Este documento presenta un webinar sobre sistemas de detección de ataques en tiempo real utilizando AlienVault USM. El webinar cubrirá IDS de red, IDS de host, IDS inalámbrico, configuración de IDS, recolección de eventos IDS, demostraciones y preguntas y respuestas. El objetivo es mostrar las capacidades del AlienVault USM para unir todas las piezas de seguridad, buscar actividad sospechosa e identificar amenazas para proteger los activos valiosos de una organización.
4. AlienVault Unified Security Management
Unimos todas las
piezas
Buscamos actividad que
pueda ser sospechosa
¿Cómo protegemos
nuestras casas ?
Identificamos Amenazas
Determinamos que
tiene Valor
Identificamos como pueden
afectar lo que es valioso
4
5. AlienVault Unified Security Management
Unimos todas las
piezas
Buscamos actividad que
pueda ser sospechosa
¿Cómo aseguramos
nuestra empresa?
Identificamos Amenazas
Determinamos que
tiene Valor
Identificamos como pueden
afectar lo que es valioso
5
6. AlienVault Unified Security Management
Correlación de eventos
Respuesta a Incidentes
Recolección de Logs
Análisis de NetFlows
Monitorización Disponibilidad
IDS de Red
IDS de Host
IDS Wireless
Análisis de la Red
Inventario de Activos
¿Como aseguramos
nuestra empresa?
Escaneos
Vulnerabilidades
6
7. 5 Capacidades principales del USM
AlienVault’s Unified Security Management™ (USM™) proporciona una
forma rápida y rentable para las organizaciones de hacer frente a las
necesidades de gestión de amenazas y cumplimento.
Con todos los controles de seguridad esenciales incorporados,
AlienVault USM provee una visibilidad completa de la seguridad de la
información.
7
8. 5 Capacidades principales del USM
Automatización de Inventario para los activos críticos
El descubrimiento de activos nos permite crear un inventario de los
activos desplegados, logrando con ello dar un primer paso para la
evaluación de vulnerabilidades, detección de amenazas, apreciación del
comportamiento de la red y de los servicios para detectar violaciones en
las políticas corporativas.
8
9. 5 Capacidades principales del USM
Detecta que activos son vulnerables a los ataques
Mediante la combinación de la visibilidad completa y actualizada de los
sistemas a través de las herramientas de evaluación de vulnerabilidades,
AlienVault ha incorporado medidas preventivas de seguridad. La
evaluación de vulnerabilidades permite identificar posibles debilidades
en los sistemas y así priorizar las acciones para mejorar su nivel de
seguridad.
9
10. 5 Capacidades principales del USM
Identifica exploits específicos utilizados en los ataques
Con una amplia base de conocimiento, el Sistema de Detección de
Intrusiones en la red que AlienVault incorpora el análisis del tráfico de
red para detectar firmas de ataques conocidos, e identificar patrones de
los métodos de ataque conocidos. Esto proporciona una visibilidad
inmediata de los ataques que se utilizan en contra de su sistema.
10
11. 5 Capacidades principales del USM
Identifica los comportamientos anormales
Los cambios en el comportamiento de las redes, sistemas y servicios
pueden indicar una defensa débil o violación de seguridad. Para ello se
combina el análisis del flujo de red para identificar los cambios sufridos,
la captura de paquetes completos para el análisis forense y el
seguimiento de servicios activos para verificar proactivamente cambios
en los servicios.
11
12. 5 Capacidades principales del USM
Inteligencia en la Seguridad de la Información en acción
Dar un valor añadido a la gran cantidad de información recogida es unos
de los grandes objetivos de la Inteligencia de seguridad. Así, mediante la
automatización de la correlación de eventos en tiempo real podemos
hacer que un trozo de información que por sí solo no significa nada,
puede ser una pieza muy importante de un conjunto global.
12
14. IDS de Red - Snort
Snort es un sistema de detección de intrusos a nivel de red.
Dispone de un lenguaje de creación de reglas en el que se pueden definir
los patrones (reglas) que se utilizarán a la hora de monitorizar el sistema.
Snort es uno de los NIDS más utilizados en todo el mundo, su proyecto
arranco en 1998 de la mano de Martin Roesch.
