2. Historisk perspektiv
Unix: find /var/log -mtime +7d -type f –exec rm {} ;
Windows:
“Logfiles: The Data Center’s Equivalent of Compost. Let’em Rot.” – Marcus J. Ranum
3
3. Motivasjon
Gi oss ”situational awareness” Datagrunnlag ifb. hendelseshåndtering
Trendanalyse & baselining Fastslå årsakssammenhenger
Oppdage policybrudd Bevissikring / forensics
Deteksjon Reaksjon
Revisjon og
Refleksjon Etterlevelse
compliance
av interne og
Hva skjer i systemene våre?
eksterne krav
(fex 2700n, PCI DSS, SOx mfl.)
Logger vi det vi burde logge?
Hva er normalt og abnormalt?
Loggene som infrastrukturtelemetri
Fungerer sikringsmekanismene som forventet?
4
4. Fra logg til forståelse
Mar 21 00:42:40 epia sshd[20318]: Invalid user a from 83.19.222.221
Mar
Mar
Mar
21
21
21
00:44:00
00:45:00
00:42:13
Who
epia /usr/sbin/cron[20342]: (operator) CMD (/usr/libexec/save-entropy)
epia /usr/sbin/cron[20362]: (root) CMD (/usr/libexec/atrun)
node2.lan ntp: Clock synchronized to network time server time.apple.com
Hvem gjorde
Mar 21 00:42:53 Airport-Express.lan Airport-Express 80211: Rotated CCMP group key.
Mar
Mar
Mar
Mar
21
21
21
21
00:50:00
00:53:33
01:00:00
01:00:00
What,
epia /usr/sbin/cron[24691]: (root) CMD (/usr/libexec/atrun)
did
MBP.lan mbp /usr/sbin/ocspd[28388]: starting
epia /usr/sbin/cron[36977]: (root) CMD (newsyslog)
epia /usr/sbin/cron[36978]: (operator) CMD (/usr/libexec/save-entropy)
Hva,
Mar 21 01:00:00 epia /usr/sbin/cron[36979]: (root) CMD (/usr/libexec/atrun)
Mar
Mar
Mar
21
21
21
01:01:52
01:01:56
09:56:54
When,
epia sudo: userA : TTY=ttyp0 ; PWD=/usr/local/www/data/wordpress
epia sudo: userA : TTY=ttyp0 ; PWD=/usr/local/www/data/wordpress
epia sshd[45971]: Did not receive identification string from 93.103.12.217
Hvor,
Mar 21 11:55:21 epia sshd[46447]: Did not receive identification string from 12.155.124.130
Mar 21 11:55:36 epia sshd[46450]: Invalid user fluffy from 202.155.124.130
Mar
Mar
Mar
21
21
21
11:55:40
11:55:44
11:55:46
Where
epia sshd[46452]: Invalid user admin from 202.155.124.130
epia sshd[46454]: Invalid user test from 202.155.124.130
epia sshd[46456]: Invalid user guest from 202.155.124.130
Hvortid,
Mar 21 11:55:49 epia sshd[46458]: Invalid user webmaster from 202.155.124.130
Mar
Mar
Mar
21
21
21
11:55:56
11:55:59
11:56:01
How
epia sshd[46463]: Invalid user oracle from 202.155.124.130
and
epia sshd[46465]: Invalid user library from 202.155.124.130
epia sshd[46467]: Invalid user info from 202.155.124.130 Hvordan
Mar 21 11:56:04 epia sshd[46469]: Invalid user shell from 202.155.124.130 og ikke minst
Mar 21 11:56:08 epia sshd[46471]: Invalid user linux from 202.155.124.130
Mar
Mar
Mar
21
21
21
11:56:11
11:56:14
11:56:23
and Why?
epia sshd[46473]: Invalid user unix from 202.155.124.130
epia sshd[46475]: Invalid user webadmin from 202.155.124.130
epia sshd[46478]: Invalid user ftp from 202.155.124.130
Hvorfor?
