Correlaci

1
Correlación de Eventos (Gestión de eventos de
Seguridad)

• Pablo Ruiz García - Julio de 2003

http//www.digitalsec.net
2

• ... Many computers and network devices keep
  logs of the
• events they encounter. These events are usually
  very
• specific to a certain operating system,
  application, or
• network component. When intruders attack any part
  of a
• computer network, its likely that telltale signs
  are left
• behind, written as events to the logs of the
  computers on
• the front line of the attack.
• Youd like to see these events as they are
  occurring, rather
• than going back to each system weeks later and
  dumping
• its system logs. Youd like to have the events
  from
• different systems correlated, to detect broad
  attacks.
• Youd like the log data to be consolidated and
• synchronized, so you can see what is happening
  where.
• Most important, youd like to generate automated
• responses to intrusions, corresponding to the
  security
• policies youve established in your organization.
• These are the topics addressed by products that
  perform
• security event correlation. ...

3
Gestión de intrusiones Realidad de mercado

• El mercado de la seguridad se mueve a dia de hoy
  hacia la prevención de los ataques y las
  intrusiones donde sea posible mientras se
  supervisan, manejan y procura responder a los
  acontecimientos críticos de la seguridad
• Mucho de ese esfuerzo se ha enfocado en comprar y
  desplegar productos basados en la detección de la
  intrusión en red, pero con resultados
  generalmente insatisfactorios
• A día de hoy los actuales sistemas de seguridad
  corporativos (IDSs, fws, etc.) adolecen de una
  falta de integración en los procesos de gestión
  de las empresas

4
Gestión de intrusiones - Futuro

• En palabras de Pinkesh Shah, director de
  PentaSafe Inc
• IDS must evolve beyond its point product
  tradition and encompass a new level of management
  capabilities. Companies have to focus on managing
  events, correlating them, and responding to them
  in real time.
• La correlación de eventos es una parte
  fundamental de la gestión de eventos de seguridad
  y su automatización e integración con el resto de
  procesos puede facilitar mucho la operación
  eficiente de las empresas

5
Gestión de Intrusiones - qué es?

• Esta integración entre seguridad y gestión es lo
  que se llama Intrusion Management y esta
  divido en varias areas
• Vulnerability management
• Intrusion detection
• Security Event Management
• Incident Response
• (fuente Giga Information Group)

6
Antecedentes

• La correlación de eventos apareció inicialmente
  en las herramientas de gestión y monitorización
  de redes, en especial para evitar los típicos
  Event Storms ocurridos tras la caida de algun
  dispositivo critico, pe

• HP OpenView/ECS
• http//www.openview.hp.com/products/ecs/
• ECS Cisco
• http//www.cisco.com/warp/public/cc/pd/wr2k/tech/
  cnm_rg.htm
• Tivoli Event Correlation Automation
• http//www-3.ibm.com/software/tivoli/solutions/pa
  /event/

Sin embargo, es una tecnología mucho mas practica
en seguridad, donde generalmente varios eventos
indican un único problema.
7
Que significa Correlación?

• Relación recíproca o mutua entre dos o más
  entidades comparables en un determinado periodo
  de tiempo.
• Existencia de mayor o menor dependencia mutua
  entre dos variables aleatorias.
• (Seguridad) La agrupación de múltiples elementos
  individuales para la determinación de ataques o
  situaciones anómalas en los diferentes elementos
  de la arquitectura corporativa.
• (Estadística) El cambio simultaneo del valor de
  dos variables aleatorias aparentemente no
  relacionadas.

8
Por qué es necesaria la correlación de eventos? I

• Necesidad de integración múltiples plataformas y
  sistemas de diferentes fabricantes con formatos
  de información y registro diferentes.
• Excesivas cantidades de datos (logs) que son
  difíciles de procesar, o que limitan la
  efectividad de los equipos de investigación de
  incidentes.
• El trafico de Internet, los gusanos y los scripts
  de automatización de ataques causan grandes
  cantidades de falsos positivos y de eventos de
  seguridad en firewalls y sistemas de detección de
  intrusos.
• Tanto los grandes volúmenes de datos, como los
  falsos positivos causan una gran perdida de
  tiempo (y recursos) en análisis.