Es bastante útil para identificar: Malware, Escáneo de Puertos, Violación
de Políticas(P2P, IM, Porn, Games...).
14
16. IDS de Red - Suricata
Suricata es un sistema de detección de intrusos de red de la Open
Information Security Foundation (OISF).
Es multiproceso, lo que significa que puede ejecutar una instancia y va a
equilibrar la carga de procesamiento a través de cada procesador.
Reconocimiento de los protocolos más comunes automáticamente,
permitiendo escribir reglas basadas en protocolos.
Suricata es compatible con las reglas de Snort.
16
18. IDS de Host - OSSEC
OSSEC es un HIDS (Host-level Intrusion Detection System) que permite
análisis de logs, detección de rootkit, chequeos de integridad del sistema y
monitorización del registro de Windows.
OSSEC requiere la instalación de un agente para la monitorización
(Excepto sistemas con acceso SSH).
Attempt to login using a non-existent user
Attempt to use mail server as relay (client host rejected).
Logon failure: Account currently disabled
Sensor
18
19. IDS de Host - OSSEC
OSSEC se basa en una arquitectura cliente -> servidor.
AlienVault colecta los eventos del servidor OSSEC (Instalado en el Sensor
AlienVault).
OSSEC provee un sistema de plugins propios usados para el análisis de
plataformas Windows y UNIX.
Utilidad dentro de la plataforma AlienVault:
Colección de logs de Windows y Unix
Colección de logs de aplicaciones
Monitorización de registro, archivos y directorios (DLP)
19
21. IDS de Wireless- Kismet
Kismet es un sistema detector de red Wireless en capa 2 (802.11), con
funcionalidades de sniffer y detector de intrusos.
Kismet funciona con cualquier tarjeta inalámbrica con soporte para
monitorización en bruto (rfmon), y (con hardware apropiado) puede
monitorizar tráfico 802.11b, 802.11a, 802.11g y 802.11n.
Utilidad dentro de la plataforma AlienVault:
Aseguramiento de redes WIFI.
Detección de AP falsos.
Cumplimiento (Requerimientos PCI Wireless).
21
23. Pasivo Vs Activo
Pasivo
Activo
Las herramientas pasivas requieren un puerto mirroring / puerto span configurado
en el equipo de red para ser capaz de analizar el tráfico de la red monitorizada/ s.
23
24. IDS de Red - Snort & Suricata
Por defecto en una instalación de AlienVault USM viene activado el NIDS
Suricata.
Tener las interfaces recibiendo el trafico de los port mirroring.
Avanzado: Realizar ajuste fino diferente para cada interfaz (Red de oficina,
DMZ…) No utilizar aquellas reglas que no resultan interesantes para el
tráfico que se va a recibir por cada interfaz.
24
25. IDS de Host - OSSEC
Por defecto en una instalación de AlienVault AIO o Sensor viene activado
el HIDS OSSEC con un agente desplegado para el proprio AlienVault.
AlienVault ha integrado todas las funcionalidades de OSSEC en su consola
Web (todas las configuraciones necesarias se harán en el menú
Environment -> detection -> HIDS ).
25
26. IDS de Wireless- Kismet
Tener configurado el Sensor Kistmet (howto en AlienVault Bloomfire)
Por defecto en una instalación de AlienVault, Kismet no viene activado por
ello es necesario habilitar el plugin de Kismet (AlienVault Center).
26
30. Top 10 de Ataques de Seguridad
Desde Open Web Application Security Project (OWASP) han determinado:
A1 Inyección
A2 Pérdida de Autenticación y Gestión de Sesiones
A3 Cross-Site Scripting (XSS)
A4 Referencias directa inseguras a objetos
A5 Configuración de Seguridad incorrecta
A6 Exposición de datos sensibles
A7 – Ausencia de Control de Acceso a las Funciones
A8 Cross-Site Request Forgery (CSRF)
A9 Utilización de componentes con vulnerabilidades conocidas
A10 Redirects y Forwards no validados
30
31. Arquitectura de la Demo
Alienvault USM
192.168.0.1
Apache Vulnerable
192.168.0.123
31