4 - 2T - 2024 - CPAD ADULTOS - Retangular.pptxSlide Licao 4 - 2T - 2024 - CPAD ADULTOS - Retangular.pptx
Slide Licao 4 - 2T - 2024 - CPAD ADULTOS - Retangular.pptx
sfwsoficial
 

Kürzlich hochgeladen (20)

Meu corpo - Ruth Rocha e Anna Flora livro
Meu corpo - Ruth Rocha e Anna Flora livroMeu corpo - Ruth Rocha e Anna Flora livro
Meu corpo - Ruth Rocha e Anna Flora livro
 
O Reizinho Autista.pdf - livro maravilhoso
O Reizinho Autista.pdf - livro maravilhosoO Reizinho Autista.pdf - livro maravilhoso
O Reizinho Autista.pdf - livro maravilhoso
 
Semana Interna de Prevenção de Acidentes SIPAT/2024
Semana Interna de Prevenção de Acidentes SIPAT/2024Semana Interna de Prevenção de Acidentes SIPAT/2024
Semana Interna de Prevenção de Acidentes SIPAT/2024
 
Slides Lição 8, Betel, Ordenança para confessar os pecados e perdoar as ofens...
Slides Lição 8, Betel, Ordenança para confessar os pecados e perdoar as ofens...Slides Lição 8, Betel, Ordenança para confessar os pecados e perdoar as ofens...
Slides Lição 8, Betel, Ordenança para confessar os pecados e perdoar as ofens...
 
Testes de avaliação português 6º ano .pdf
Testes de avaliação português 6º ano .pdfTestes de avaliação português 6º ano .pdf
Testes de avaliação português 6º ano .pdf
 
Descrever e planear atividades imersivas estruturadamente
Descrever e planear atividades imersivas estruturadamenteDescrever e planear atividades imersivas estruturadamente
Descrever e planear atividades imersivas estruturadamente
 
bem estar animal em proteção integrada componente animal
bem estar animal em proteção integrada componente animalbem estar animal em proteção integrada componente animal
bem estar animal em proteção integrada componente animal
 
Nós Propomos! Canil/Gatil na Sertã - Amigos dos Animais
Nós Propomos! Canil/Gatil na Sertã - Amigos dos AnimaisNós Propomos! Canil/Gatil na Sertã - Amigos dos Animais
Nós Propomos! Canil/Gatil na Sertã - Amigos dos Animais
 
08-05 - Atividade de língua Portuguesa.pdf
08-05 - Atividade de língua Portuguesa.pdf08-05 - Atividade de língua Portuguesa.pdf
08-05 - Atividade de língua Portuguesa.pdf
 
Slide Licao 4 - 2T - 2024 - CPAD ADULTOS - Retangular.pptx
Slide Licao 4 - 2T - 2024 - CPAD ADULTOS - Retangular.pptxSlide Licao 4 - 2T - 2024 - CPAD ADULTOS - Retangular.pptx
Slide Licao 4 - 2T - 2024 - CPAD ADULTOS - Retangular.pptx
 
prova do exame nacional Port. 2008 - 2ª fase - Criterios.pdf
prova do exame nacional Port. 2008 - 2ª fase - Criterios.pdfprova do exame nacional Port. 2008 - 2ª fase - Criterios.pdf
prova do exame nacional Port. 2008 - 2ª fase - Criterios.pdf
 
Edital do processo seletivo para contratação de agentes de saúde em Floresta, PE
Edital do processo seletivo para contratação de agentes de saúde em Floresta, PEEdital do processo seletivo para contratação de agentes de saúde em Floresta, PE
Edital do processo seletivo para contratação de agentes de saúde em Floresta, PE
 
ufcd_9649_Educação Inclusiva e Necessidades Educativas Especificas_índice.pdf
ufcd_9649_Educação Inclusiva e Necessidades Educativas Especificas_índice.pdfufcd_9649_Educação Inclusiva e Necessidades Educativas Especificas_índice.pdf
ufcd_9649_Educação Inclusiva e Necessidades Educativas Especificas_índice.pdf
 
EBPAL_Serta_Caminhos do Lixo final 9ºD (1).pptx
EBPAL_Serta_Caminhos do Lixo final 9ºD (1).pptxEBPAL_Serta_Caminhos do Lixo final 9ºD (1).pptx
EBPAL_Serta_Caminhos do Lixo final 9ºD (1).pptx
 
