SlideShare una empresa de Scribd logo

Anvendt logghåndtering 2.0

Oddbjørn Steffensen
Oddbjørn Steffensen
Tecnología
1 de 54
Anvendt Logghåndtering Oddbjørn Steffensen EDB Security Management
Historisk perspektiv  Unix: find /var/log -mtime +7d -type f –exec rm {} ;  Windows: “Logfiles: The Data Center’s Equivalent of Compost. Let’em Rot.” – Marcus J. Ranum 3
Motivasjon Gi oss ”situational awareness” Datagrunnlag ifb. hendelseshåndtering Trendanalyse & baselining Fastslå årsakssammenhenger Oppdage policybrudd Bevissikring / forensics Deteksjon Reaksjon Revisjon og Refleksjon Etterlevelse compliance av interne og Hva skjer i systemene våre? eksterne krav (fex 2700n, PCI DSS, SOx mfl.) Logger vi det vi burde logge? Hva er normalt og abnormalt? Loggene som infrastrukturtelemetri Fungerer sikringsmekanismene som forventet? 4
Fra logg til forståelse Mar 21 00:42:40 epia sshd[20318]: Invalid user a from 83.19.222.221 Mar Mar Mar 21 21 21 00:44:00 00:45:00 00:42:13 Who epia /usr/sbin/cron[20342]: (operator) CMD (/usr/libexec/save-entropy) epia /usr/sbin/cron[20362]: (root) CMD (/usr/libexec/atrun) node2.lan ntp: Clock synchronized to network time server time.apple.com Hvem gjorde Mar 21 00:42:53 Airport-Express.lan Airport-Express 80211: Rotated CCMP group key. Mar Mar Mar Mar 21 21 21 21 00:50:00 00:53:33 01:00:00 01:00:00 What, epia /usr/sbin/cron[24691]: (root) CMD (/usr/libexec/atrun) did MBP.lan mbp /usr/sbin/ocspd[28388]: starting epia /usr/sbin/cron[36977]: (root) CMD (newsyslog) epia /usr/sbin/cron[36978]: (operator) CMD (/usr/libexec/save-entropy) Hva, Mar 21 01:00:00 epia /usr/sbin/cron[36979]: (root) CMD (/usr/libexec/atrun) Mar Mar Mar 21 21 21 01:01:52 01:01:56 09:56:54 When, epia sudo: userA : TTY=ttyp0 ; PWD=/usr/local/www/data/wordpress epia sudo: userA : TTY=ttyp0 ; PWD=/usr/local/www/data/wordpress epia sshd[45971]: Did not receive identification string from 93.103.12.217 Hvor, Mar 21 11:55:21 epia sshd[46447]: Did not receive identification string from 12.155.124.130 Mar 21 11:55:36 epia sshd[46450]: Invalid user fluffy from 202.155.124.130 Mar Mar Mar 21 21 21 11:55:40 11:55:44 11:55:46 Where epia sshd[46452]: Invalid user admin from 202.155.124.130 epia sshd[46454]: Invalid user test from 202.155.124.130 epia sshd[46456]: Invalid user guest from 202.155.124.130 Hvortid, Mar 21 11:55:49 epia sshd[46458]: Invalid user webmaster from 202.155.124.130 Mar Mar Mar 21 21 21 11:55:56 11:55:59 11:56:01 How epia sshd[46463]: Invalid user oracle from 202.155.124.130 and epia sshd[46465]: Invalid user library from 202.155.124.130 epia sshd[46467]: Invalid user info from 202.155.124.130 Hvordan Mar 21 11:56:04 epia sshd[46469]: Invalid user shell from 202.155.124.130 og ikke minst Mar 21 11:56:08 epia sshd[46471]: Invalid user linux from 202.155.124.130 Mar Mar Mar 21 21 21 11:56:11 11:56:14 11:56:23 and Why? epia sshd[46473]: Invalid user unix from 202.155.124.130 epia sshd[46475]: Invalid user webadmin from 202.155.124.130 epia sshd[46478]: Invalid user ftp from 202.155.124.130 Hvorfor? 5
Fra data til handling … Mar 21 11:55:44 minserver sshd[46454]: Invalid user test from 202.155.124.130 Tegn Data Informasjon Kunnskap Handling “Information is data endowed with relevance and purpose.” – Peter Drucker 6
… som i praksis blir: 1. Tegn Mar 21 11:55:44 minserver sshd[46454]: Invalid user test from 202.155.124.130 2. Data token token token token token token token token token token 3. Informasjon måned dag tid node opphav ssh-hendelse med hva/hvem/hvorfra Den 21. mars 11:55:44 forsøkte noen fra IP-adressen 202.155.124.130 4. Kunnskap å logge på minserver med brukernavn test 1. Hvem er 202.155.124.130? 2. Har noen bak den adressen legitimt behov for å logge på minserver? 5. Handling 3. Er test en lovlig bruker på minserver? 4. Prøver noen å bryte seg inn på minserver? 5. Hvorfor får 202.155.124.130 i det hele tatt snakke med minserver? 7
Hva trenger vi? Tema i NISTs Guide to Computer Security Log Management (800-92): 8
Hovedingredienser • Hva er forretningsmessig drivkraft? • Hvem er ansvarlig for regimet? • Hvilke faginstanser må involveres? • Hvem er interessentene? • Hvem er konsumentene? Organisasjon • Deployment • Forvaltning og operasjon • Analyse (løpende/ad hoc) Teknologi Prosess • • Hendelseshåndtering Eskaleringsveier • Bevissikring • Loggkilder • Logghåndteringsløsning • Lagring- og arkivering • Systemintegrasjon • Rapportering 9
Faser i logghåndteringen •Identifisere kilder •Innsamling •Rapportering •Forvaltning og drift •Slå på logging •Transportere •Berikelse •Kompetanse •Konfigurere kilder •Vaske og Normalisere •Prioritering •Kobling mot prosess •Tidssynkronisering •Indeksere •Korrellering •Workflow & ticketing •Sporbarhet •Konsolidere •Gruppering •Hendelseshåndtering •Lagre og Sikre •Alarmering •Tilpasninger & integrasjon Loggkilder Prosessere Analysere Operasjon Vanskelighetsgrad 10
Hva bør logges? 2700x PCI DSS BSI Guidelines for logging procedures Standard of Good Practice •userIDs •start/stop times for key • System generation and •User identification •dates, times and details of systems and processes modification of system •Type of event key events, eg. logon and •successful sign-on by parameters •Date and time logoff authorized users and failed •Configuration of users •Success or failure indication •terminal identity or location if sign-on attempts •Preparing rights profiles •Origination of event possible •error and exception •Implementation of data •Identify or name of affected •records of successful and conditions backup measures data, system component or rejected system access •access or changes to files or •Use of administration tools resource attempts programs •Attempts at unauthorized •records of successful and •access to privileged login and transgressions of rejected data and other capabilities rights resource access attempts •Input of data •changes to system •Data transfer configuration •Use of automatic retrieval •use of privileges procedures •use of system utilities and •Deletion of data applications •Invocation of programs •files accessed and the kind of access •network addresses and protocols •alarms raised by the access contriol system •activation and deactivation of protection systems, such as antivirus systems and intrusion detection systems Standard sikkerhetslogger fra de vanligste plattformene gir oss bare dette i begrenset grad, og vi må enten tilpasse loggingen, supplere eller resignere. 11
Identifisering av loggkilder • Windows Eventlog Windows Brukers PC domenekontroller • Unix syslog • Webserverlogg • Audit-trail • Applikasjonslogg • Auditlogg • Brannvegg (trafikk + audit) Unix- Oracle • Windows Eventlog • Web- og e-mailgatewayer server • Browserhistorikk • DHCP- og DNS-logg • VPN-logg • Netflows • VPN-autentiseringslogg • Logg fra ACF/2 eller RACF 15+ distinkte kilder for • Hendelser fra SMF • Transaksjonslogg (forretning) selv et forenklet scenario Mainframe 12
Loggkategorier • Brannvegger, proxyer, routere og switcher Nettverk • IDS og Netflows • DNS / DHCP / VPN • Systemnære logger Plattform • Unix syslog, Windows Eventlog, z/OS SMF • Auditlogger • Sikkerhetssystemer (AAA) • Appliksjonsspesifikke logger Applikasjon • Mellomvare • Databaser Forretning •Transaksjonslogger Relativt enkle isolert sett, men hva om noen spør: 1. Hva har bruker XYZ gjort? (top-down) 2. Hva har skjedd i forbindelse med verdikjede ABC? (top-down) 3. Hva har angriper fra IP-adresse a.b.c.d gjort? (bottom-up) 13
Forslag til prioritering Sikkerhets- Internett- Infrastruktur Annet systemer eksponert • DHCP & DNS • ARP-logger • Sec Evtlog fra DCer • Webservere • Brannvegg • Databaselogger • LDAP / RACF / ACF/2 • Plattformer (trafikk & audit) • RSA / Cisco ACS • Applikasjoner • VPN • Antimalware • Netflows • Malware • Gatewayer • Netflows • (Fysisk adgang) 14
Konfigurering 1. Kartlegg hva de ulike loggkildene er i stand til å levere (default og med aktiv konfigurering) 2. Definer en policy for den enkelte type loggkilde/-plattform 3. Gjør en vurdering av belastning og volum policyen vil medføre 15
Vasking av loggdata Microsoft Security Monitoring and Attack Detection Planning Guide  Logger kan inneholde mye ”støy” – Spesielt utunet  Kan redusere loggvolum med 95%+ “Artificial Ignorance.” – Marcus J. Ranum  Kan filtreres på flere steder: – Avleverende node (tweaking eller filter) – Ved sentralt mottak – Før last til database eller lignende – Vasking internt i database  Kan være nødvendig å oppbevare komplette logger ift. bevisføring 16
Unknown Unknowns As we know, there are known knowns. There are things we know we know. We also know there are known unknowns. That is to say we know there are some things we do not know. But there are also unknown unknowns, The ones we don't know we don't know. — Donald Rumsfeld (2002) 17
Resthendelser Apr 15 02:39:15 statd[2468]: attempt to create "/var/statmon/sm/; echo "ingreslock stream tcp nowait root Kjent Kjente /bin/sh sh -i" >>/tmp/bob; ”støy” /usr/sbin/inetd -s /tmp/bob &" positive hendelser Kjente • Hendelse for ca. ti år siden negative hendelser • Sårbarhet i Sun Solaris rpc.statd • Lyttende root-shell på port 1524/tcp • Fullstendig kompromittert maskin • Logginnslaget ville sannsynligvis ikke blitt fanget opp av loggrapportering Resthendelser • (ikke driftet av EDB på dette tidspunktet) 18