5
5. Fra data til handling …
Mar 21 11:55:44 minserver sshd[46454]: Invalid user test from 202.155.124.130
Tegn
Data
Informasjon
Kunnskap
Handling
“Information is data endowed with relevance and purpose.” – Peter Drucker
6
6. … som i praksis blir:
1. Tegn Mar 21 11:55:44 minserver sshd[46454]: Invalid user test from 202.155.124.130
2. Data token token token token token token token token token token
3. Informasjon måned dag tid node opphav ssh-hendelse med hva/hvem/hvorfra
Den 21. mars 11:55:44 forsøkte noen fra IP-adressen 202.155.124.130
4. Kunnskap
å logge på minserver med brukernavn test
1. Hvem er 202.155.124.130?
2. Har noen bak den adressen legitimt behov for å logge på minserver?
5. Handling 3. Er test en lovlig bruker på minserver?
4. Prøver noen å bryte seg inn på minserver?
5. Hvorfor får 202.155.124.130 i det hele tatt snakke med minserver?
7
7. Hva trenger vi?
Tema i NISTs Guide to Computer
Security Log Management (800-92):
8
8. Hovedingredienser
• Hva er forretningsmessig drivkraft?
• Hvem er ansvarlig for regimet?
• Hvilke faginstanser må involveres?
• Hvem er interessentene?
• Hvem er konsumentene?
Organisasjon
• Deployment
• Forvaltning og operasjon
• Analyse (løpende/ad hoc)
Teknologi Prosess •
•
Hendelseshåndtering
Eskaleringsveier
• Bevissikring
• Loggkilder
• Logghåndteringsløsning
• Lagring- og arkivering
• Systemintegrasjon
• Rapportering
9
9. Faser i logghåndteringen
•Identifisere kilder •Innsamling •Rapportering •Forvaltning og drift
•Slå på logging •Transportere •Berikelse •Kompetanse
•Konfigurere kilder •Vaske og Normalisere •Prioritering •Kobling mot prosess
•Tidssynkronisering •Indeksere •Korrellering •Workflow & ticketing
•Sporbarhet •Konsolidere •Gruppering •Hendelseshåndtering
•Lagre og Sikre •Alarmering •Tilpasninger & integrasjon
Loggkilder Prosessere Analysere Operasjon
Vanskelighetsgrad
10
10. Hva bør logges?
2700x
PCI DSS
BSI Guidelines for logging procedures
Standard of Good Practice
•userIDs •start/stop times for key • System generation and •User identification
•dates, times and details of systems and processes modification of system •Type of event
key events, eg. logon and •successful sign-on by parameters •Date and time
logoff authorized users and failed •Configuration of users •Success or failure indication
•terminal identity or location if sign-on attempts •Preparing rights profiles •Origination of event
possible •error and exception •Implementation of data •Identify or name of affected
•records of successful and conditions backup measures data, system component or
rejected system access •access or changes to files or •Use of administration tools resource
attempts programs •Attempts at unauthorized
•records of successful and •access to privileged login and transgressions of
rejected data and other capabilities rights
resource access attempts •Input of data
•changes to system •Data transfer
configuration
•Use of automatic retrieval
•use of privileges procedures
•use of system utilities and •Deletion of data
applications
•Invocation of programs
•files accessed and the kind of
access
•network addresses and
protocols
•alarms raised by the access
contriol system
•activation and deactivation of
protection systems, such as
antivirus systems and
intrusion detection systems
Standard sikkerhetslogger fra de vanligste
plattformene gir oss bare dette i begrenset grad, og vi
må enten tilpasse loggingen, supplere eller resignere.