Sismologia_7ºano_causas e consequencias.pptx
Sismologia_7ºano_causas e consequencias.pptxSismologia_7ºano_causas e consequencias.pptx
Sismologia_7ºano_causas e consequencias.pptx
 
Unidade 4 (Texto poético) (Teste sem correção) (2).docx
Unidade 4 (Texto poético) (Teste sem correção) (2).docxUnidade 4 (Texto poético) (Teste sem correção) (2).docx
Unidade 4 (Texto poético) (Teste sem correção) (2).docx
 
ROTINA DE ESTUDO-APOSTILA ESTUDO ORIENTADO.pdf
ROTINA DE ESTUDO-APOSTILA ESTUDO ORIENTADO.pdfROTINA DE ESTUDO-APOSTILA ESTUDO ORIENTADO.pdf
ROTINA DE ESTUDO-APOSTILA ESTUDO ORIENTADO.pdf
 
Slides Lição 07, Central Gospel, As Duas Testemunhas Do Final Dos Tempos.pptx
Slides Lição 07, Central Gospel, As Duas Testemunhas Do Final Dos Tempos.pptxSlides Lição 07, Central Gospel, As Duas Testemunhas Do Final Dos Tempos.pptx
Slides Lição 07, Central Gospel, As Duas Testemunhas Do Final Dos Tempos.pptx
 
o-homem-que-calculava-malba-tahan-1_123516.pdf
o-homem-que-calculava-malba-tahan-1_123516.pdfo-homem-que-calculava-malba-tahan-1_123516.pdf
o-homem-que-calculava-malba-tahan-1_123516.pdf
 
UFCD_9184_Saúde, nutrição, higiene, segurança, repouso e conforto da criança ...
UFCD_9184_Saúde, nutrição, higiene, segurança, repouso e conforto da criança ...UFCD_9184_Saúde, nutrição, higiene, segurança, repouso e conforto da criança ...
UFCD_9184_Saúde, nutrição, higiene, segurança, repouso e conforto da criança ...
 