Logging != Sporbarhet  Hvert ledd i verdikjeden skal minst kunne spore sine hendelser ett ledd fram og ett ledd tilbake Database Admin  For å kunne sammenstille logger trenger vi en eller flere av følgende: – Korrekt tidsstempling SysB SysA – Identifikatorer: – IP-adresse Internett – brukernavn – kundenummer – transaksjonsidentifikator – eller lignende SysC Telenett  Selv om «korrekt tid» er implementert, bør det kunne dokumenteres at dette faktisk virker i tilfelle rettssak Forsøk på svindel • Rettet angrep mot verdikjede via flere angrepsvektorer  Definér use case-scenarioer og verifiser at disse er dekket av logghåndterings- • Ingen gode identifikatorer på tvers av verdikjedene regimet. • Systemer mer eller mindre ute av tidssync  Sett krav til avleverende systemer • Varierende grad av logging på plass • Mye manuell jobbing for å få fatt i relevante logger 19
Sikring av loggdata  Rask «evakuering» av logg  Sikring av loggplattformen – Batch versus nær sanntid – Klassifiser logghåndterings-løsningen – Kan ikke stole på logg fra kompromitterte maskiner på nivå med høyest klassifiserte avleverende system  Sikker transport – Om kunnskap er makt, hva er flere – Signering terabyte med loggdata? – Kryptering – Sikkerhetspatching – UDP versus TCP – Buffering – Herding – Tilgangskontroll  Generering av hasher av loggmateriale med sikker lagring Hva kan så tvil om loggenes integritet?  Retensjon av logger Tips: Tenk som om du var motpartens – Avhengig av behov (helst > 3 mnd) ekspertvitne i en eventuell rettssak! – eller pålagte krav (ofte > 12 mnd) 20
Analyse av logger Not everything that can be counted counts, and not everything that counts can be counted. – Albert Einstein Everything counts (in large amounts). – Depeche Mode Statistics are like bikinis. What they reveal is suggestive, but what they conceal is vital. – Aaron Levenstein 21
Logganalyse: Ønskedrøm  «The machine that goes ping»  Intrusion Detection: «Den eneste sikringsmekanismen du trenger!»  De færreste sikkerhetshendelser trigges av logghendelser som «smoking gun» alene. Mar 21 00:42:40 epia sshd[20318]: Invalid user a from 83.19.222.221 Mar 21 00:44:00 epia /usr/sbin/cron[20342]: (operator) CMD (/usr/libexec/save-entropy) Mar 21 00:45:00 epia /usr/sbin/cron[20362]: (root) CMD (/usr/libexec/atrun) Mar 21 00:42:13 node2.lan ntp: Clock synchronized to network time server time.apple.com Mar 21 00:42:53 Airport-Express.lan Airport-Express 80211: Rotated CCMP group key. Mar 21 00:50:00 epia /usr/sbin/cron[24691]: (root) CMD (/usr/libexec/atrun) Mar 21 00:53:33 MBP.lan mbp /usr/sbin/ocspd[28388]: starting Mar 21 01:00:00 epia /usr/sbin/cron[36977]: (root) CMD (newsyslog) Mar 21 01:00:00 epia /usr/sbin/cron[36978]: (operator) CMD (/usr/libexec/save-entropy) Mar 21 01:00:00 epia /usr/sbin/cron[36979]: (root) CMD (/usr/libexec/atrun) Mar 21 01:01:52 epia sudo: userA : TTY=ttyp0 ; PWD=/usr/local/www/data/wordpress Mar 21 01:01:56 epia sudo: userA : TTY=ttyp0 ; PWD=/usr/local/www/data/wordpress Mar 21 09:56:54 epia sshd[45971]: Did not receive identification string from 93.103.12.217 Mar 21 11:55:21 epia sshd[46447]: Did not receive identification string from 12.155.124.130 Mar 21 11:55:36 epia sshd[46450]: Invalid user fluffy from 202.155.124.130 Mar 21 11:55:40 epia sshd[46452]: Invalid user admin from 202.155.124.130 Mar 21 11:55:44 epia sshd[46454]: Invalid user test from 202.155.124.130 Mar 21 11:55:46 epia sshd[46456]: Invalid user guest from 202.155.124.130 Mar 21 11:55:49 epia sshd[46458]: Invalid user webmaster from 202.155.124.130 Mar 21 11:55:56 epia sshd[46463]: Invalid user oracle from 202.155.124.130 Mar 21 11:55:59 epia sshd[46465]: Invalid user library from 202.155.124.130 Mar 21 11:56:01 epia sshd[46467]: Invalid user info from 202.155.124.130 Mar 21 11:56:04 epia sshd[46469]: Invalid user shell from 202.155.124.130 Mar 21 11:56:08 epia sshd[46471]: Invalid user linux from 202.155.124.130 Mar 21 11:56:11 epia sshd[46473]: Invalid user unix from 202.155.124.130 Mar 21 11:56:14 epia sshd[46475]: Invalid user webadmin from 202.155.124.130 Mar 21 11:56:23 epia sshd[46478]: Invalid user ftp from 202.155.124.130  «Usability» er derfor spesielt viktig 22
Data overflow Ok, dette er en oppsummering… Hvilken boks var nå dette igjen? Whoa! 23
Paralysis by analysis Deteksjon Reaksjon Refleksjon Revisjon Compliance != Security 24 “Check the box and make the compliance issues go away”
TM & © 2008 Entertainment Rights Distribution Limited. All rights reserved. Where’s Waldo 25
Manglende kontekst • Hva betyr EventIDene? • Er dette vellykkede eller mislykkede forsøk? • Er volumene normale? • Hvordan er trendutviklingen? 26
Rapporteringsformer • Hvem har logget på minserver i dag? Enkle • Hvor har brukerA logget på i dag? • Hvilke mislykkede forsøk på sudo-bruk har vi i dag? • Hvor mange malwarehendelser hadde vi siste måned? Aggregerte • Hvor mange pålogginger forekommer om natten? • Hvilke noder initierer kontakt med mer enn 10 noder? • Har det vært en økning i mislykkede pålogginger siste døgn? Trender • Har vi flere eller færre malwarehendelser nå ift. tidligere? • Hvilke nettranger ser vi forholdsmessig flest malwarehendelser i? • Har vi forekomster av samtidig bruk av en brukerident fra flere maskiner? Anomalier • Hvorfor logget sekretæren på 0430? • Hvorfor besøker adm. dir. sin PC plutselig suspekte webservere i Kina? • Sjeldne hendelser, uvanlig trafikkretning 27
Hvordan finne nålen?  Hvordan oppdager vi det  Vi kan i tillegg benytte følgende ekstraordinære blant det for å gi oss bedre overblikk: ordinære? – Filtrering (vasking) og gruppering 1. Informasjonsfusjon hjelper oss til en viss grad – Berikelse av logghendelser med – Prefabrikerte rapporter og støtteinformasjon signaturer hjelper til en viss grad, men: 2. Visualisering  Vanskelig å uttømmende – Øke båndbredde ut mot analytiker spesifiserende hva som er potensielt signifikant 28
Informasjonsfusjon Logghendelse  Tradisjonell korrellering mappet innbyrdes mellom logghendelser vha. IP- 1 stk adresser, brukernavn og lignende  Nyttig, men hva skjer om vi mapper mot >2 teknisk støtteinformasjon fra eksterne kilder? – Brannveggregelsett, DHCP, malware-hendelser, assetinformasjon, geomapping, brukere, MAC- 1 stk prefix, HR-system, routingtabell, sårbarhetsinfo Støtteinformasjon  Målet er å gi kontekst til hendelsene “Information Fusion is an Information Process dealing with the: [association, correlation, and combination of data and information] from [single and multiple sensors or sources] to achieve [refined estimates of parameters, characteristics, events, and behaviors] for observed entities in an observed field of view." 29
Eksempel #1: Virus SNMP Trap: 2009-09-01 14:23:16 Virus W32.Virut.CF found on host 10.99.1.14 Kilde Supplerende informasjon DHCP-logg 10.99.1.14 ble på tidspunktet (sannsynligvis) benyttet av klient63 DHCP scopedefinisjon 10.99.1.14 er del av 10.99.1.0/24 som er filialen i Mandal Assetregister klient63 er en laptop som disponeres av brukerA (Ole Olsen, Mandal) HR-system eller AD Ole Olsen disponerer telefon med nummer 5551 2345 Security Eventlog fra Viser pålogginger av brukerA i forkant av hendelsen fra 10.99.1.14 domenekontrollerne SNMP Trap-log Viser ingen andre W32.Virut.CF-hendelser i nettet SNMP Trap-log Viser ingen andre malwarehendelser i Mandal Virusleverandører Direkte link til informasjonsside om W32.Virut.CF for vurdering av kritikalitet, informasjon om modus operandi mv. 30
Eksempel #2: DHCP 30,04/04/08 07:12:27 DNS Update Request 1.1.168.192,abc.xyz.lan,, 10,04/04/08 07:12:27 Assign 192.168.1.1,abc.xyz.lan,000D8894E4B3, 32,04/04/08 07:13:51 DNS Update Successful 192.168.1.1,abc.xyz.lan,, 00-0D-88 (hex) D-Link Corporation http://standards.ieee.org/regauth/oui/oui.txt 000D88 (base 16) Hsinchu 30077 TAIWAN, REPUBLIC OF CHINA ”Jeg testet denne muligheten 4. april, og benyttet den for opp- gradering i går 8. april. Samme D- LINK AP2000+ ble benyttet begge ganger, og AP’et var i begge tilfeller konfigurert med WPA-PSK. Var nok operativt totalt ca 1 time ved begge anledninger.” Obs! Husk at en angriper enkelt kan overstyre/klone MAC-addressen Enkel identifisering av VMware-instanser 31
Eksempel #3: Geomapping  Utfordring:  Team Cymru: IP → AS Number – Vi har en loggfil med mange IP- – http://www.team-cymru.org/Services/ip-to-asn.html adresser, og lurer på hvor de hører – Tilgjenglelig via whois, dns, http(s) hjemme. begin verbose – (Fotnote: adnsresfilter for asynkron 68.22.187.5 resolving av IP-adresser i loggfiler.) 207.229.165.18 198.6.1.65 end $ netcat whois.cymru.org 43 < ip.txt > result.txt Bulk mode; whois.cymru.com [2011-03-13 20:31:28 +0000] 23028 | 68.22.187.5 | 68.22.187.0/24 | US | arin | 2002-03-15 | TEAM-CYMRU - Team Cymru Inc. 6079 | 207.229.165.18 | 207.229.128.0/18 | US | arin | 1996-11-01 | RCN-AS - RCN Corporation 701 | 198.6.1.65 | 198.6.0.0/16 | US | arin | 1992-11-10 | UUNET - MCI Communications Services ASN IP-adresse Nettrange Land RIR Registrert AS-navn 32
OODA-loopen Hva skjer? Utføre tiltak Hva betyr det? Må vi iverk- sette tiltak? 33 Kilde: John Boyd, USAF
Refleksjon Årsak Hendelse Konsekvens Argyris & Schön: Organizational learning: A theory of action perspective (1978) "Single-loop" læring "Double-loop" læring  Lett å bare fokusere på hendelse→konsekvens og ikke årsak  Vi kan få ut mye mer verdi ved å også se på årsaksforholdene 34 Detect the expected ― Discover the unexpected