11
11. Identifisering av loggkilder
• Windows Eventlog
Windows
Brukers PC domenekontroller
• Unix syslog
• Webserverlogg
• Audit-trail
• Applikasjonslogg
• Auditlogg
• Brannvegg (trafikk + audit) Unix-
Oracle
• Windows Eventlog • Web- og e-mailgatewayer server
• Browserhistorikk • DHCP- og DNS-logg
• VPN-logg • Netflows
• VPN-autentiseringslogg
• Logg fra ACF/2 eller RACF
15+ distinkte kilder for • Hendelser fra SMF
• Transaksjonslogg (forretning)
selv et forenklet scenario
Mainframe
12
12. Loggkategorier
• Brannvegger, proxyer, routere og switcher
Nettverk • IDS og Netflows
• DNS / DHCP / VPN
• Systemnære logger
Plattform • Unix syslog, Windows Eventlog, z/OS SMF
• Auditlogger
• Sikkerhetssystemer (AAA)
• Appliksjonsspesifikke logger
Applikasjon • Mellomvare
• Databaser
Forretning •Transaksjonslogger
Relativt enkle isolert sett, men hva om noen spør:
1. Hva har bruker XYZ gjort? (top-down)
2. Hva har skjedd i forbindelse med verdikjede ABC? (top-down)
3. Hva har angriper fra IP-adresse a.b.c.d gjort? (bottom-up)
13
14. Konfigurering
1. Kartlegg hva de ulike loggkildene er i stand til å levere (default og
med aktiv konfigurering)
2. Definer en policy for den enkelte type loggkilde/-plattform
3. Gjør en vurdering av belastning og volum policyen vil medføre
15
15. Vasking av loggdata
Microsoft Security Monitoring and Attack Detection Planning Guide
Logger kan inneholde mye ”støy”
– Spesielt utunet
Kan redusere loggvolum med 95%+
“Artificial Ignorance.”
– Marcus J. Ranum
Kan filtreres på flere steder:
– Avleverende node (tweaking eller filter)
– Ved sentralt mottak
– Før last til database eller lignende
– Vasking internt i database
Kan være nødvendig å oppbevare
komplette logger ift. bevisføring
16
16. Unknown Unknowns
As we know, there are known knowns.
There are things we know we know.
We also know there are known unknowns.
That is to say we know there are
some things we do not know.
But there are also unknown unknowns,
The ones we don't know we don't know.
— Donald Rumsfeld (2002)
17
17. Resthendelser
Apr 15 02:39:15 statd[2468]: attempt
to create "/var/statmon/sm/; echo
"ingreslock stream tcp nowait root
Kjent
Kjente /bin/sh sh -i" >>/tmp/bob;
”støy” /usr/sbin/inetd -s /tmp/bob &"
positive
hendelser
Kjente • Hendelse for ca. ti år siden
negative
hendelser • Sårbarhet i Sun Solaris rpc.statd
• Lyttende root-shell på port 1524/tcp
• Fullstendig kompromittert maskin
• Logginnslaget ville sannsynligvis ikke
blitt fanget opp av loggrapportering
Resthendelser • (ikke driftet av EDB på dette tidspunktet)
18
18. Logging != Sporbarhet
Hvert ledd i verdikjeden skal minst
kunne spore sine hendelser ett ledd
fram og ett ledd tilbake Database Admin
For å kunne sammenstille logger trenger
vi en eller flere av følgende:
– Korrekt tidsstempling SysB
SysA
– Identifikatorer:
– IP-adresse
Internett
– brukernavn
– kundenummer
– transaksjonsidentifikator
– eller lignende SysC
Telenett
Selv om «korrekt tid» er implementert,
bør det kunne dokumenteres at dette
faktisk virker i tilfelle rettssak Forsøk på svindel
• Rettet angrep mot verdikjede via flere angrepsvektorer
Definér use case-scenarioer og verifiser
at disse er dekket av logghåndterings- • Ingen gode identifikatorer på tvers av verdikjedene
regimet. • Systemer mer eller mindre ute av tidssync
Sett krav til avleverende systemer • Varierende grad av logging på plass
• Mye manuell jobbing for å få fatt i relevante logger
19
19. Sikring av loggdata
Rask «evakuering» av logg Sikring av loggplattformen
– Batch versus nær sanntid
– Klassifiser logghåndterings-løsningen
– Kan ikke stole på logg fra
kompromitterte maskiner på nivå med høyest klassifiserte
avleverende system
Sikker transport – Om kunnskap er makt, hva er flere
– Signering terabyte med loggdata?
– Kryptering
– Sikkerhetspatching
– UDP versus TCP
– Buffering – Herding
– Tilgangskontroll
Generering av hasher av
loggmateriale med sikker
lagring
Hva kan så tvil om loggenes integritet?
Retensjon av logger Tips: Tenk som om du var motpartens
– Avhengig av behov (helst > 3 mnd) ekspertvitne i en eventuell rettssak!
