Presentación de PowerPoint

Anuncio
Mayo del 2006
www.itdeusto.com
Gestión de la Seguridad con OSSIM
Gonzalo Asensio Asensio
Jefe de Proyecto Seguridad Informática
gasensio@itdeusto.com
La Seguridad en IT-Deusto
Área de Seguridad IT Deusto

IT-Deusto posee una larga experiencia y especialización.
 Responsables de Seguridad de Primeros ISP
 Creación de IP6 Seguridad (1997) e IP Soluciones (2000)
 Integración de IP Soluciones en IT- Deusto (2003)

Equipos de expertos: más de 40 personas dedicadas
exclusivamente a la seguridad informática

Soluciones de Seguridad propias Open Source (OSSIM)
Presentación OSSIM
2
Evolución Tecnológica
SIM
SENSOR
Integración
IDS
Firewall
1994
2000
2001
2003
Presentación OSSIM
3
El Problema
1. ¿Por donde empiezo?
1. ¿Cuales son las alertas de verdad?
1. ¿En que situación estoy?
Presentación OSSIM
4
La solución para Gestionar la Seguridad: OSSIM
Open Source Security Information Management
Consola de Gestión de Seguridad
(código abierto)
http://www.ossim.net/
http://sourceforge.net/projects/os-sim/
Se trata de un Producto líder, probado por más de 22.000 usuarios
a nivel mundial.
Presentación OSSIM
5
¿Qué es OSSIM?

Plataforma de Seguridad Open Source compuesta por más de 22
Herramientas lideres en el campo de la Seguridad Informática:

Composición Básica de OSSIM;
5.
8.
Servidor OSSIM (Consola de Gestión)
Framework (Interacción entre Módulos)
Base de datos de OSSIM (Eventos)
Agentes (Sondas Colectoras)

Todo montado sobre Sistemas Linux
6.
7.
Presentación OSSIM
6
OSSIM. Herramientas Pioneras.

Herramientas más Destacadas de OSSIM
 IDS (Snort)
 Monitorización de tráfico de Red (Ntop)
 Anomalías y detección de nuevos Servicios (Pads)
 Anomalías de Red por comportamiento (Spade)
 Detección de Cambios de Mac (Arpwatch)
 Detección de Cambios de Sistema Operativo (P0f)
 Monitor de persistencia (rrd, Spade)
 Analizadores de protocolos (Ntop)
 Inventariado servicios activo (Nmap)
 Scanner de Vulnerabilidades (Nessus)
 IDS de HOST (Osiris)
 Recolección de Multiples Dispositivos (Plugins)
Presentación OSSIM
7
Security Information Management (SIM)
Presentación
Cuadro de Mandos
C. Forense
M. Riesgos
Monitorización
Detección
Transacciones
Val. Riesgo
M. Servicios
Correlación
Auditoría
Val. Riesgo
Inventario
Priorización
M. Sesiones
M. Uso
D. Anomalías
D. Patrones
Audit Sist
Audit Red
Normalización
Colección
Presentación OSSIM
8
Funcionalidades de OSSIM
Consola Forense y Monitores de Red
para el bajo nivel
Nuevas capacidades desarrolladas para aumentar la fiabilidad y sensibilidad de la detección:
Correlación
Priorización
Valoración de Riesgos
Detectores y monitores integrados en la distribución de la solución:
IDS
(detectores de patrones)
Detectores de Anomalías
Firewalls
Monitores
Varios
Pluggins de
recolección de fuentes
externas
Herramientas de
Monitorización
Monitores de Riesgo y Comportamiento
para la monitorización a nivel medio
“Postproceso”
de los SIM
Cuadro de Mandos
para visibilidad a alto nivel
Preprocesadores
Framework, herramienta de administración que
configura y organiza los diferentes módulos
¿Cuáles son las principales funcionalidades?
OSSIM complementa muchos otros productos de mercado que no disponen
de todas sus funcionalidades
Presentación OSSIM
9
Efecto embudo
Unix
Windows
Router
Web
Host
BBDD
Colección
Correlación
Cuadro de Mandos
Alarma!
Presentación OSSIM
10
Arquitectura
OSSIM
Cuadro de Mandos
A. Forense
Monitor Riesgos
Monitor Uso
KDB
Correlación
Valor de Riesgo
EDB
UDB
Priorización
Colector
/ Normalización
Detectores:
Anomalías
IDS
FW
UNIX
Windows
Presentación OSSIM
11
De los Eventos a la Gestión de la Seguridad
1.- Colección
Millones de Eventos
2.- Anomalías
3.- Priorización
4.- Valor del Riesgo
Cientos de Eventos
5.- Correlación
6.- Consola Forense
Decenas de Alarmas
7.- Cuadro de Mandos
Gestión de la Seguridad
Presentación OSSIM
12
1.- Colección: Topología
Correla
Correla
BBDD
Valora Riesgos
Prioriza
Prioriza
D
i
s
t
r
i
b
Management
Server
Consolid
Mon
IDS
Sonda /
gente
Colector 1
Sensor
Anom
Scan
Sonda /
Colector 2
Parser
Plg
Plg
Plg
Plg
Plg
Plg
Plg
Plg
Plg
PC
PC
PC
Presentación OSSIM
13
2.1.- Anomalías




Monitorización del Uso (Estadístico)
Monitorización de Sesiones (En Tiempo Real)
Creación de Perfiles por Patrones.
Anomalías de Red.
Presentación OSSIM
14
2.2.- Anomalías

Monitorización del Uso (Estadístico)
Presentación OSSIM
15
2.3.- Anomalías

Monitorización de Sesiones (En Tiempo Real)
Presentación OSSIM
16
2.4.- Anomalías