Brukeradministrasjon 2007-01-02 12:11:49 | Security | 624 | t | Account Management | EDB/E9999| EDBYYYADC001 ”Rå” hendelse 1 | User Account Created | {{"New Account Name",XX1597},{"New Domain",EDB},{"New Account fra Windows ID","{S-1-5-21-1617895038-2399380067-405634583-43577}"},{"Caller User Name",E9999},{"Caller Security Eventlog Domain",EDB},{"Caller Logon ID","(0x0,0x28EF5D45)"},{"Privileges - ",""},{Attributes:,""},{"Sam Account Name",XX1597},{"Display Name",“Ole Hansen"},{"User Principal Name",XX1597@edb.local},{"Home Directory",//EDB-Users-Data-Server/EDB- Users005$/XX1597},{"Home Drive",H:},{"Script Path",et},{"Profile Path",-},{"User Workstations",-},{"Password Last Set",<never>},{"Account Expires",<never>},{"Primary Group ID",513},{AllowedToDelegateTo,-},{"Old UAC Value",0x0},{"New UAC Value",0x15},{"User Account Control",""},{"Account Disabled",""},{"Password Not Required - Enabled",""},{"Normal Account - Enabled",""},{"User Parameters",-},{"Sid History",-},{"Logon Hours","<value changed, but not displayed>"}} time | account | creator | department Mappet mot avdeling 2 --------------------+---------------------+--------------------+----------------- til utførende konto 2007-01-04 11:21:40 | XX1597 (Ole Hansen) | E9999 (Kjell Olsen)| Operativ sikkerhet 3 Generering av rapport som viser brukeradministrative hendelser per avdeling. Kan fullautomatiseres ved hjelp av uttrekk fra HR-system. 1. At en bruker blir opprettet er normalt 2. At brukeren som oppretter kommer fra en avdeling som har dette som oppgave er normalt 3. At en bruker utenfor disse avdelingene oppretter en bruker er et potensielt policybrudd 35
Visualisering 36 A picture is worth a thousand packets. – Greg Conti
A periodic table of visualization methods Used by permission 37
Heatmap: Pålogginger Hver celle gir drill-down-muligheter 38
Serverbelastning • Visualisering lar oss dramatisk øke båndbredden ut mot analytiker • Heatmapet viser 400+ datapunkter, og sparklines over 8500 datapunkter • Ved et øyekast kan vi gjøre oss opp en kvalifisert mening om belastningen på aktuell server, og også fange opp naturlige variasjoner (helger osv). We’re rapidly entering a world where everything can be monitored and measured, but the big problem is going to be the ability of humans to use, analyze and make sense of the data. – Erik Brynjolfsson, MIT 39
Dataflyt mellom noder “The simple fact that Alice telephones a known terrorist every week is more important than the details of their conversation.” – Bruce Schneier, Secrets & Lies 40
Trafikkovervåkning  Brannvegger og NIDS er fint, men tradisjonelt perimeterorienterte: Policy Enforcement Points ? Perimeter  Hva skjer i de interne nettene?  Hvem snakker med hvem, og hvorfor? 41
Netflow  De facto standard for nettverkstrafikkanalyse – Genereres av nettverks-komponenter (switcher og routere) – Potensielt mange overvåkningspunkter allerede på plass; må bare konfigureres.  Består av minimum følgende: – Tidsstempel – Source and destination IP address – Source and destination port, type/code for ICMP Metainformasjon om trafikken → Aggregert og kompakt – Antall bytes og pakker – IP-protokoll  Implementering: – Assortert antall kommersielle verktøy tilgjengelig – Fritt tilgjengelige verktøy: argus og nfdump (blant mange andre) – Se proceedings på http://www.cert.org/flocon/ for inspirasjon 42
Implementering  Veldig lett å ta utgangspunkt i:  Hvorfor skal vi logge? – Windows Security Eventlog – Unix syslog  Hva trenger vi å logge? – Brannvegglogger  Hva kan vi logge?  Dvs. bare fokusere på det tekniske  Når har vi bruk for loggene?  Hvor lenge trenger vi logger for?  Ta heller et steg tilbake  Hvem skal vi logge?  Hvem trenger loggene?  Implementering i tre steg: 1. Forberedende  Hva har vi lov til å logge? 2. Valg og utforming av løsning 3. Implementering og operasjonalisering  Hvor skal vi logge?  Fortrinnsvis utført i flere iterasjoner  Hvordan skal vi logge? 43
Implementering: Steg 1 Identifiser Identifiser Identifiser Løpende Hendelser aktuelle interne og interessenter Etterforskning scenarier eksterne krav Clipart fra Todd Zazelenchuk & Elizabeth Boling Lag kravspesifikasjon 44
Implementering: Steg 2 Kjør RFP- Identifiser Identifiser Prioriter kravspek; kilder for roller mapp mot kilder prosess berikelse Lag prosjektplan 45
Implementering: Steg 3 Implementer Etabler Etabler Gjennomfør prosjektplan dashboard rapporter øvelser Tilpasning og forbedring 46 Operasjonaliser
Implementeringstips Pragmatisme Effekt • Identifiser interessenter • Ta høyde for endret målbilde • Sikre eierskap • Korte iterasjoner (forretningsmessig, løsning, • Paretos 80/20-regel • Logghåndtering er ikke avleverende miljø, brukere) • Hyppige releaser • Ikke gap over alt på én gang • Ikke mal inn i et hjørne målet • Involver disse underveis • Det finnes ikke dårlige produkter, • Få opp rapporter som gir • Logghåndtering må integreres bare dårlige anskaffelsesprosesser effekt • Tenk løsninger i samspill fremfor • Scenariebasert planlegging one-size-fits all Forankring Smidighet “A good plan violently executed today is better than a perfect plan next week.” - General George Patton 47
Antipatterns •Hoppe over initiell behovsanalyse og tydelig forretningsbehov •Ikke utpeke tjenesteansvarlig Forankring •Ikke ha oversikt over kostnadsbildet •Å la compliance være den primære driveren for løsningen •Vi har et Problem™, la oss kjøpe et Produkt™! Produkt •Forventninger om en ”maskin som sier ping!” ved hendelser •Urealistiske forventninger til hva en logghåndteringsløsning alene kan gi •Ikke gjennomføre reell pilot Innfasing •Ikke gjennomføre tilstrekkelig testing av nødvendig systemintegrasjon •Ikke allokere tilstrekkelig ressurser til implementering og løpende drift •Ikke identifisere tilgjengelige loggkilder •Ikke definere use cases for logganvendelse Anvendelse •Bli for fokusert på hendelse → konsekvens, og dropper årsak •Slavisk rapportering; ingen trening på bruk av logginformasjonen 48
Hyllevare ↔ Hjemmesnekret Support Modenhet Utvidbarhet Kostnad Referanser Kompetanse Fleksibilitet Mye gaffatape.. Rettede Funksjonalitet Kostnad Kompetanse rapporter Person- Skalerbarhet Generiske Smidighet avhengig Hyllevare Hjemmesnekret 49
Et praktisk eksempel Jun 5 12:55:44.359: %SEC-6-IPACCESSLOGP: list logacl permitted tcp 192.168.16.1(38402) -> 192.168.16.2(135), 1 packet • Ormehendelse i 2003: • Hvordan identifisere infiserte noder? • Etablerte ACLer på routere • Logging via syslog mot Unix-node Liste • Script aggregerte hendelsene i ~sanntid • Vasking av legitime noder • Varsling via SMS over • Netflow kunne også blitt benyttet hostnavn og Under 50 linjer Perl IP-adresser (grønt tall = node sjekket ut) 50
The Gartner Magic Quadrant for Security Information and Event Management (SIEM): 2006-2009 Leverandører: • CA • Cisco • IBM • Novell • RSA / EMC • Symantec • ArcSight • Consul (kjøpt av IBM 2006-12) • eIQnetworks (etablert 2001) • ExaProtect (kjøpt av LogLogic 2009) • High Tower (nedlagt 2008) • Intellitactics • LogLogic (etablert 2002) • LogRhytm (etablert 2003) • netForensics (etablert 1999) • Network Intelligence (kjøpt av EMC 2006) • NetIQ (etablert ~1995) • NitroSecurity (etablert 1999) • OpenService (etablert ~2002) • Prism Microsystems (etablert 1999) • Q1 Labs (etablert 2001) • Quest Software (etablert 1987) • SenSage (etablert 2000) • Tenable Network Security (etablert 2002) • TriGeo (etablert 2001) 53 Used by kind permission of
Oppsummering • Det er en utfordring å få nyttiggjort logger, men har vi råd til å la være? • Ikke la compliancekrav alene være driver • Ved å studere våre systemer nærmere i fredstid står vi bedre rustet til å håndtere hendelser • Loggene kan få mye større verdi med berikelse (kontekst og informasjonsfusjon) • Visualisering er morsomt! Og iblant også nyttig… • Og aller viktigst: Vær nysgjerrig! 54
Spørsmål?  En del brutale generaliseringer og grove overforenklinger er begått.  Momenter som bevisst er utelatt: – Juridiske aspekter ved overvåkning – Log↔LMI↔ SEM↔SIM↔SIEM – Plattformspesifikke forhold – Spesifikke kommersielle løsninger “Some problems are so complex that you have to be highly intelligent and well oddbjorn.steffensen@edb.com informed just to be undecided about them. – Laurence Peter oddbjorn@tricknology.org 55
Noen relevante ressurser  Bøker og publikasjoner  Websteder – Audit and Trace Log Management, Phillip Maier – http://www.loganalysis.org/ – Security Log Management, Jacob Babbin – http://www.rumint.org/gregconti/ – ISF: Security/Event Working Group Final Report – http://www.raffy.ch/ – NIST 800-92: Guide to Computer Security Log – http://secviz.org/ Management – http://www.securityforum.org/  Konferanser – http://www.securitymetrics.org/ – Usenix Workshop on the Analysis of System Logs – http://www.isif.org/ – SANS WhatWorks Log Management & Analysis – http://www.graphviz.org/ – CERT FloCon – http://www.visual-literacy.org/ – http://www.edwardtufte.com/  SANS Top 5 Log Reports: – http://www.cert.org/flocon/ 1. Attempts to Gain Access through Existing Accounts – http://tools.netsa.cert.org/ 2. Failed File or Resource Access Attempts – http://www.caida.org/ 3. Unauthorized Changes to Users,Groups and Services – http://cee.mitre.org/ 4. Systems Most Vulnerable to Attack – http://zeltser.com/log-management/security-incident-log- 5. Suspicious or Unauthorized Network Traffic Patterns review-checklist.html 57