– eller pålagte krav (ofte > 12 mnd)
20
20. Analyse av logger
Not everything that can be counted counts,
and not everything that counts can be counted.
– Albert Einstein
Everything counts (in large amounts).
– Depeche Mode
Statistics are like bikinis. What they reveal is
suggestive, but what they conceal is vital.
– Aaron Levenstein
21
21. Logganalyse: Ønskedrøm
«The machine that goes ping»
Intrusion Detection: «Den eneste
sikringsmekanismen du trenger!»
De færreste sikkerhetshendelser
trigges av logghendelser som
«smoking gun» alene.
Mar 21 00:42:40 epia sshd[20318]: Invalid user a from 83.19.222.221
Mar 21 00:44:00 epia /usr/sbin/cron[20342]: (operator) CMD (/usr/libexec/save-entropy)
Mar 21 00:45:00 epia /usr/sbin/cron[20362]: (root) CMD (/usr/libexec/atrun)
Mar 21 00:42:13 node2.lan ntp: Clock synchronized to network time server time.apple.com
Mar 21 00:42:53 Airport-Express.lan Airport-Express 80211: Rotated CCMP group key.
Mar 21 00:50:00 epia /usr/sbin/cron[24691]: (root) CMD (/usr/libexec/atrun)
Mar 21 00:53:33 MBP.lan mbp /usr/sbin/ocspd[28388]: starting
Mar 21 01:00:00 epia /usr/sbin/cron[36977]: (root) CMD (newsyslog)
Mar 21 01:00:00 epia /usr/sbin/cron[36978]: (operator) CMD (/usr/libexec/save-entropy)
Mar 21 01:00:00 epia /usr/sbin/cron[36979]: (root) CMD (/usr/libexec/atrun)
Mar 21 01:01:52 epia sudo: userA : TTY=ttyp0 ; PWD=/usr/local/www/data/wordpress
Mar 21 01:01:56 epia sudo: userA : TTY=ttyp0 ; PWD=/usr/local/www/data/wordpress
Mar 21 09:56:54 epia sshd[45971]: Did not receive identification string from 93.103.12.217
Mar 21 11:55:21 epia sshd[46447]: Did not receive identification string from 12.155.124.130
Mar 21 11:55:36 epia sshd[46450]: Invalid user fluffy from 202.155.124.130
Mar 21 11:55:40 epia sshd[46452]: Invalid user admin from 202.155.124.130
Mar 21 11:55:44 epia sshd[46454]: Invalid user test from 202.155.124.130
Mar 21 11:55:46 epia sshd[46456]: Invalid user guest from 202.155.124.130
Mar 21 11:55:49 epia sshd[46458]: Invalid user webmaster from 202.155.124.130
Mar 21 11:55:56 epia sshd[46463]: Invalid user oracle from 202.155.124.130
Mar 21 11:55:59 epia sshd[46465]: Invalid user library from 202.155.124.130
Mar 21 11:56:01 epia sshd[46467]: Invalid user info from 202.155.124.130
Mar 21 11:56:04 epia sshd[46469]: Invalid user shell from 202.155.124.130
Mar 21 11:56:08 epia sshd[46471]: Invalid user linux from 202.155.124.130
Mar 21 11:56:11 epia sshd[46473]: Invalid user unix from 202.155.124.130
Mar 21 11:56:14 epia sshd[46475]: Invalid user webadmin from 202.155.124.130
Mar 21 11:56:23 epia sshd[46478]: Invalid user ftp from 202.155.124.130
«Usability» er derfor spesielt viktig
22
22. Data overflow
Ok, dette er en
oppsummering…
Hvilken
boks var
nå dette
igjen?
Whoa!
23
23. Paralysis by analysis
Deteksjon Reaksjon
Refleksjon Revisjon
Compliance != Security
24
“Check the box and make the compliance issues go away”
25. Manglende kontekst
• Hva betyr EventIDene?
• Er dette vellykkede eller mislykkede forsøk?
• Er volumene normale?
• Hvordan er trendutviklingen?
26
26. Rapporteringsformer
• Hvem har logget på minserver i dag?
