A3sec Webinar AlienVault USM - Sistemas de detección de ataques en tiempo real

Webinar A3Sec
AlienVault USM Sistemas de detección de ataques en tiempo real
4 de Febrero del 2014

Contenido
•
•
•
•
•
•
•
•

AlienVault USM
IDS de Red
IDS de Host
IDS de Wireless
Configuración de IDS
Recolección de eventos IDS
Demos
Q&A

2

AlienVault Unified Security Management
Unimos todas las
piezas

Buscamos actividad que
pueda ser sospechosa

¿Cómo protegemos
nuestras casas ?

Identificamos Amenazas

Determinamos que
tiene Valor

Identificamos como pueden
afectar lo que es valioso
4

Unimos todas las
piezas

Buscamos actividad que
pueda ser sospechosa

¿Cómo aseguramos
nuestra empresa?

Identificamos Amenazas

Determinamos que
tiene Valor

Identificamos como pueden
afectar lo que es valioso
5

Correlación de eventos
Respuesta a Incidentes

Recolección de Logs
Análisis de NetFlows
Monitorización Disponibilidad

IDS de Red
IDS de Host
IDS Wireless

Análisis de la Red
Inventario de Activos

¿Como aseguramos
nuestra empresa?

Escaneos
Vulnerabilidades

6

5 Capacidades principales del USM

 AlienVault’s Unified Security Management™ (USM™) proporciona una
forma rápida y rentable para las organizaciones de hacer frente a las
necesidades de gestión de amenazas y cumplimento.


Con todos los controles de seguridad esenciales incorporados,
AlienVault USM provee una visibilidad completa de la seguridad de la
información.
7


Automatización de Inventario para los activos críticos
 El descubrimiento de activos nos permite crear un inventario de los
activos desplegados, logrando con ello dar un primer paso para la
evaluación de vulnerabilidades, detección de amenazas, apreciación del
comportamiento de la red y de los servicios para detectar violaciones en
las políticas corporativas.
8


Detecta que activos son vulnerables a los ataques
 Mediante la combinación de la visibilidad completa y actualizada de los
sistemas a través de las herramientas de evaluación de vulnerabilidades,
AlienVault ha incorporado medidas preventivas de seguridad. La
evaluación de vulnerabilidades permite identificar posibles debilidades
en los sistemas y así priorizar las acciones para mejorar su nivel de
seguridad.
9


Identifica exploits específicos utilizados en los ataques
 Con una amplia base de conocimiento, el Sistema de Detección de
Intrusiones en la red que AlienVault incorpora el análisis del tráfico de
red para detectar firmas de ataques conocidos, e identificar patrones de
los métodos de ataque conocidos. Esto proporciona una visibilidad
inmediata de los ataques que se utilizan en contra de su sistema.
10


Identifica los comportamientos anormales
 Los cambios en el comportamiento de las redes, sistemas y servicios
pueden indicar una defensa débil o violación de seguridad. Para ello se
combina el análisis del flujo de red para identificar los cambios sufridos,
la captura de paquetes completos para el análisis forense y el
seguimiento de servicios activos para verificar proactivamente cambios
en los servicios.
11


Inteligencia en la Seguridad de la Información en acción
 Dar un valor añadido a la gran cantidad de información recogida es unos
de los grandes objetivos de la Inteligencia de seguridad. Así, mediante la
automatización de la correlación de eventos en tiempo real podemos
hacer que un trozo de información que por sí solo no significa nada,
puede ser una pieza muy importante de un conjunto global.
12

IDS de Red - Snort
 Snort es un sistema de detección de intrusos a nivel de red.
 Dispone de un lenguaje de creación de reglas en el que se pueden definir
los patrones (reglas) que se utilizarán a la hora de monitorizar el sistema.

 Snort es uno de los NIDS más utilizados en todo el mundo, su proyecto
arranco en 1998 de la mano de Martin Roesch.
 Es bastante útil para identificar: Malware, Escáneo de Puertos, Violación
de Políticas(P2P, IM, Porn, Games...).

14

IDS de Red - Snort
 Malware
alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"ET CURRENT_EVENTS MALWARE
Potential Malware Download, rogue antivirus (IAInstall.exe)"; flow:established,to_server;
uricontent:"/download/IAInstall.exe"; nocase; classtype:bad-unknown; reference:url,malwareurl.com;
reference: url, www.emergingthreats.net/cgi-bin/cvsweb.cgi/sigs/CURRENT _EVENTS/CURRENT_Malware
url_top_downloads; reference:url,doc.emergingthreats.net/2010447; sid:2010447; rev:2;)

 Scans
alert tcp $HTTP_SERVERS $HTTP_PORTS -> $EXTERNAL_NET any (msg:"ET SCAN Unusually Fast 403 Error
Messages, Possible Web Application Scan"; flow:from_server,established; content:"HTTP/1.1 403";
depth:13; threshold: type threshold, track by_dst, count 35, seconds 60; classtype:attempted-recon;
reference: url www.checkupdown.com/status/E403.html; reference:url, doc.emergingthreats.net
/2009749; reference:url,www.emergingthreats.net/cgi-bin/cvsweb.cgi/sigs/SCAN/SCAN_403; sid:2009749;
rev:2;)

 Violación de Políticas
alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"ET POLICY Megaupload file download
service access"; flow:to_server,established; content:"GET "; depth: 4; uricontent:"/?d="; content:"|0d
0a|Host: "; content:"megaupload.com"; within:25; nocase; classtype:policy-violation; reference:
url,doc.emergingthreats.net/2009301;
reference:url,www.emergingthreats.net/cgi-bin/cvsweb.cgi
/sigs/POLICY/POLICY_Download_Services; sid:2009301; rev:2;)
15

IDS de Red - Suricata
 Suricata es un sistema de detección de intrusos de red de la Open
Information Security Foundation (OISF).
 Es multiproceso, lo que significa que puede ejecutar una instancia y va a
equilibrar la carga de procesamiento a través de cada procesador.
 Reconocimiento de los protocolos más comunes automáticamente,
permitiendo escribir reglas basadas en protocolos.