Recomendados

Downloading Scis Into Musac
Downloading Scis Into MusacDownloading Scis Into Musac
Downloading Scis Into MusacAlice Heather
 
Star Wars
Star WarsStar Wars
Star Warsbambooflexible
 
Downloading SCIS Records
Downloading SCIS RecordsDownloading SCIS Records
Downloading SCIS RecordsAlice Heather
 
EVRY Håndtering av sikkerhetshendelser DND BITS
EVRY Håndtering av sikkerhetshendelser DND BITSEVRY Håndtering av sikkerhetshendelser DND BITS
EVRY Håndtering av sikkerhetshendelser DND BITSOddbjørn Steffensen
 
Tormentadehielo
TormentadehieloTormentadehielo
Tormentadehielobambooflexible
 
Les meilleures pubs2
Les meilleures pubs2Les meilleures pubs2
Les meilleures pubs2bambooflexible
 
Spectaculary
SpectacularySpectaculary
Spectacularybambooflexible
 
사회적기업가정신
사회적기업가정신사회적기업가정신
사회적기업가정신sonoris
 

Recomendados

Downloading Scis Into Musac
Downloading Scis Into MusacDownloading Scis Into Musac
Downloading Scis Into MusacAlice Heather
 
Star Wars
Star WarsStar Wars
Star Warsbambooflexible
 
Downloading SCIS Records
Downloading SCIS RecordsDownloading SCIS Records
Downloading SCIS RecordsAlice Heather
 
EVRY Håndtering av sikkerhetshendelser DND BITS
EVRY Håndtering av sikkerhetshendelser DND BITSEVRY Håndtering av sikkerhetshendelser DND BITS
EVRY Håndtering av sikkerhetshendelser DND BITSOddbjørn Steffensen
 
Tormentadehielo
TormentadehieloTormentadehielo
Tormentadehielobambooflexible
 
Les meilleures pubs2
Les meilleures pubs2Les meilleures pubs2
Les meilleures pubs2bambooflexible
 
Spectaculary
SpectacularySpectaculary
Spectacularybambooflexible
 
사회적기업가정신
사회적기업가정신사회적기업가정신
사회적기업가정신sonoris
 
Tjenestenektangrep DND
Tjenestenektangrep DNDTjenestenektangrep DND
Tjenestenektangrep DNDOddbjørn Steffensen
 
Adobe Lightroom i et nøtteskall
Adobe Lightroom i et nøtteskallAdobe Lightroom i et nøtteskall
Adobe Lightroom i et nøtteskallOddbjørn Steffensen
 
Risiko i en virtualisert infrastruktur
Risiko i en virtualisert infrastrukturRisiko i en virtualisert infrastruktur
Risiko i en virtualisert infrastrukturOddbjørn Steffensen
 