Apresentação dissertação

  • 1. Análise de eventos de segurança: baseado no OSSIM Orientador: Professor Doutor Henrique Manuel Denis Santos Mestrando: Luís Amílcar Dias Neves Tavares UNIVERSIDADE DO MINHO ESCOLA DE ENGENHARIA DISSERTAÇÃO DE MESTRADO EM ENGENHARIA INFORMATICA Braga, Dezembro de 2015
  • 2. Introdução  Por mais que consideremos um ambiente seguro os utilizadores acabam por ser sempre a maior vulnerabilidade da rede;  Cada vez mais são usadas ferramentas e aplicações que possibilitam uma melhor gestão da rede, criando regras de permissões, acesso e uso do sistema;  Sistemas com boa gestão e sem falhas internas estão sujeitos a sofrer falhas provocadas por agentes externos, que podem ser devastadoras;
  • 3. Motivação  Segurança em Redes de computadores tem sido cada vez mais exigida pelo facto da rápida evolução da tecnologia, que além de trazer melhorias traz também diversos problemas.  Ferramentas de gestão de redes têm sido uma das soluções para resolver tais problemas. Só que nada é totalmente satisfatório para sanar os problemas que vão ocorrendo com o tempo.  É relevante explorar as potencialidades, capacidades e limitações dos gestores de redes, para dar continuidade a melhor e maior garantia em monitorização de rede;  Interesse e curiosidade pessoal na segurança em redes.
  • 4. Objetivos  Usar a ferramenta de gestão de eventos de segurança OSSIM;  Estudar e avaliar os logs de eventos e alertas gerados pelo OSSIM;  Configurar o OSSIM na tentativa de apresentar somente eventos desejados;  Otimizar a análise de resultados obtidos com o OSSIM, nomeadamente no que respeita aos falsos positivos.
  • 5. Problema OSSIM pode gerar milhares de eventos, dependendo da rede onde estiver instalado; e nesses eventos o numero de falsos positivos é normalmente elevado. Como podemos diminuir esse numero aumentando a eficiência deste controlo de segurança?
  • 6. Enquadramento Teórico  Questões:  Como avaliar o nível de risco a que estamos exposto?  Que ferramentas promovem a gestão de segurança, sem comprometer os objetivos do negocio?  A que tipo de ataques somos vulneráveis?  Ferramentas Distintas:  Autenticação de utilizadores;  Antivírus;  Firewall;  Métodos de prevenção de ataques;  IDS (Host e Network).  Solução:  Security Information and Event Managment (SIEM)
  • 7. Enquadramento Teórico  Líder do Mercado  IBM Security  HP/ArcSight  Splunk  Visionário  AlienVault  USM  OSSIM Magic Quadrant for SIEM (Gartner, Junho 2014)  OSSIM – Open Source Security Information Managment  Solução gratuita para gestão de eventos de segurança;  Inteligência para classificar riscos de eventos e ativos;  Gestão de incidentes de segurança, tudo integrado em uma única plataforma;  Elevado desempenho no tratamento de dados;  Componentes  Sensor  Servidor de gestão  Base de dados  Frontend
  • 8. Metodologia  Topologia da Rede  Interfaces da rede (5):  Router  OSSIM (com todos os componentes)  Servidor Web  Máquina com Windows XP
  • 9. Metodologia  Ataque a rede (LabOSSIM)  Construída em três etapas – baseado em Attack Tree  Coleta de informações  Scanner de vulnerabilidade  Pós Exploração
  • 10. Testes/Resultados  Relatório dos resultados iniciais  Plugins ativos no teste  5 Monitorização  tcptrack-monitor  ossim-monitor  nmap-monitor  nessus-monitor  opennms-monitor  11 Gestão de dados  sudo  ossim-agente  snort-syslog  snortunified  ossec-idm-singleline  ossec-singleline  nagios  snare  nessus  prads  pam_unix  OSSIM v4.13 (default)  183 gestão  12 monitorização  Eventos e Alarmes  2 dias  159.515 eventos  46 alarmes  Alarmes – Falso Positivo  Nagios: hard critical/down (serviço ou host indisponível)  WebServer Attack – XXS (correlação de eventos sucessivo, scanner OSSIM)  WebServer Attack – SQL Injection (log com linhas de query suspeita)
  • 11. Procura de soluções que ajudem a diminuir o numero de falsos positivos.  Soluções:  Ativar plugins existentes e logs de ativos necessário da rede;  Criar plugins que satisfaçam a necessidade e vão ao encontro da estrutura de rede;  “Calibrar” a correlação entre os eventos, de acordo com as atividades da rede;  Reformular as regras, além de desativar as que sejam obsoletas;  Otimizar as diretivas de alarmes existentes;  Lista base de plugins, levando em conta os mais populares em função de:  Deteção e prevenção de Intrusões;  Monitorização da rede e gestão de segurança;  Servidor Web;  Scanner de Vulnerabilidade;  Serviço de inteligência a ameaça. Soluções a considerar
  • 12. Resultados após melhorias Resultado com o OSSIM, após aplicar as soluções propostas. OSSIM Dia Ativo Eventos Alarmes Default 1 159.515 46 Melhorias 2 120.337 2  Alarmes – Verdadeiro Positivo  2 – Brute force autentication  Ataque usando medusa (dias diferentes)
  • 13. Conclusão  A segurança é fundamental, nos sistemas de hoje, assim como a compreensão e uso das ferramentas SIEM.  OSSIM:  Código livre,  Poderoso, robusto e bem estruturado;  Instalação escalonada (web, BD, servidor, sensor)  Inúmeras possibilidades de configurações;  Fácil configurar as ferramentas (ex: Snort, Nessus, OSSEC);  Inúmeras possibilidade de correlação de eventos e criação de regras.  Frontend muito intuitivo e com usabilidade elevada (eventos e relatórios)
  • 14. Analise critica / Trabalhos futuros Análise Crítica  Falta de documentação atualizada e oficial sobre OSSIM;  Falta de recursos (hardware);  Maioria de Plugins existentes encontra-se desatualizado;  Inconsistência entre as release (erros ao reconhecer hardware). Trabalhos Futuros  Plugins, para plataformas web.  Monitorizar redes com dispositivos móveis.  Conformidade da segurança de informação, norma PCIDSS e ISO 27001  Alternativas de alertas – usar python e representar dados em tabelas.