Mayo del 2006 www.itdeusto.com Gestión de la Seguridad con OSSIM Gonzalo Asensio Asensio Jefe de Proyecto Seguridad Informática [email protected] La Seguridad en IT-Deusto Área de Seguridad IT Deusto IT-Deusto posee una larga experiencia y especialización. Responsables de Seguridad de Primeros ISP Creación de IP6 Seguridad (1997) e IP Soluciones (2000) Integración de IP Soluciones en IT- Deusto (2003) Equipos de expertos: más de 40 personas dedicadas exclusivamente a la seguridad informática Soluciones de Seguridad propias Open Source (OSSIM) Presentación OSSIM 2 Evolución Tecnológica SIM SENSOR Integración IDS Firewall 1994 2000 2001 2003 Presentación OSSIM 3 El Problema 1. ¿Por donde empiezo? 1. ¿Cuales son las alertas de verdad? 1. ¿En que situación estoy? Presentación OSSIM 4 La solución para Gestionar la Seguridad: OSSIM Open Source Security Information Management Consola de Gestión de Seguridad (código abierto) http://www.ossim.net/ http://sourceforge.net/projects/os-sim/ Se trata de un Producto líder, probado por más de 22.000 usuarios a nivel mundial. Presentación OSSIM 5 ¿Qué es OSSIM? Plataforma de Seguridad Open Source compuesta por más de 22 Herramientas lideres en el campo de la Seguridad Informática: Composición Básica de OSSIM; 5. 8. Servidor OSSIM (Consola de Gestión) Framework (Interacción entre Módulos) Base de datos de OSSIM (Eventos) Agentes (Sondas Colectoras) Todo montado sobre Sistemas Linux 6. 7. Presentación OSSIM 6 OSSIM. Herramientas Pioneras. Herramientas más Destacadas de OSSIM IDS (Snort) Monitorización de tráfico de Red (Ntop) Anomalías y detección de nuevos Servicios (Pads) Anomalías de Red por comportamiento (Spade) Detección de Cambios de Mac (Arpwatch) Detección de Cambios de Sistema Operativo (P0f) Monitor de persistencia (rrd, Spade) Analizadores de protocolos (Ntop) Inventariado servicios activo (Nmap) Scanner de Vulnerabilidades (Nessus) IDS de HOST (Osiris) Recolección de Multiples Dispositivos (Plugins) Presentación OSSIM 7 Security Information Management (SIM) Presentación Cuadro de Mandos C. Forense M. Riesgos Monitorización Detección Transacciones Val. Riesgo M. Servicios Correlación Auditoría Val. Riesgo Inventario Priorización M. Sesiones M. Uso D. Anomalías D. Patrones Audit Sist Audit Red Normalización Colección Presentación OSSIM 8 Funcionalidades de OSSIM Consola Forense y Monitores de Red para el bajo nivel Nuevas capacidades desarrolladas para aumentar la fiabilidad y sensibilidad de la detección: Correlación Priorización Valoración de Riesgos Detectores y monitores integrados en la distribución de la solución: IDS (detectores de patrones) Detectores de Anomalías Firewalls Monitores Varios Pluggins de recolección de fuentes externas Herramientas de Monitorización Monitores de Riesgo y Comportamiento para la monitorización a nivel medio “Postproceso” de los SIM Cuadro de Mandos para visibilidad a alto nivel Preprocesadores Framework, herramienta de administración que configura y organiza los diferentes módulos ¿Cuáles son las principales funcionalidades? OSSIM complementa muchos otros productos de mercado que no disponen de todas sus funcionalidades Presentación OSSIM 9 Efecto embudo Unix Windows Router Web Host BBDD Colección Correlación Cuadro de Mandos Alarma! Presentación OSSIM 10 Arquitectura OSSIM Cuadro de Mandos A. Forense Monitor Riesgos Monitor Uso KDB Correlación Valor de Riesgo EDB UDB Priorización Colector / Normalización Detectores: Anomalías IDS FW UNIX Windows Presentación OSSIM 11 De los Eventos a la Gestión de la Seguridad 1.- Colección Millones de Eventos 2.- Anomalías 3.- Priorización 4.- Valor del Riesgo Cientos de Eventos 5.- Correlación 6.- Consola Forense Decenas de Alarmas 7.- Cuadro de Mandos Gestión de la Seguridad Presentación OSSIM 12 1.- Colección: Topología Correla Correla BBDD Valora Riesgos Prioriza Prioriza D i s t r i b Management Server Consolid Mon IDS Sonda / gente Colector 1 Sensor Anom Scan Sonda / Colector 2 Parser Plg Plg Plg Plg Plg Plg Plg Plg Plg PC PC PC Presentación OSSIM 13 2.1.- Anomalías Monitorización del Uso (Estadístico) Monitorización de Sesiones (En Tiempo Real) Creación de Perfiles por Patrones. Anomalías de Red. Presentación OSSIM 14 2.2.- Anomalías Monitorización del Uso (Estadístico) Presentación OSSIM 15 2.3.- Anomalías Monitorización de Sesiones (En Tiempo Real) Presentación OSSIM 16 2.4.