Praktisk bruk og oppfølgning av logger
Praktisk bruk og oppfølgning av loggerPraktisk bruk og oppfølgning av logger
Praktisk bruk og oppfølgning av loggerOddbjørn Steffensen
 
Bli kjent med FreeBSD!
Bli kjent med FreeBSD!Bli kjent med FreeBSD!
Bli kjent med FreeBSD!Oddbjørn Steffensen
 
Bli kjent med PostgreSQL!
Bli kjent med PostgreSQL!Bli kjent med PostgreSQL!
Bli kjent med PostgreSQL!Oddbjørn Steffensen
 
Get to know PostgreSQL!
Get to know PostgreSQL!Get to know PostgreSQL!
Get to know PostgreSQL!Oddbjørn Steffensen
 

Más contenido relacionado

Más de Oddbjørn Steffensen

Risiko i en virtualisert infrastruktur
Risiko i en virtualisert infrastrukturRisiko i en virtualisert infrastruktur
Risiko i en virtualisert infrastrukturOddbjørn Steffensen
 
Praktisk bruk og oppfølgning av logger
Praktisk bruk og oppfølgning av loggerPraktisk bruk og oppfølgning av logger
Praktisk bruk og oppfølgning av loggerOddbjørn Steffensen
 

Más de Oddbjørn Steffensen (7)

Tjenestenektangrep DND
Tjenestenektangrep DNDTjenestenektangrep DND
Tjenestenektangrep DND
 
Adobe Lightroom i et nøtteskall
Adobe Lightroom i et nøtteskallAdobe Lightroom i et nøtteskall
Adobe Lightroom i et nøtteskall
 
Risiko i en virtualisert infrastruktur
Risiko i en virtualisert infrastrukturRisiko i en virtualisert infrastruktur
Risiko i en virtualisert infrastruktur
 
Praktisk bruk og oppfølgning av logger
Praktisk bruk og oppfølgning av loggerPraktisk bruk og oppfølgning av logger
Praktisk bruk og oppfølgning av logger
 
Bli kjent med FreeBSD!
Bli kjent med FreeBSD!Bli kjent med FreeBSD!
Bli kjent med FreeBSD!
 
Bli kjent med PostgreSQL!
Bli kjent med PostgreSQL!Bli kjent med PostgreSQL!
Bli kjent med PostgreSQL!
 
Get to know PostgreSQL!
Get to know PostgreSQL!Get to know PostgreSQL!
Get to know PostgreSQL!
 