Enkle • Hvor har brukerA logget på i dag?
• Hvilke mislykkede forsøk på sudo-bruk har vi i dag?
• Hvor mange malwarehendelser hadde vi siste måned?
Aggregerte • Hvor mange pålogginger forekommer om natten?
• Hvilke noder initierer kontakt med mer enn 10 noder?
• Har det vært en økning i mislykkede pålogginger siste døgn?
Trender • Har vi flere eller færre malwarehendelser nå ift. tidligere?
• Hvilke nettranger ser vi forholdsmessig flest malwarehendelser i?
• Har vi forekomster av samtidig bruk av en brukerident fra flere maskiner?
Anomalier • Hvorfor logget sekretæren på 0430?
• Hvorfor besøker adm. dir. sin PC plutselig suspekte webservere i Kina?
• Sjeldne hendelser, uvanlig trafikkretning
27
27. Hvordan finne nålen?
Hvordan oppdager vi det Vi kan i tillegg benytte følgende
ekstraordinære blant det for å gi oss bedre overblikk:
ordinære?
– Filtrering (vasking) og gruppering 1. Informasjonsfusjon
hjelper oss til en viss grad
– Berikelse av logghendelser med
– Prefabrikerte rapporter og støtteinformasjon
signaturer hjelper til en viss grad,
men:
2. Visualisering
Vanskelig å uttømmende – Øke båndbredde ut mot analytiker
spesifiserende hva som er
potensielt signifikant
28
28. Informasjonsfusjon
Logghendelse
Tradisjonell korrellering mappet
innbyrdes mellom logghendelser vha. IP-
1 stk adresser, brukernavn og lignende
Nyttig, men hva skjer om vi mapper mot
>2 teknisk støtteinformasjon fra eksterne
kilder?
– Brannveggregelsett, DHCP, malware-hendelser,
assetinformasjon, geomapping, brukere, MAC-
1 stk prefix, HR-system, routingtabell, sårbarhetsinfo
Støtteinformasjon
Målet er å gi kontekst til hendelsene
“Information Fusion is an Information Process dealing with the:
[association, correlation, and combination of data and information] from
[single and multiple sensors or sources] to achieve
[refined estimates of parameters, characteristics, events, and behaviors] for
observed entities in an observed field of view."
29
29. Eksempel #1: Virus
SNMP Trap: 2009-09-01 14:23:16 Virus W32.Virut.CF found on host 10.99.1.14
Kilde Supplerende informasjon
DHCP-logg 10.99.1.14 ble på tidspunktet (sannsynligvis) benyttet av klient63
DHCP scopedefinisjon 10.99.1.14 er del av 10.99.1.0/24 som er filialen i Mandal
Assetregister klient63 er en laptop som disponeres av brukerA (Ole Olsen, Mandal)
HR-system eller AD Ole Olsen disponerer telefon med nummer 5551 2345
Security Eventlog fra Viser pålogginger av brukerA i forkant av hendelsen fra 10.99.1.14
domenekontrollerne
SNMP Trap-log Viser ingen andre W32.Virut.CF-hendelser i nettet
SNMP Trap-log Viser ingen andre malwarehendelser i Mandal
Virusleverandører Direkte link til informasjonsside om W32.Virut.CF for vurdering av
kritikalitet, informasjon om modus operandi mv.
30
30. Eksempel #2: DHCP
30,04/04/08 07:12:27 DNS Update Request 1.1.168.192,abc.xyz.lan,,
10,04/04/08 07:12:27 Assign 192.168.1.1,abc.xyz.lan,000D8894E4B3,
32,04/04/08 07:13:51 DNS Update Successful 192.168.1.1,abc.xyz.lan,,
00-0D-88 (hex) D-Link Corporation
http://standards.ieee.org/regauth/oui/oui.txt 000D88 (base 16) Hsinchu 30077 TAIWAN, REPUBLIC OF CHINA
”Jeg testet denne muligheten 4.
april, og benyttet den for opp-
gradering i går 8. april. Samme D-
LINK AP2000+ ble benyttet begge
ganger, og AP’et var i begge tilfeller
konfigurert med WPA-PSK. Var nok
operativt totalt ca 1 time ved begge
anledninger.”