 Suricata es compatible con las reglas de Snort.

16

IDS de Host - OSSEC
 OSSEC es un HIDS (Host-level Intrusion Detection System) que permite
análisis de logs, detección de rootkit, chequeos de integridad del sistema y
monitorización del registro de Windows.
 OSSEC requiere la instalación de un agente para la monitorización
(Excepto sistemas con acceso SSH).
Attempt to login using a non-existent user

Attempt to use mail server as relay (client host rejected).

Logon failure: Account currently disabled

Sensor

18

IDS de Host - OSSEC
 OSSEC se basa en una arquitectura cliente -> servidor.
 AlienVault colecta los eventos del servidor OSSEC (Instalado en el Sensor
AlienVault).

 OSSEC provee un sistema de plugins propios usados para el análisis de
plataformas Windows y UNIX.
 Utilidad dentro de la plataforma AlienVault:
 Colección de logs de Windows y Unix
 Colección de logs de aplicaciones
 Monitorización de registro, archivos y directorios (DLP)

19

IDS de Wireless- Kismet
 Kismet es un sistema detector de red Wireless en capa 2 (802.11), con
funcionalidades de sniffer y detector de intrusos.
 Kismet funciona con cualquier tarjeta inalámbrica con soporte para
monitorización en bruto (rfmon), y (con hardware apropiado) puede
monitorizar tráfico 802.11b, 802.11a, 802.11g y 802.11n.
 Utilidad dentro de la plataforma AlienVault:
 Aseguramiento de redes WIFI.
 Detección de AP falsos.
 Cumplimiento (Requerimientos PCI Wireless).

21

Pasivo Vs Activo
Pasivo

Activo

Las herramientas pasivas requieren un puerto mirroring / puerto span configurado
en el equipo de red para ser capaz de analizar el tráfico de la red monitorizada/ s.

23

IDS de Red - Snort & Suricata
 Por defecto en una instalación de AlienVault USM viene activado el NIDS
Suricata.
 Tener las interfaces recibiendo el trafico de los port mirroring.

 Avanzado: Realizar ajuste fino diferente para cada interfaz (Red de oficina,
DMZ…) No utilizar aquellas reglas que no resultan interesantes para el
tráfico que se va a recibir por cada interfaz.

24

IDS de Host - OSSEC
 Por defecto en una instalación de AlienVault AIO o Sensor viene activado
el HIDS OSSEC con un agente desplegado para el proprio AlienVault.
 AlienVault ha integrado todas las funcionalidades de OSSEC en su consola
Web (todas las configuraciones necesarias se harán en el menú
Environment -> detection -> HIDS ).

25

IDS de Wireless- Kismet
 Tener configurado el Sensor Kistmet (howto en AlienVault Bloomfire)
 Por defecto en una instalación de AlienVault, Kismet no viene activado por
ello es necesario habilitar el plugin de Kismet (AlienVault Center).

26

Recolección de eventos IDS

27

SDEE

FTP

WMI

OPSEC

SYSLOG
SYSLOG

SYSLOG

WMI

SYSLOG

Recolección de Eventos IDS

Puerto MIRRORING
Colección de Logs
Comunicación Interna AlienVault

28

Top 10 de Ataques de Seguridad
 Desde Open Web Application Security Project (OWASP) han determinado:


A1 Inyección



A2 Pérdida de Autenticación y Gestión de Sesiones



A3 Cross-Site Scripting (XSS)



A4 Referencias directa inseguras a objetos



A5 Configuración de Seguridad incorrecta



A6 Exposición de datos sensibles



A7 – Ausencia de Control de Acceso a las Funciones



A8 Cross-Site Request Forgery (CSRF)



A9 Utilización de componentes con vulnerabilidades conocidas



A10 Redirects y Forwards no validados
30

Arquitectura de la Demo

Alienvault USM
192.168.0.1

Apache Vulnerable
192.168.0.123

31

A3Sec en la Red

www.a3sec.com

youtube.com/a3sec

twitter.com/a3sec

linkedin.com/company/a3sec
33

Preguntas

A3Sec México

A3Sec USA

A3Sec España

Avda. Paseo de la Reforma,
389 Piso10, México DF
Tlf. +52 55 5980 3547

1401 Brickell Ave #320
Miami, FL 33131, USA
T. +1 786 556 90 32

C/ Aravaca, 6Piso2Dcha
28040 Madrid
Tlf. +34 915 330 978

info@a3sec.com

34

A3sec Webinar AlienVault USM - Sistemas de detección de ataques en tiempo real

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

Similar a A3sec Webinar AlienVault USM - Sistemas de detección de ataques en tiempo real

Similar a A3sec Webinar AlienVault USM - Sistemas de detección de ataques en tiempo real (20)

Último

Último (20)

A3sec Webinar AlienVault USM - Sistemas de detección de ataques en tiempo real