Anvendt logghåndtering 2.0

  • 2. Historisk perspektiv  Unix: find /var/log -mtime +7d -type f –exec rm {} ;  Windows: “Logfiles: The Data Center’s Equivalent of Compost. Let’em Rot.” – Marcus J. Ranum 3
  • 3. Motivasjon Gi oss ”situational awareness” Datagrunnlag ifb. hendelseshåndtering Trendanalyse & baselining Fastslå årsakssammenhenger Oppdage policybrudd Bevissikring / forensics Deteksjon Reaksjon Revisjon og Refleksjon Etterlevelse compliance av interne og Hva skjer i systemene våre? eksterne krav (fex 2700n, PCI DSS, SOx mfl.) Logger vi det vi burde logge? Hva er normalt og abnormalt? Loggene som infrastrukturtelemetri Fungerer sikringsmekanismene som forventet? 4
  • 4. Fra logg til forståelse Mar 21 00:42:40 epia sshd[20318]: Invalid user a from 83.19.222.221 Mar Mar Mar 21 21 21 00:44:00 00:45:00 00:42:13 Who epia /usr/sbin/cron[20342]: (operator) CMD (/usr/libexec/save-entropy) epia /usr/sbin/cron[20362]: (root) CMD (/usr/libexec/atrun) node2.lan ntp: Clock synchronized to network time server time.apple.com Hvem gjorde Mar 21 00:42:53 Airport-Express.lan Airport-Express 80211: Rotated CCMP group key. Mar Mar Mar Mar 21 21 21 21 00:50:00 00:53:33 01:00:00 01:00:00 What, epia /usr/sbin/cron[24691]: (root) CMD (/usr/libexec/atrun) did MBP.lan mbp /usr/sbin/ocspd[28388]: starting epia /usr/sbin/cron[36977]: (root) CMD (newsyslog) epia /usr/sbin/cron[36978]: (operator) CMD (/usr/libexec/save-entropy) Hva, Mar 21 01:00:00 epia /usr/sbin/cron[36979]: (root) CMD (/usr/libexec/atrun) Mar Mar Mar 21 21 21 01:01:52 01:01:56 09:56:54 When, epia sudo: userA : TTY=ttyp0 ; PWD=/usr/local/www/data/wordpress epia sudo: userA : TTY=ttyp0 ; PWD=/usr/local/www/data/wordpress epia sshd[45971]: Did not receive identification string from 93.103.12.217 Hvor, Mar 21 11:55:21 epia sshd[46447]: Did not receive identification string from 12.155.124.130 Mar 21 11:55:36 epia sshd[46450]: Invalid user fluffy from 202.155.124.130 Mar Mar Mar 21 21 21 11:55:40 11:55:44 11:55:46 Where epia sshd[46452]: Invalid user admin from 202.155.124.130 epia sshd[46454]: Invalid user test from 202.155.124.130 epia sshd[46456]: Invalid user guest from 202.155.124.130 Hvortid, Mar 21 11:55:49 epia sshd[46458]: Invalid user webmaster from 202.155.124.130 Mar Mar Mar 21 21 21 11:55:56 11:55:59 11:56:01 How epia sshd[46463]: Invalid user oracle from 202.155.124.130 and epia sshd[46465]: Invalid user library from 202.155.124.130 epia sshd[46467]: Invalid user info from 202.155.124.130 Hvordan Mar 21 11:56:04 epia sshd[46469]: Invalid user shell from 202.155.124.130 og ikke minst Mar 21 11:56:08 epia sshd[46471]: Invalid user linux from 202.155.124.130 Mar Mar Mar 21 21 21 11:56:11 11:56:14 11:56:23 and Why? epia sshd[46473]: Invalid user unix from 202.155.124.130 epia sshd[46475]: Invalid user webadmin from 202.155.124.130 epia sshd[46478]: Invalid user ftp from 202.155.124.130 Hvorfor? 5
  • 5. Fra data til handling … Mar 21 11:55:44 minserver sshd[46454]: Invalid user test from 202.155.124.130 Tegn Data Informasjon Kunnskap Handling “Information is data endowed with relevance and purpose.” – Peter Drucker 6
  • 6. … som i praksis blir: 1. Tegn Mar 21 11:55:44 minserver sshd[46454]: Invalid user test from 202.155.124.130 2. Data token token token token token token token token token token 3. Informasjon måned dag tid node opphav ssh-hendelse med hva/hvem/hvorfra Den 21. mars 11:55:44 forsøkte noen fra IP-adressen 202.155.124.130 4. Kunnskap å logge på minserver med brukernavn test 1. Hvem er 202.155.124.130? 2. Har noen bak den adressen legitimt behov for å logge på minserver? 5. Handling 3. Er test en lovlig bruker på minserver? 4. Prøver noen å bryte seg inn på minserver? 5. Hvorfor får 202.155.124.130 i det hele tatt snakke med minserver? 7
  • 7. Hva trenger vi? Tema i NISTs Guide to Computer Security Log Management (800-92): 8
  • 8. Hovedingredienser • Hva er forretningsmessig drivkraft? • Hvem er ansvarlig for regimet? • Hvilke faginstanser må involveres? • Hvem er interessentene? • Hvem er konsumentene? Organisasjon • Deployment • Forvaltning og operasjon • Analyse (løpende/ad hoc) Teknologi Prosess • • Hendelseshåndtering Eskaleringsveier • Bevissikring • Loggkilder • Logghåndteringsløsning • Lagring- og arkivering • Systemintegrasjon • Rapportering 9
  • 9. Faser i logghåndteringen •Identifisere kilder •Innsamling •Rapportering •Forvaltning og drift •Slå på logging •Transportere •Berikelse •Kompetanse •Konfigurere kilder •Vaske og Normalisere •Prioritering •Kobling mot prosess •Tidssynkronisering •Indeksere •Korrellering •Workflow & ticketing •Sporbarhet •Konsolidere •Gruppering •Hendelseshåndtering •Lagre og Sikre •Alarmering •Tilpasninger & integrasjon Loggkilder Prosessere Analysere Operasjon Vanskelighetsgrad 10
  • 10. Hva bør logges? 2700x PCI DSS BSI Guidelines for logging procedures Standard of Good Practice •userIDs •start/stop times for key • System generation and •User identification •dates, times and details of systems and processes modification of system •Type of event key events, eg. logon and •successful sign-on by parameters •Date and time logoff authorized users and failed •Configuration of users •Success or failure indication •terminal identity or location if sign-on attempts •Preparing rights profiles •Origination of event possible •error and exception •Implementation of data •Identify or name of affected •records of successful and conditions backup measures data, system component or rejected system access •access or changes to files or •Use of administration tools resource attempts programs •Attempts at unauthorized •records of successful and •access to privileged login and transgressions of rejected data and other capabilities rights resource access attempts •Input of data •changes to system •Data transfer configuration •Use of automatic retrieval •use of privileges procedures •use of system utilities and •Deletion of data applications •Invocation of programs •files accessed and the kind of access •network addresses and protocols •alarms raised by the access contriol system •activation and deactivation of protection systems, such as antivirus systems and intrusion detection systems Standard sikkerhetslogger fra de vanligste plattformene gir oss bare dette i begrenset grad, og vi må enten tilpasse loggingen, supplere eller resignere. 11
  • 11. Identifisering av loggkilder • Windows Eventlog Windows Brukers PC domenekontroller • Unix syslog • Webserverlogg • Audit-trail • Applikasjonslogg • Auditlogg • Brannvegg (trafikk + audit) Unix- Oracle • Windows Eventlog • Web- og e-mailgatewayer server • Browserhistorikk • DHCP- og DNS-logg • VPN-logg • Netflows • VPN-autentiseringslogg • Logg fra ACF/2 eller RACF 15+ distinkte kilder for • Hendelser fra SMF • Transaksjonslogg (forretning) selv et forenklet scenario Mainframe 12
  • 12. Loggkategorier • Brannvegger, proxyer, routere og switcher Nettverk • IDS og Netflows • DNS / DHCP / VPN • Systemnære logger Plattform • Unix syslog, Windows Eventlog, z/OS SMF • Auditlogger • Sikkerhetssystemer (AAA) • Appliksjonsspesifikke logger Applikasjon • Mellomvare • Databaser Forretning •Transaksjonslogger Relativt enkle isolert sett, men hva om noen spør: 1. Hva har bruker XYZ gjort? (top-down) 2. Hva har skjedd i forbindelse med verdikjede ABC? (top-down) 3. Hva har angriper fra IP-adresse a.b.c.d gjort? (bottom-up) 13
  • 13. Forslag til prioritering Sikkerhets- Internett- Infrastruktur Annet systemer eksponert • DHCP & DNS • ARP-logger • Sec Evtlog fra DCer • Webservere • Brannvegg • Databaselogger • LDAP / RACF / ACF/2 • Plattformer (trafikk & audit) • RSA / Cisco ACS • Applikasjoner • VPN • Antimalware • Netflows • Malware • Gatewayer • Netflows • (Fysisk adgang) 14
  • 14. Konfigurering 1. Kartlegg hva de ulike loggkildene er i stand til å levere (default og med aktiv konfigurering) 2. Definer en policy for den enkelte type loggkilde/-plattform 3. Gjør en vurdering av belastning og volum policyen vil medføre 15
  • 15. Vasking av loggdata Microsoft Security Monitoring and Attack Detection Planning Guide  Logger kan inneholde mye ”støy” – Spesielt utunet  Kan redusere loggvolum med 95%+ “Artificial Ignorance.” – Marcus J. Ranum  Kan filtreres på flere steder: – Avleverende node (tweaking eller filter) – Ved sentralt mottak – Før last til database eller lignende – Vasking internt i database  Kan være nødvendig å oppbevare komplette logger ift. bevisføring 16
  • 16. Unknown Unknowns As we know, there are known knowns. There are things we know we know. We also know there are known unknowns. That is to say we know there are some things we do not know. But there are also unknown unknowns, The ones we don't know we don't know. — Donald Rumsfeld (2002) 17
  • 17. Resthendelser Apr 15 02:39:15 statd[2468]: attempt to create "/var/statmon/sm/; echo "ingreslock stream tcp nowait root Kjent Kjente /bin/sh sh -i" >>/tmp/bob; ”støy” /usr/sbin/inetd -s /tmp/bob &" positive hendelser Kjente • Hendelse for ca. ti år siden negative hendelser • Sårbarhet i Sun Solaris rpc.statd • Lyttende root-shell på port 1524/tcp • Fullstendig kompromittert maskin • Logginnslaget ville sannsynligvis ikke blitt fanget opp av loggrapportering Resthendelser • (ikke driftet av EDB på dette tidspunktet) 18