Obs! Husk at en angriper enkelt kan
overstyre/klone MAC-addressen
Enkel identifisering
av VMware-instanser
31
31. Eksempel #3: Geomapping
Utfordring: Team Cymru: IP → AS Number
– Vi har en loggfil med mange IP- – http://www.team-cymru.org/Services/ip-to-asn.html
adresser, og lurer på hvor de hører – Tilgjenglelig via whois, dns, http(s)
hjemme. begin
verbose
– (Fotnote: adnsresfilter for asynkron 68.22.187.5
resolving av IP-adresser i loggfiler.) 207.229.165.18
198.6.1.65
end
$ netcat whois.cymru.org 43 < ip.txt > result.txt
Bulk mode; whois.cymru.com [2011-03-13 20:31:28 +0000]
23028 | 68.22.187.5 | 68.22.187.0/24 | US | arin | 2002-03-15 | TEAM-CYMRU - Team Cymru Inc.
6079 | 207.229.165.18 | 207.229.128.0/18 | US | arin | 1996-11-01 | RCN-AS - RCN Corporation
701 | 198.6.1.65 | 198.6.0.0/16 | US | arin | 1992-11-10 | UUNET - MCI Communications Services
ASN IP-adresse Nettrange Land RIR Registrert AS-navn
32
32. OODA-loopen
Hva skjer?
Utføre
tiltak Hva
betyr
det?
Må vi iverk-
sette tiltak?
33 Kilde: John Boyd, USAF
33. Refleksjon
Årsak Hendelse Konsekvens
Argyris & Schön: Organizational learning: A theory of action perspective (1978)
"Single-loop" læring
"Double-loop" læring
Lett å bare fokusere på hendelse→konsekvens og ikke årsak
Vi kan få ut mye mer verdi ved å også se på årsaksforholdene
34 Detect the expected ― Discover the unexpected
34. Brukeradministrasjon
2007-01-02 12:11:49 | Security | 624 | t | Account Management | EDB/E9999| EDBYYYADC001 ”Rå” hendelse
1 | User Account Created | {{"New Account Name",XX1597},{"New Domain",EDB},{"New Account fra Windows
ID","{S-1-5-21-1617895038-2399380067-405634583-43577}"},{"Caller User Name",E9999},{"Caller
Security Eventlog
Domain",EDB},{"Caller Logon ID","(0x0,0x28EF5D45)"},{"Privileges -
",""},{Attributes:,""},{"Sam Account Name",XX1597},{"Display Name",“Ole Hansen"},{"User
Principal Name",XX1597@edb.local},{"Home Directory",//EDB-Users-Data-Server/EDB-
Users005$/XX1597},{"Home Drive",H:},{"Script Path",et},{"Profile Path",-},{"User
Workstations",-},{"Password Last Set",<never>},{"Account Expires",<never>},{"Primary Group
ID",513},{AllowedToDelegateTo,-},{"Old UAC Value",0x0},{"New UAC Value",0x15},{"User Account
Control",""},{"Account Disabled",""},{"Password Not Required - Enabled",""},{"Normal Account
- Enabled",""},{"User Parameters",-},{"Sid History",-},{"Logon Hours","<value changed, but
not displayed>"}}
time | account | creator | department Mappet mot avdeling
2 --------------------+---------------------+--------------------+----------------- til utførende konto
2007-01-04 11:21:40 | XX1597 (Ole Hansen) | E9999 (Kjell Olsen)| Operativ sikkerhet
3 Generering av rapport som viser brukeradministrative hendelser per avdeling.
Kan fullautomatiseres ved hjelp av uttrekk fra HR-system.
1. At en bruker blir opprettet er normalt
2. At brukeren som oppretter kommer fra en avdeling som har dette som oppgave er normalt
3. At en bruker utenfor disse avdelingene oppretter en bruker er et potensielt policybrudd
35
35. Visualisering
36 A picture is worth a thousand packets. – Greg Conti
38. Serverbelastning
• Visualisering lar oss dramatisk øke båndbredden ut mot analytiker
• Heatmapet viser 400+ datapunkter, og sparklines over 8500 datapunkter
• Ved et øyekast kan vi gjøre oss opp en kvalifisert mening om belastningen på
aktuell server, og også fange opp naturlige variasjoner (helger osv).