9
Por qué es necesaria la correlación de eventos?
II

• Falta de metodologías para la revisión de logs
• La correlación puede indicarnos que existe un
  problema aunque no se puede identificar el
  problema en concreto
• Necesidad de una visión horizontal de la
  seguridad de todos los sistemas. (En especial de
  cara a dirección)
• Visión horizontal incluso de los sistemas de
  varias empresas, pe Managed Security Services o
  Security Providers)

10
Qué información se puede utilizar en la
correlación? I

• Registros de seguridad/Auditoria
• Firewalls
• Antivirus
• Sistemas de detección de intrusos
• Herramientas de filtrado de contenidos
• Herramientas de búsqueda de vulnerabilidades
• Información de análisis de seguridad Manual
• Registros de sistema/comunicaciones
• Unix Syslog.
• NT Eventlog.
• Routers, switches, etc.
• Proxys.
• Información de aplicativos
• Aplicaciones Corporativas (Aplicaciones propias)
• Mail, Servidor Web, DNS, etc.

11
Qué información se puede utilizar en la
correlación? II

• Información de herramientas de gestión
• Inventario!
• Gestores SNMP (HPOV, Tivoli, etc.)
• Información externa
• Security Focus (Vuln. DDBB)
• Security Providers
• Información de fabricantes (Advisories)
• Otras herramientas de correlación
• Históricos!
• Datos de correlación históricos
• Métricas de red y comunicaciones
• Métricas de rendimiento de sistemas
• Información Interna
• Call center
• Administradores

12
Requisitos Que necesita un sistema de
Correlación?

• Centralización de logs y eventos
• Reducción de la información a tratar
• Motor de correlación
• Explotación del sistema
• Control de cambios
• Continuidad

13
Requisitos - Centralización de logs y eventos I

• Cuanta mas información, mejor! (siempre siendo
  coherente con los posibles problemas de
  rendimiento asociados)
• Es necesario un análisis global a todos los
  entornos implicados para determinar como
  extraer la información de cada
• Es importante tener en cuenta que se va a extraer
  información de dispositivos de diferentes
  departamentos y entornos, con políticas y
  necesidades diferentes
• Transporte y almacenamiento seguro de los datos a
  procesar
• Seguridad de que los datos no se han perdido
• Seguridad de que los datos no han sido alterados
• Ciertos datos se deben tratar conforme a la ley
  (LOPD)

14
Requisitos - Centralización de logs y eventos II

• Todas las maquinas involucradas deben mantener
  sus fechas sincronizadas.
• El sistema donde se almacenen centralizados los
  datos se debe considerar critico y debe ser
  tratado como tal
• Es fundamental conservar únicamente las partes
  útiles de cada formato de log de diversos
  dispositivos (reducción de datos)
• El formato de log final debe ser los
  suficientemente dinamico y extensible para poder
  añadir diferentes tipos de datos a lo largo de la
  vida del sistema de correlación
• Consolidación de los datos unificados en un único
  punto (Generalmente una BBDD relacional que
  facilite su acceso)

15
Requisitos - Reducción de la información a tratar

• Reducción de la información a tratar
• Eliminación de duplicados
• Filtrar eventos similares
• Sumarización/Compresión de eventos
• Cuidado! los logs modificados pueden no ser
  validos judicialmente
• Almacenamiento o Backup paralelo de los logs
  originales

16
Requisitos Motor y Explotación

• Motor de correlación
• Explotación del sistema
• El uso del sistema requiere de entrenamiento y
  conocimiento de las plataformas involucradas, así
  como del lenguaje para la creación de nuevas
  reglas de correlación
• Integración con el workflow de operación de la
  empresa
• Necesidad de soporte (Partner Tecnológico)

17
Requisitos Control de cambios y Continuidad

• Control de cambios
• En algunos casos y por diferentes motivos, puede
  ser necesario asumir una vulnerabilidad, para
  esto, puede ser necesario el uso del inventario o
  de historicos
• Continuidad
• Reingeniería de procesos Cada nuevo desarrollo
  dentro de la compañía debe tener en cuenta su
  integración en el sistema de correlación
• La definición del formato, tratamiento y
  almacenamiento de logs debe ser una fase mas a
  tener en cuenta dentro de los proyectos de la
  empresa.