  • 18. Logging != Sporbarhet  Hvert ledd i verdikjeden skal minst kunne spore sine hendelser ett ledd fram og ett ledd tilbake Database Admin  For å kunne sammenstille logger trenger vi en eller flere av følgende: – Korrekt tidsstempling SysB SysA – Identifikatorer: – IP-adresse Internett – brukernavn – kundenummer – transaksjonsidentifikator – eller lignende SysC Telenett  Selv om «korrekt tid» er implementert, bør det kunne dokumenteres at dette faktisk virker i tilfelle rettssak Forsøk på svindel • Rettet angrep mot verdikjede via flere angrepsvektorer  Definér use case-scenarioer og verifiser at disse er dekket av logghåndterings- • Ingen gode identifikatorer på tvers av verdikjedene regimet. • Systemer mer eller mindre ute av tidssync  Sett krav til avleverende systemer • Varierende grad av logging på plass • Mye manuell jobbing for å få fatt i relevante logger 19
  • 19. Sikring av loggdata  Rask «evakuering» av logg  Sikring av loggplattformen – Batch versus nær sanntid – Klassifiser logghåndterings-løsningen – Kan ikke stole på logg fra kompromitterte maskiner på nivå med høyest klassifiserte avleverende system  Sikker transport – Om kunnskap er makt, hva er flere – Signering terabyte med loggdata? – Kryptering – Sikkerhetspatching – UDP versus TCP – Buffering – Herding – Tilgangskontroll  Generering av hasher av loggmateriale med sikker lagring Hva kan så tvil om loggenes integritet?  Retensjon av logger Tips: Tenk som om du var motpartens – Avhengig av behov (helst > 3 mnd) ekspertvitne i en eventuell rettssak! – eller pålagte krav (ofte > 12 mnd) 20
  • 20. Analyse av logger Not everything that can be counted counts, and not everything that counts can be counted. – Albert Einstein Everything counts (in large amounts). – Depeche Mode Statistics are like bikinis. What they reveal is suggestive, but what they conceal is vital. – Aaron Levenstein 21
  • 21. Logganalyse: Ønskedrøm  «The machine that goes ping»  Intrusion Detection: «Den eneste sikringsmekanismen du trenger!»  De færreste sikkerhetshendelser trigges av logghendelser som «smoking gun» alene. Mar 21 00:42:40 epia sshd[20318]: Invalid user a from 83.19.222.221 Mar 21 00:44:00 epia /usr/sbin/cron[20342]: (operator) CMD (/usr/libexec/save-entropy) Mar 21 00:45:00 epia /usr/sbin/cron[20362]: (root) CMD (/usr/libexec/atrun) Mar 21 00:42:13 node2.lan ntp: Clock synchronized to network time server time.apple.com Mar 21 00:42:53 Airport-Express.lan Airport-Express 80211: Rotated CCMP group key. Mar 21 00:50:00 epia /usr/sbin/cron[24691]: (root) CMD (/usr/libexec/atrun) Mar 21 00:53:33 MBP.lan mbp /usr/sbin/ocspd[28388]: starting Mar 21 01:00:00 epia /usr/sbin/cron[36977]: (root) CMD (newsyslog) Mar 21 01:00:00 epia /usr/sbin/cron[36978]: (operator) CMD (/usr/libexec/save-entropy) Mar 21 01:00:00 epia /usr/sbin/cron[36979]: (root) CMD (/usr/libexec/atrun) Mar 21 01:01:52 epia sudo: userA : TTY=ttyp0 ; PWD=/usr/local/www/data/wordpress Mar 21 01:01:56 epia sudo: userA : TTY=ttyp0 ; PWD=/usr/local/www/data/wordpress Mar 21 09:56:54 epia sshd[45971]: Did not receive identification string from 93.103.12.217 Mar 21 11:55:21 epia sshd[46447]: Did not receive identification string from 12.155.124.130 Mar 21 11:55:36 epia sshd[46450]: Invalid user fluffy from 202.155.124.130 Mar 21 11:55:40 epia sshd[46452]: Invalid user admin from 202.155.124.130 Mar 21 11:55:44 epia sshd[46454]: Invalid user test from 202.155.124.130 Mar 21 11:55:46 epia sshd[46456]: Invalid user guest from 202.155.124.130 Mar 21 11:55:49 epia sshd[46458]: Invalid user webmaster from 202.155.124.130 Mar 21 11:55:56 epia sshd[46463]: Invalid user oracle from 202.155.124.130 Mar 21 11:55:59 epia sshd[46465]: Invalid user library from 202.155.124.130 Mar 21 11:56:01 epia sshd[46467]: Invalid user info from 202.155.124.130 Mar 21 11:56:04 epia sshd[46469]: Invalid user shell from 202.155.124.130 Mar 21 11:56:08 epia sshd[46471]: Invalid user linux from 202.155.124.130 Mar 21 11:56:11 epia sshd[46473]: Invalid user unix from 202.155.124.130 Mar 21 11:56:14 epia sshd[46475]: Invalid user webadmin from 202.155.124.130 Mar 21 11:56:23 epia sshd[46478]: Invalid user ftp from 202.155.124.130  «Usability» er derfor spesielt viktig 22
  • 22. Data overflow Ok, dette er en oppsummering… Hvilken boks var nå dette igjen? Whoa! 23
  • 23. Paralysis by analysis Deteksjon Reaksjon Refleksjon Revisjon Compliance != Security 24 “Check the box and make the compliance issues go away”
  • 24. TM & © 2008 Entertainment Rights Distribution Limited. All rights reserved. Where’s Waldo 25
  • 25. Manglende kontekst • Hva betyr EventIDene? • Er dette vellykkede eller mislykkede forsøk? • Er volumene normale? • Hvordan er trendutviklingen? 26
  • 26. Rapporteringsformer • Hvem har logget på minserver i dag? Enkle • Hvor har brukerA logget på i dag? • Hvilke mislykkede forsøk på sudo-bruk har vi i dag? • Hvor mange malwarehendelser hadde vi siste måned? Aggregerte • Hvor mange pålogginger forekommer om natten? • Hvilke noder initierer kontakt med mer enn 10 noder? • Har det vært en økning i mislykkede pålogginger siste døgn? Trender • Har vi flere eller færre malwarehendelser nå ift. tidligere? • Hvilke nettranger ser vi forholdsmessig flest malwarehendelser i? • Har vi forekomster av samtidig bruk av en brukerident fra flere maskiner? Anomalier • Hvorfor logget sekretæren på 0430? • Hvorfor besøker adm. dir. sin PC plutselig suspekte webservere i Kina? • Sjeldne hendelser, uvanlig trafikkretning 27
  • 27. Hvordan finne nålen?  Hvordan oppdager vi det  Vi kan i tillegg benytte følgende ekstraordinære blant det for å gi oss bedre overblikk: ordinære? – Filtrering (vasking) og gruppering 1. Informasjonsfusjon hjelper oss til en viss grad – Berikelse av logghendelser med – Prefabrikerte rapporter og støtteinformasjon signaturer hjelper til en viss grad, men: 2. Visualisering  Vanskelig å uttømmende – Øke båndbredde ut mot analytiker spesifiserende hva som er potensielt signifikant 28
  • 28. Informasjonsfusjon Logghendelse  Tradisjonell korrellering mappet innbyrdes mellom logghendelser vha. IP- 1 stk adresser, brukernavn og lignende  Nyttig, men hva skjer om vi mapper mot >2 teknisk støtteinformasjon fra eksterne kilder? – Brannveggregelsett, DHCP, malware-hendelser, assetinformasjon, geomapping, brukere, MAC- 1 stk prefix, HR-system, routingtabell, sårbarhetsinfo Støtteinformasjon  Målet er å gi kontekst til hendelsene “Information Fusion is an Information Process dealing with the: [association, correlation, and combination of data and information] from [single and multiple sensors or sources] to achieve [refined estimates of parameters, characteristics, events, and behaviors] for observed entities in an observed field of view." 29
  • 29. Eksempel #1: Virus SNMP Trap: 2009-09-01 14:23:16 Virus W32.Virut.CF found on host 10.99.1.14 Kilde Supplerende informasjon DHCP-logg 10.99.1.14 ble på tidspunktet (sannsynligvis) benyttet av klient63 DHCP scopedefinisjon 10.99.1.14 er del av 10.99.1.0/24 som er filialen i Mandal Assetregister klient63 er en laptop som disponeres av brukerA (Ole Olsen, Mandal) HR-system eller AD Ole Olsen disponerer telefon med nummer 5551 2345 Security Eventlog fra Viser pålogginger av brukerA i forkant av hendelsen fra 10.99.1.14 domenekontrollerne SNMP Trap-log Viser ingen andre W32.Virut.CF-hendelser i nettet SNMP Trap-log Viser ingen andre malwarehendelser i Mandal Virusleverandører Direkte link til informasjonsside om W32.Virut.CF for vurdering av kritikalitet, informasjon om modus operandi mv. 30
  • 30. Eksempel #2: DHCP 30,04/04/08 07:12:27 DNS Update Request 1.1.168.192,abc.xyz.lan,, 10,04/04/08 07:12:27 Assign 192.168.1.1,abc.xyz.lan,000D8894E4B3, 32,04/04/08 07:13:51 DNS Update Successful 192.168.1.1,abc.xyz.lan,, 00-0D-88 (hex) D-Link Corporation http://standards.ieee.org/regauth/oui/oui.txt 000D88 (base 16) Hsinchu 30077 TAIWAN, REPUBLIC OF CHINA ”Jeg testet denne muligheten 4. april, og benyttet den for opp- gradering i går 8. april. Samme D- LINK AP2000+ ble benyttet begge ganger, og AP’et var i begge tilfeller konfigurert med WPA-PSK. Var nok operativt totalt ca 1 time ved begge anledninger.” Obs! Husk at en angriper enkelt kan overstyre/klone MAC-addressen Enkel identifisering av VMware-instanser 31
  • 31. Eksempel #3: Geomapping  Utfordring:  Team Cymru: IP → AS Number – Vi har en loggfil med mange IP- – http://www.team-cymru.org/Services/ip-to-asn.html adresser, og lurer på hvor de hører – Tilgjenglelig via whois, dns, http(s) hjemme. begin verbose – (Fotnote: adnsresfilter for asynkron 68.22.187.5 resolving av IP-adresser i loggfiler.) 207.229.165.18 198.6.1.65 end $ netcat whois.cymru.org 43 < ip.txt > result.txt Bulk mode; whois.cymru.com [2011-03-13 20:31:28 +0000] 23028 | 68.22.187.5 | 68.22.187.0/24 | US | arin | 2002-03-15 | TEAM-CYMRU - Team Cymru Inc. 6079 | 207.229.165.18 | 207.229.128.0/18 | US | arin | 1996-11-01 | RCN-AS - RCN Corporation 701 | 198.6.1.65 | 198.6.0.0/16 | US | arin | 1992-11-10 | UUNET - MCI Communications Services ASN IP-adresse Nettrange Land RIR Registrert AS-navn 32
  • 32. OODA-loopen Hva skjer? Utføre tiltak Hva betyr det? Må vi iverk- sette tiltak? 33 Kilde: John Boyd, USAF
  • 33. Refleksjon Årsak Hendelse Konsekvens Argyris & Schön: Organizational learning: A theory of action perspective (1978) "Single-loop" læring "Double-loop" læring  Lett å bare fokusere på hendelse→konsekvens og ikke årsak  Vi kan få ut mye mer verdi ved å også se på årsaksforholdene 34 Detect the expected ― Discover the unexpected