We’re rapidly entering a world where everything can be monitored and
measured, but the big problem is going to be the ability of humans to use,
analyze and make sense of the data. – Erik Brynjolfsson, MIT
39
39. Dataflyt mellom noder
“The simple fact that Alice telephones a known terrorist every
week is more important than the details of their conversation.”
– Bruce Schneier, Secrets & Lies
40
40. Trafikkovervåkning
Brannvegger og NIDS er fint, men tradisjonelt perimeterorienterte:
Policy Enforcement Points
? Perimeter
Hva skjer i de interne nettene?
Hvem snakker med hvem, og hvorfor?
41
41. Netflow
De facto standard for nettverkstrafikkanalyse
– Genereres av nettverks-komponenter (switcher og routere)
– Potensielt mange overvåkningspunkter allerede på plass; må bare konfigureres.
Består av minimum følgende:
– Tidsstempel
– Source and destination IP address
– Source and destination port, type/code for ICMP Metainformasjon om trafikken
→ Aggregert og kompakt
– Antall bytes og pakker
– IP-protokoll
Implementering:
– Assortert antall kommersielle verktøy tilgjengelig
– Fritt tilgjengelige verktøy: argus og nfdump (blant mange andre)
– Se proceedings på http://www.cert.org/flocon/ for inspirasjon
42
42. Implementering
Veldig lett å ta utgangspunkt i: Hvorfor skal vi logge?
– Windows Security Eventlog
– Unix syslog Hva trenger vi å logge?
– Brannvegglogger
Hva kan vi logge?
Dvs. bare fokusere på det tekniske
Når har vi bruk for loggene?
Hvor lenge trenger vi logger for?
Ta heller et steg tilbake
Hvem skal vi logge?
Hvem trenger loggene?
Implementering i tre steg:
1. Forberedende Hva har vi lov til å logge?
2. Valg og utforming av løsning
3. Implementering og operasjonalisering
Hvor skal vi logge?
Fortrinnsvis utført i flere iterasjoner Hvordan skal vi logge?
43
43. Implementering: Steg 1
Identifiser Identifiser Identifiser
Løpende
Hendelser
aktuelle interne og interessenter
Etterforskning scenarier eksterne krav
Clipart fra Todd Zazelenchuk & Elizabeth Boling
Lag
kravspesifikasjon
44
44. Implementering: Steg 2
Kjør RFP- Identifiser Identifiser
Prioriter kravspek; kilder for roller
mapp mot kilder prosess
berikelse
Lag
prosjektplan
45
46. Implementeringstips
Pragmatisme Effekt
• Identifiser interessenter • Ta høyde for endret målbilde
• Sikre eierskap • Korte iterasjoner
(forretningsmessig, løsning, • Paretos 80/20-regel • Logghåndtering er ikke
avleverende miljø, brukere)
• Hyppige releaser
• Ikke gap over alt på én gang • Ikke mal inn i et hjørne målet
• Involver disse underveis
• Det finnes ikke dårlige produkter, • Få opp rapporter som gir
• Logghåndtering må integreres bare dårlige anskaffelsesprosesser effekt
• Tenk løsninger i samspill fremfor • Scenariebasert planlegging
one-size-fits all
Forankring Smidighet
“A good plan violently executed today is better than a perfect plan next week.” - General George Patton
47
47. Antipatterns
•Hoppe over initiell behovsanalyse og tydelig forretningsbehov
•Ikke utpeke tjenesteansvarlig
Forankring •Ikke ha oversikt over kostnadsbildet
•Å la compliance være den primære driveren for løsningen
•Vi har et Problem™, la oss kjøpe et Produkt™!