18
Tipos de Correlación

• Micro Correlación
• Comparar datos de mismo tipo generados por
  diferentes fuentes. (Buscar todos los eventos de
  una misma dirección IP)
• Correlación atómica
• Tipo de micro correlación que se realiza sobre
  un mismo tipo de dato no normalizado
• Macro Correlación
• Comparar múltiples tipos de datos de diferentes
  sistemas. (Comparar un evento generado por un IDS
  con el informe de un escáner de vulnerabilidades)
• Correlación múltiple
• Aplicar los otros tipos de correlación en
  fuentes de datos generados por múltiples
  compañías (Managed Services)

19
Micro correlación

• Correlación de Campos Correlar eventos dado un
  unico o multiples campos dentro de los datos
  normalizados. (Todos los eventos de una misma
  dirección IP y/o destinados al puerto 80)
• Correlación mediante reglas o patrones
  Correlacion de un cojunto de eventos
  relacionables mediante reglas y patrones
  preestablecidos en un unico evento de
  seguridad. (Aunar multiples eventos de apertura
  de puertos paquetes SYN como un unico PORTSCAN)
• Correlación de firmas El tipo de correlación de
  utiliza un IDS, comparar datos sospechosos con
  patrones predefinidos como maliciosos

20
Macro Correlación I

• Correlación de Vulnerabilidades Asociar los
  eventos detectados por un IDS a las alertas de
  seguridad generadas por una herramienta de
  analisis de vulnerabilidades (o a las alertas
  generadas por un servicio de alerta automatico,
  pe Security Focus)
• Correlación de Perfiles Comparar los eventos
  sucedidos en un momento determinado con los
  eventos originados por ataques en el pasado
  (Event Sequence)
• Correlación Estadística Correlar metricas
  actuales con sus equivalencias historicas en
  diferentes periodos de tiempo. (Comparar el
  numero de logins fallidos en un entorno entre el
  ultimo mes y el mes actual)

21
Macro Correlación II

• Correlación mediante listas Correlacionar los
  eventos normalizados con una serie de listas
  predefinidas de anteriores atacantes. Dichas
  listas se actualizan automaticamente con cada
  nuevo incidente de seguridad (pe analizar las
  direcciones IP de los eventos con una lista de
  atacantes conocidos)
• Correlación dirigida a eventos Es la que
  utiliza información de cualquier fuente
  pertinente como medio para ayudar en el
  diagnostico, resolución o prioritización del
  evento. (el uso de un inventario para asignar
  prioridades a los eventos de seguridad según la
  criticidad del entorno al que afecten)

22
dónde tiene sentido el uso de la Correlación?

• Cualquier persona dando soporte y gestión a mas
  de un dispositivo de seguridad (o de red)

• Proveedores de seguridad gestionada
• Grandes empresas (especialmente las tecnológicas)
• Entidades estatales con mucha infraestructura IT
• Entornos críticos con infraestructura de
  seguridad
• Cuanto mas grande y heterogénea sea una compañía,
  mas útil es el uso de la Correlación

23
Ejemplo funcional

• Ante el ataque de un gusano como el CodeRed a
  alguna de las redes de la empresa, varios
  sistemas empiezan a generar información
• El firewall genera eventos informando de
  conexiones dirigidas al puerto 80 de diferentes
  direcciones IP, algunas de estas conexiones son
  denegadas (dropped) y algunas consiguen acceder
  hasta los servidores Web de nuestra empresa
• El NIDS avisa del intento de ataque de la
  vulnerabilidad IIS-IDQ en algunos de nuestros
  servidores Web
• Cada Servidor Web afectado registra en sus
  ficheros de log las conexiones del ataque y su
  codigo de respuesta pertinente
• El HDIS también registra los intentos de ataque
  registrados por el servidor Web en su fichero de
  Log.