  • 34. Brukeradministrasjon 2007-01-02 12:11:49 | Security | 624 | t | Account Management | EDB/E9999| EDBYYYADC001 ”Rå” hendelse 1 | User Account Created | {{"New Account Name",XX1597},{"New Domain",EDB},{"New Account fra Windows ID","{S-1-5-21-1617895038-2399380067-405634583-43577}"},{"Caller User Name",E9999},{"Caller Security Eventlog Domain",EDB},{"Caller Logon ID","(0x0,0x28EF5D45)"},{"Privileges - ",""},{Attributes:,""},{"Sam Account Name",XX1597},{"Display Name",“Ole Hansen"},{"User Principal Name",XX1597@edb.local},{"Home Directory",//EDB-Users-Data-Server/EDB- Users005$/XX1597},{"Home Drive",H:},{"Script Path",et},{"Profile Path",-},{"User Workstations",-},{"Password Last Set",<never>},{"Account Expires",<never>},{"Primary Group ID",513},{AllowedToDelegateTo,-},{"Old UAC Value",0x0},{"New UAC Value",0x15},{"User Account Control",""},{"Account Disabled",""},{"Password Not Required - Enabled",""},{"Normal Account - Enabled",""},{"User Parameters",-},{"Sid History",-},{"Logon Hours","<value changed, but not displayed>"}} time | account | creator | department Mappet mot avdeling 2 --------------------+---------------------+--------------------+----------------- til utførende konto 2007-01-04 11:21:40 | XX1597 (Ole Hansen) | E9999 (Kjell Olsen)| Operativ sikkerhet 3 Generering av rapport som viser brukeradministrative hendelser per avdeling. Kan fullautomatiseres ved hjelp av uttrekk fra HR-system. 1. At en bruker blir opprettet er normalt 2. At brukeren som oppretter kommer fra en avdeling som har dette som oppgave er normalt 3. At en bruker utenfor disse avdelingene oppretter en bruker er et potensielt policybrudd 35
  • 35. Visualisering 36 A picture is worth a thousand packets. – Greg Conti
  • 36. A periodic table of visualization methods Used by permission 37
  • 37. Heatmap: Pålogginger Hver celle gir drill-down-muligheter 38
  • 38. Serverbelastning • Visualisering lar oss dramatisk øke båndbredden ut mot analytiker • Heatmapet viser 400+ datapunkter, og sparklines over 8500 datapunkter • Ved et øyekast kan vi gjøre oss opp en kvalifisert mening om belastningen på aktuell server, og også fange opp naturlige variasjoner (helger osv). We’re rapidly entering a world where everything can be monitored and measured, but the big problem is going to be the ability of humans to use, analyze and make sense of the data. – Erik Brynjolfsson, MIT 39
  • 39. Dataflyt mellom noder “The simple fact that Alice telephones a known terrorist every week is more important than the details of their conversation.” – Bruce Schneier, Secrets & Lies 40
  • 40. Trafikkovervåkning  Brannvegger og NIDS er fint, men tradisjonelt perimeterorienterte: Policy Enforcement Points ? Perimeter  Hva skjer i de interne nettene?  Hvem snakker med hvem, og hvorfor? 41
  • 41. Netflow  De facto standard for nettverkstrafikkanalyse – Genereres av nettverks-komponenter (switcher og routere) – Potensielt mange overvåkningspunkter allerede på plass; må bare konfigureres.  Består av minimum følgende: – Tidsstempel – Source and destination IP address – Source and destination port, type/code for ICMP Metainformasjon om trafikken → Aggregert og kompakt – Antall bytes og pakker – IP-protokoll  Implementering: – Assortert antall kommersielle verktøy tilgjengelig – Fritt tilgjengelige verktøy: argus og nfdump (blant mange andre) – Se proceedings på http://www.cert.org/flocon/ for inspirasjon 42
  • 42. Implementering  Veldig lett å ta utgangspunkt i:  Hvorfor skal vi logge? – Windows Security Eventlog – Unix syslog  Hva trenger vi å logge? – Brannvegglogger  Hva kan vi logge?  Dvs. bare fokusere på det tekniske  Når har vi bruk for loggene?  Hvor lenge trenger vi logger for?  Ta heller et steg tilbake  Hvem skal vi logge?  Hvem trenger loggene?  Implementering i tre steg: 1. Forberedende  Hva har vi lov til å logge? 2. Valg og utforming av løsning 3. Implementering og operasjonalisering  Hvor skal vi logge?  Fortrinnsvis utført i flere iterasjoner  Hvordan skal vi logge? 43
  • 43. Implementering: Steg 1 Identifiser Identifiser Identifiser Løpende Hendelser aktuelle interne og interessenter Etterforskning scenarier eksterne krav Clipart fra Todd Zazelenchuk & Elizabeth Boling Lag kravspesifikasjon 44
  • 44. Implementering: Steg 2 Kjør RFP- Identifiser Identifiser Prioriter kravspek; kilder for roller mapp mot kilder prosess berikelse Lag prosjektplan 45
  • 45. Implementering: Steg 3 Implementer Etabler Etabler Gjennomfør prosjektplan dashboard rapporter øvelser Tilpasning og forbedring 46 Operasjonaliser
  • 46. Implementeringstips Pragmatisme Effekt • Identifiser interessenter • Ta høyde for endret målbilde • Sikre eierskap • Korte iterasjoner (forretningsmessig, løsning, • Paretos 80/20-regel • Logghåndtering er ikke avleverende miljø, brukere) • Hyppige releaser • Ikke gap over alt på én gang • Ikke mal inn i et hjørne målet • Involver disse underveis • Det finnes ikke dårlige produkter, • Få opp rapporter som gir • Logghåndtering må integreres bare dårlige anskaffelsesprosesser effekt • Tenk løsninger i samspill fremfor • Scenariebasert planlegging one-size-fits all Forankring Smidighet “A good plan violently executed today is better than a perfect plan next week.” - General George Patton 47
  • 47. Antipatterns •Hoppe over initiell behovsanalyse og tydelig forretningsbehov •Ikke utpeke tjenesteansvarlig Forankring •Ikke ha oversikt over kostnadsbildet •Å la compliance være den primære driveren for løsningen •Vi har et Problem™, la oss kjøpe et Produkt™! Produkt •Forventninger om en ”maskin som sier ping!” ved hendelser •Urealistiske forventninger til hva en logghåndteringsløsning alene kan gi •Ikke gjennomføre reell pilot Innfasing •Ikke gjennomføre tilstrekkelig testing av nødvendig systemintegrasjon •Ikke allokere tilstrekkelig ressurser til implementering og løpende drift •Ikke identifisere tilgjengelige loggkilder •Ikke definere use cases for logganvendelse Anvendelse •Bli for fokusert på hendelse → konsekvens, og dropper årsak •Slavisk rapportering; ingen trening på bruk av logginformasjonen 48
  • 48. Hyllevare ↔ Hjemmesnekret Support Modenhet Utvidbarhet Kostnad Referanser Kompetanse Fleksibilitet Mye gaffatape.. Rettede Funksjonalitet Kostnad Kompetanse rapporter Person- Skalerbarhet Generiske Smidighet avhengig Hyllevare Hjemmesnekret 49
  • 49. Et praktisk eksempel Jun 5 12:55:44.359: %SEC-6-IPACCESSLOGP: list logacl permitted tcp 192.168.16.1(38402) -> 192.168.16.2(135), 1 packet • Ormehendelse i 2003: • Hvordan identifisere infiserte noder? • Etablerte ACLer på routere • Logging via syslog mot Unix-node Liste • Script aggregerte hendelsene i ~sanntid • Vasking av legitime noder • Varsling via SMS over • Netflow kunne også blitt benyttet hostnavn og Under 50 linjer Perl IP-adresser (grønt tall = node sjekket ut) 50
  • 50. The Gartner Magic Quadrant for Security Information and Event Management (SIEM): 2006-2009 Leverandører: • CA • Cisco • IBM • Novell • RSA / EMC • Symantec • ArcSight • Consul (kjøpt av IBM 2006-12) • eIQnetworks (etablert 2001) • ExaProtect (kjøpt av LogLogic 2009) • High Tower (nedlagt 2008) • Intellitactics • LogLogic (etablert 2002) • LogRhytm (etablert 2003) • netForensics (etablert 1999) • Network Intelligence (kjøpt av EMC 2006) • NetIQ (etablert ~1995) • NitroSecurity (etablert 1999) • OpenService (etablert ~2002) • Prism Microsystems (etablert 1999) • Q1 Labs (etablert 2001) • Quest Software (etablert 1987) • SenSage (etablert 2000) • Tenable Network Security (etablert 2002) • TriGeo (etablert 2001) 53 Used by kind permission of
  • 51. Oppsummering • Det er en utfordring å få nyttiggjort logger, men har vi råd til å la være? • Ikke la compliancekrav alene være driver • Ved å studere våre systemer nærmere i fredstid står vi bedre rustet til å håndtere hendelser • Loggene kan få mye større verdi med berikelse (kontekst og informasjonsfusjon) • Visualisering er morsomt! Og iblant også nyttig… • Og aller viktigst: Vær nysgjerrig! 54
  • 52. Spørsmål?  En del brutale generaliseringer og grove overforenklinger er begått.  Momenter som bevisst er utelatt: – Juridiske aspekter ved overvåkning – Log↔LMI↔ SEM↔SIM↔SIEM – Plattformspesifikke forhold – Spesifikke kommersielle løsninger “Some problems are so complex that you have to be highly intelligent and well oddbjorn.steffensen@edb.com informed just to be undecided about them. – Laurence Peter oddbjorn@tricknology.org 55
  • 53.
  • 54. Noen relevante ressurser  Bøker og publikasjoner  Websteder – Audit and Trace Log Management, Phillip Maier – http://www.loganalysis.org/ – Security Log Management, Jacob Babbin – http://www.rumint.org/gregconti/ – ISF: Security/Event Working Group Final Report – http://www.raffy.ch/ – NIST 800-92: Guide to Computer Security Log – http://secviz.org/ Management – http://www.securityforum.org/  Konferanser – http://www.securitymetrics.org/ – Usenix Workshop on the Analysis of System Logs – http://www.isif.org/ – SANS WhatWorks Log Management & Analysis – http://www.graphviz.org/ – CERT FloCon – http://www.visual-literacy.org/ – http://www.edwardtufte.com/  SANS Top 5 Log Reports: – http://www.cert.org/flocon/ 1. Attempts to Gain Access through Existing Accounts – http://tools.netsa.cert.org/ 2. Failed File or Resource Access Attempts – http://www.caida.org/ 3. Unauthorized Changes to Users,Groups and Services – http://cee.mitre.org/ 4. Systems Most Vulnerable to Attack – http://zeltser.com/log-management/security-incident-log- 5. Suspicious or Unauthorized Network Traffic Patterns review-checklist.html 57