Produkt •Forventninger om en ”maskin som sier ping!” ved hendelser
•Urealistiske forventninger til hva en logghåndteringsløsning alene kan gi
•Ikke gjennomføre reell pilot
Innfasing •Ikke gjennomføre tilstrekkelig testing av nødvendig systemintegrasjon
•Ikke allokere tilstrekkelig ressurser til implementering og løpende drift
•Ikke identifisere tilgjengelige loggkilder
•Ikke definere use cases for logganvendelse
Anvendelse •Bli for fokusert på hendelse → konsekvens, og dropper årsak
•Slavisk rapportering; ingen trening på bruk av logginformasjonen
48
49. Et praktisk eksempel
Jun 5 12:55:44.359: %SEC-6-IPACCESSLOGP: list logacl permitted tcp 192.168.16.1(38402) -> 192.168.16.2(135), 1 packet
• Ormehendelse i 2003:
• Hvordan identifisere infiserte noder?
• Etablerte ACLer på routere
• Logging via syslog mot Unix-node
Liste • Script aggregerte hendelsene i ~sanntid
• Vasking av legitime noder
• Varsling via SMS
over • Netflow kunne også blitt benyttet
hostnavn
og Under 50
linjer Perl
IP-adresser
(grønt tall =
node sjekket ut)
50
50. The Gartner Magic Quadrant for Security
Information and Event Management (SIEM): 2006-2009
Leverandører:
• CA
• Cisco
• IBM
• Novell
• RSA / EMC
• Symantec
• ArcSight
• Consul (kjøpt av IBM 2006-12)
• eIQnetworks (etablert 2001)
• ExaProtect (kjøpt av LogLogic 2009)
• High Tower (nedlagt 2008)
• Intellitactics
• LogLogic (etablert 2002)
• LogRhytm (etablert 2003)
• netForensics (etablert 1999)
• Network Intelligence (kjøpt av EMC 2006)
• NetIQ (etablert ~1995)
• NitroSecurity (etablert 1999)
• OpenService (etablert ~2002)
• Prism Microsystems (etablert 1999)
• Q1 Labs (etablert 2001)
• Quest Software (etablert 1987)
• SenSage (etablert 2000)
• Tenable Network Security (etablert 2002)
• TriGeo (etablert 2001)
53
Used by kind permission of
51. Oppsummering
• Det er en utfordring å få nyttiggjort
logger, men har vi råd til å la være?
• Ikke la compliancekrav alene være driver
• Ved å studere våre systemer nærmere i
fredstid står vi bedre rustet til å
håndtere hendelser
• Loggene kan få mye større verdi med
berikelse (kontekst og informasjonsfusjon)
• Visualisering er morsomt! Og iblant også
nyttig…
• Og aller viktigst: Vær nysgjerrig!
54
52. Spørsmål?
En del brutale generaliseringer og
grove overforenklinger er begått.
Momenter som bevisst er utelatt:
– Juridiske aspekter ved overvåkning
– Log↔LMI↔ SEM↔SIM↔SIEM
– Plattformspesifikke forhold
– Spesifikke kommersielle løsninger
“Some problems are so complex that you
have to be highly intelligent and well oddbjorn.steffensen@edb.com
informed just to be undecided about them.
– Laurence Peter oddbjorn@tricknology.org
55
53.
54. Noen relevante ressurser
Bøker og publikasjoner Websteder
– Audit and Trace Log Management, Phillip Maier – http://www.loganalysis.org/
– Security Log Management, Jacob Babbin – http://www.rumint.org/gregconti/
– ISF: Security/Event Working Group Final Report – http://www.raffy.ch/
– NIST 800-92: Guide to Computer Security Log – http://secviz.org/
Management – http://www.securityforum.org/
Konferanser – http://www.securitymetrics.org/
– Usenix Workshop on the Analysis of System Logs – http://www.isif.org/
– SANS WhatWorks Log Management & Analysis – http://www.graphviz.org/
– CERT FloCon – http://www.visual-literacy.org/
– http://www.edwardtufte.com/
SANS Top 5 Log Reports: – http://www.cert.org/flocon/
1. Attempts to Gain Access through Existing Accounts – http://tools.netsa.cert.org/
2. Failed File or Resource Access Attempts – http://www.caida.org/
3. Unauthorized Changes to Users,Groups and Services – http://cee.mitre.org/
4. Systems Most Vulnerable to Attack – http://zeltser.com/log-management/security-incident-log-
5. Suspicious or Unauthorized Network Traffic Patterns review-checklist.html
57