- Anomalías Creación de Perfiles por Patrones. - Servicios, Duración, Horario, Tamaño, Contenido, etc. Umbrales máximos permitidos Presentación OSSIM 17 2.5.- Anomalías Anomalías de Red. Predicción por el Algoritmo Holt Winters; Predicción futura, a través de tendencias; Diarias, Semanales, Anuales Tráfico anormal Presentación OSSIM 18 3.- Priorización Inventario de Activos Valoración Topológica de Amenaza Presentación OSSIM 19 4.- Valor del Riesgo Riesgo Intrínsico e Instantáneo 1.- Valor del Activo 2.- Amenaza del Evento ACTIVOS AMENAZA IMPACTOS FIABILIDAD RIESGO 3.- Probabilidad Riesgo Real de Amenaza Presentación OSSIM 20 5.- Motor de Correlación. (Valor añadido de OSSIM) Basado en el uso de Directivas lógicas que ayudan a determinar el riesgo de un Ataque en la Red. Estimación del riesgo de un ataque, calculado en función de: ASSET = Activo PRIORITY = Valor de la amenaza RELIABILITY = Fiabilidad Eventos Vulnerabilidades Anomalías Versiones Presentación OSSIM 21 5.1.- Motor de Correlación. (Directivas) Basado en el uso de Directivas lógicas que ayudan a determinar el riesgo de un Ataque en la Red. Presentación OSSIM 22 Ejemplo: Gusano Sasser Evitamos Falsos Positivos Alarma única Verdadera Correlación Priorización Colección D. Anomalías Sasser Presentación OSSIM 23 5.2.- Motor de Correlación Ejemplo de Alarma Correlada de un Gusano Presentación OSSIM 24 5.3.- Motor de Correlación Ej. Intrusión: 1.1. “Hola!” 0 2. “A tus órdenes” Fiabilidad del Ataque 3. Persistencia 4. Comportamiento 9 Presentación OSSIM 25 6. Consola Forense Presentación OSSIM 26 7. Cuadro de Mandos. Métricas de Seguridad. Presentación OSSIM 27 OSSIM Gestión de la Seguridad a todos los Niveles Abstracción 1. 2. Métricas Estado de Seguridad de la Empresa Alarmas (decenas) Riesgo de Suceso 3. Eventos (millones) Trazas Detallada de Eventos Presentación OSSIM 28 Todo en una Caja Negra Presentación OSSIM 29 Caso de éxito en la Administración pública Cliente: Ayuntamiento de Alcobendas Necesidades: 6. Monitorización del Tráfico de Red. Errores en Aplicaciones de la Administración. Gestión de la Seguridad de sus dispositivos. Estado Real de la Seguridad en su Red. 7. 8. 9. Presentación OSSIM 30 Caso de éxito en la Administración pública: Esquema de red Delegaciones de la Administración del Ayuntamiento de Alcobendas Vlanes Consola de Gestión OSSIM Presentación OSSIM 31 Gestión de la Seguridad Centralizada. Presentación OSSIM 32 Consola Forense: Ejemplos Reales P2P e-Donkey Detectado Presentación OSSIM 33 Consola Forense: Ejemplos Reales Detectada Actividad MNS (Messenger) Tunelizado por Tramas HTTP a través del Proxy. Presentación OSSIM 34 Eventos de Seguridad: Ejemplos Reales Detectado Cambio de Mac: Detectado Cambio de Sistema Operativo: Sistema Operativo Actual Sistema Operativo Anterior Presentación OSSIM 35 Gestión de la Seguridad: Incidencias Gestor de Incidencias: Presentación OSSIM 36 Gestión de la Seguridad: Incidencias Comunicado y Escalado de Incidencias: Presentación OSSIM 37 Gestión de la Seguridad: Informes de Seguridad Ejemplo de Informes propios del sistema; Presentación OSSIM 38 Caso de éxito en la Administración pública: Beneficios Beneficios con la herramienta OSSIM: 3. Disponibilidad de Información para la Toma de Decisiones. Mejora del Rendimiento de Redes. Optimización de la Productividad del equipo técnico del Cliente. Incorporación de Nuevos Servicios. Aumento de la capacidad de Gestión de la seguridad de la información. 4. 5. 6. 7. Presentación OSSIM 39 Referencias OSSIM Presentación OSSIM 40 Referencias de la plataforma de seguridad OSSIM ¿Por qué OSSIM es Nº 1 como producto? Es la 1º Consola Open Source de Seguridad del Mundo Esta en el puesto 85 como producto open source (sourceforge) Tuvo alrededor de 30.000 downloads en el año 2005 Es visitada por 15.000 especialistas al mes Presentación OSSIM 41 Referencias España CASA/EADS Espacio Telefónica Móviles Telefónica Empresas Mercados Financieros People ETT Chronoexpress Grupo Bergé Ayto Alcobendas Presentación OSSIM 42 Referencias (no implantados por IT Deusto) Extranjero Navy (EEUU) Nasa (EEUU) Min. Defensa (Australia) Min. Economía (Francia) Dep del Gobierno (Mexico) Philipps (Holanda) BellSouth (EEUU) Universidad de Pekin (China) Presentación OSSIM 43 Área Seguridad IT Deusto ¡ Ruegos y Preguntas ! Gonzalo Asensio Asensio Jefe de Proyecto Seguridad Informática [email protected] Tlf: 659 43 43 33 GRACIAS POR LA ATENCIÓN