Creación de Perfiles por Patrones.
- Servicios, Duración, Horario, Tamaño, Contenido, etc.
Umbrales máximos permitidos
Presentación OSSIM
17
2.5.- Anomalías

Anomalías de Red.
Predicción por el Algoritmo Holt Winters; Predicción futura, a través
de tendencias; Diarias, Semanales, Anuales
Tráfico anormal
Presentación OSSIM
18
3.- Priorización
 Inventario de Activos
 Valoración Topológica de Amenaza
Presentación OSSIM
19
4.- Valor del Riesgo
 Riesgo Intrínsico e Instantáneo
1.- Valor del Activo
2.- Amenaza del Evento
ACTIVOS
AMENAZA
IMPACTOS
FIABILIDAD
RIESGO
3.- Probabilidad
Riesgo Real de Amenaza
Presentación OSSIM
20
5.- Motor de Correlación. (Valor añadido de OSSIM)
 Basado en el uso de Directivas lógicas que ayudan a
determinar el riesgo de un Ataque en la Red.
 Estimación del riesgo de un ataque, calculado en función de:
ASSET = Activo
PRIORITY = Valor de la amenaza
RELIABILITY = Fiabilidad
Eventos
Vulnerabilidades
Anomalías
Versiones
Presentación OSSIM
21
5.1.- Motor de Correlación. (Directivas)
 Basado en el uso de Directivas lógicas que ayudan a
determinar el riesgo de un Ataque en la Red.
Presentación OSSIM
22
Ejemplo: Gusano Sasser
Evitamos Falsos Positivos
Alarma única Verdadera
Correlación
Priorización
Colección
D. Anomalías
Sasser
Presentación OSSIM
23
5.2.- Motor de Correlación
Ejemplo de Alarma Correlada de un Gusano
Presentación OSSIM
24
5.3.- Motor de Correlación
Ej. Intrusión:
1.1.
“Hola!”
0
2.
“A tus órdenes”
Fiabilidad del Ataque
3.
Persistencia
4.
Comportamiento
9
Presentación OSSIM
25
6. Consola Forense
Presentación OSSIM
26
7. Cuadro de Mandos. Métricas de Seguridad.
Presentación OSSIM
27
OSSIM Gestión de la Seguridad a todos los Niveles
Abstracción
1.
2.
Métricas
Estado de Seguridad de la Empresa
Alarmas (decenas)
Riesgo de Suceso
3.
Eventos (millones)
Trazas Detallada de Eventos
Presentación OSSIM
28
Todo en una Caja Negra
Presentación OSSIM
29
Caso de éxito en la Administración pública

Cliente: Ayuntamiento de Alcobendas

Necesidades:
6.
Monitorización del Tráfico de Red.
Errores en Aplicaciones de la Administración.
Gestión de la Seguridad de sus dispositivos.
Estado Real de la Seguridad en su Red.
7.
8.
9.
Presentación OSSIM
30
Caso de éxito en la Administración pública: Esquema de red
Delegaciones de la
Administración del
Ayuntamiento de
Alcobendas
Vlanes
Consola de
Gestión
OSSIM
Presentación OSSIM
31
Gestión de la Seguridad Centralizada.
Presentación OSSIM
32
Consola Forense: Ejemplos Reales

P2P e-Donkey Detectado
Presentación OSSIM
33
Consola Forense: Ejemplos Reales

Detectada Actividad MNS (Messenger) Tunelizado por Tramas
HTTP a través del Proxy.
Presentación OSSIM
34
Eventos de Seguridad: Ejemplos Reales

Detectado Cambio de Mac:

Detectado Cambio de Sistema Operativo:
Sistema Operativo Actual
Sistema Operativo Anterior
Presentación OSSIM
35
Gestión de la Seguridad: Incidencias

Gestor de Incidencias:
Presentación OSSIM
36
Gestión de la Seguridad: Incidencias

Comunicado y Escalado de Incidencias:
Presentación OSSIM
37
Gestión de la Seguridad: Informes de Seguridad

Ejemplo de Informes propios del sistema;
Presentación OSSIM
38
Caso de éxito en la Administración pública: Beneficios

Beneficios con la herramienta OSSIM:
3.
Disponibilidad de Información para la Toma de Decisiones.
Mejora del Rendimiento de Redes.
Optimización de la Productividad del equipo técnico del Cliente.
Incorporación de Nuevos Servicios.
Aumento de la capacidad de Gestión de la seguridad de la
información.
4.
5.
6.
7.
Presentación OSSIM
39

Referencias OSSIM
Presentación OSSIM
40
Referencias de la plataforma de seguridad OSSIM
¿Por qué OSSIM es Nº 1 como producto?

Es la 1º Consola Open Source de Seguridad del Mundo
Esta en el puesto 85 como producto open source (sourceforge)
 Tuvo alrededor de 30.000 downloads en el año 2005
 Es visitada por 15.000 especialistas al mes

Presentación OSSIM
41
Referencias
España








CASA/EADS Espacio
Telefónica Móviles
Telefónica Empresas
Mercados Financieros
People ETT
Chronoexpress
Grupo Bergé
Ayto Alcobendas
Presentación OSSIM
42
Referencias
(no implantados por IT Deusto)
Extranjero








Navy (EEUU)
Nasa (EEUU)
Min. Defensa (Australia)
Min. Economía (Francia)
Dep del Gobierno (Mexico)
Philipps (Holanda)
BellSouth (EEUU)
Universidad de Pekin (China)
Presentación OSSIM
43
Área Seguridad IT Deusto
¡ Ruegos y Preguntas !
Gonzalo Asensio Asensio
Jefe de Proyecto Seguridad Informática
gasensio@itdeusto.com
Tlf: 659 43 43 33
GRACIAS POR LA ATENCIÓN
Descargar