A3sec Webinar AlienVault USM - Sistemas de detección de ataques en tiempo real
Click here to load reader
-
Upload
a3sec -
Category
Technology
-
view
1.152 -
download
0
Transcript of A3sec Webinar AlienVault USM - Sistemas de detección de ataques en tiempo real
![Page 1: A3sec Webinar AlienVault USM - Sistemas de detección de ataques en tiempo real](https://reader037.fdocuments.mx/reader037/viewer/2022100304/555a6a20d8b42ae7218b4daf/html5/thumbnails/1.jpg)
Webinar A3Sec
AlienVault USM -Sistemas de detección de ataques en tiempo real
4 de Febrero del 2014
![Page 2: A3sec Webinar AlienVault USM - Sistemas de detección de ataques en tiempo real](https://reader037.fdocuments.mx/reader037/viewer/2022100304/555a6a20d8b42ae7218b4daf/html5/thumbnails/2.jpg)
• AlienVault USM• IDS de Red • IDS de Host• IDS de Wireless• Configuración de IDS• Recolección de eventos IDS• Demos• Q&A
Contenido
2
![Page 3: A3sec Webinar AlienVault USM - Sistemas de detección de ataques en tiempo real](https://reader037.fdocuments.mx/reader037/viewer/2022100304/555a6a20d8b42ae7218b4daf/html5/thumbnails/3.jpg)
AlienVault USM
3
![Page 4: A3sec Webinar AlienVault USM - Sistemas de detección de ataques en tiempo real](https://reader037.fdocuments.mx/reader037/viewer/2022100304/555a6a20d8b42ae7218b4daf/html5/thumbnails/4.jpg)
AlienVault Unified Security Management
4
Determinamos que tiene Valor
Identificamos como pueden afectar lo que es valioso
Identificamos Amenazas
Buscamos actividad que pueda ser sospechosa
Unimos todas las piezas
¿Cómo protegemos nuestras casas ?
![Page 5: A3sec Webinar AlienVault USM - Sistemas de detección de ataques en tiempo real](https://reader037.fdocuments.mx/reader037/viewer/2022100304/555a6a20d8b42ae7218b4daf/html5/thumbnails/5.jpg)
AlienVault Unified Security Management
5
¿Cómo aseguramos nuestra empresa?
Determinamos que tiene Valor
Identificamos como pueden afectar lo que es valioso
Identificamos Amenazas
Buscamos actividad que pueda ser sospechosa
Unimos todas las piezas
![Page 6: A3sec Webinar AlienVault USM - Sistemas de detección de ataques en tiempo real](https://reader037.fdocuments.mx/reader037/viewer/2022100304/555a6a20d8b42ae7218b4daf/html5/thumbnails/6.jpg)
AlienVault Unified Security Management
6
¿Como aseguramos nuestra empresa?
Análisis de la Red
Inventario de Activos
Escaneos
Vulnerabilidades
Recolección de Logs
Análisis de NetFlows
Monitorización Disponibilidad
Correlación de eventos
Respuesta a Incidentes
IDS de Red
IDS de Host
IDS Wireless
![Page 7: A3sec Webinar AlienVault USM - Sistemas de detección de ataques en tiempo real](https://reader037.fdocuments.mx/reader037/viewer/2022100304/555a6a20d8b42ae7218b4daf/html5/thumbnails/7.jpg)
5 Capacidades principales del USM
AlienVault’s Unified Security Management™ (USM™) proporciona unaforma rápida y rentable para las organizaciones de hacer frente a lasnecesidades de gestión de amenazas y cumplimento.
Con todos los controles de seguridad esenciales incorporados,AlienVault USM provee una visibilidad completa de la seguridad de lainformación.
7
![Page 8: A3sec Webinar AlienVault USM - Sistemas de detección de ataques en tiempo real](https://reader037.fdocuments.mx/reader037/viewer/2022100304/555a6a20d8b42ae7218b4daf/html5/thumbnails/8.jpg)
5 Capacidades principales del USM
Automatización de Inventario para los activos críticos
El descubrimiento de activos nos permite crear un inventario de losactivos desplegados, logrando con ello dar un primer paso para laevaluación de vulnerabilidades, detección de amenazas, apreciación delcomportamiento de la red y de los servicios para detectar violaciones enlas políticas corporativas.
8
![Page 9: A3sec Webinar AlienVault USM - Sistemas de detección de ataques en tiempo real](https://reader037.fdocuments.mx/reader037/viewer/2022100304/555a6a20d8b42ae7218b4daf/html5/thumbnails/9.jpg)
5 Capacidades principales del USM
Detecta que activos son vulnerables a los ataques
Mediante la combinación de la visibilidad completa y actualizada de lossistemas a través de las herramientas de evaluación de vulnerabilidades,AlienVault ha incorporado medidas preventivas de seguridad. Laevaluación de vulnerabilidades permite identificar posibles debilidadesen los sistemas y así priorizar las acciones para mejorar su nivel deseguridad.
9
![Page 10: A3sec Webinar AlienVault USM - Sistemas de detección de ataques en tiempo real](https://reader037.fdocuments.mx/reader037/viewer/2022100304/555a6a20d8b42ae7218b4daf/html5/thumbnails/10.jpg)
5 Capacidades principales del USM
Identifica exploits específicos utilizados en los ataques
Con una amplia base de conocimiento, el Sistema de Detección deIntrusiones en la red que AlienVault incorpora el análisis del tráfico dered para detectar firmas de ataques conocidos, e identificar patrones delos métodos de ataque conocidos. Esto proporciona una visibilidadinmediata de los ataques que se utilizan en contra de su sistema.
10
![Page 11: A3sec Webinar AlienVault USM - Sistemas de detección de ataques en tiempo real](https://reader037.fdocuments.mx/reader037/viewer/2022100304/555a6a20d8b42ae7218b4daf/html5/thumbnails/11.jpg)
5 Capacidades principales del USM
Identifica los comportamientos anormales
Los cambios en el comportamiento de las redes, sistemas y serviciospueden indicar una defensa débil o violación de seguridad. Para ello secombina el análisis del flujo de red para identificar los cambios sufridos,la captura de paquetes completos para el análisis forense y elseguimiento de servicios activos para verificar proactivamente cambiosen los servicios.
11
![Page 12: A3sec Webinar AlienVault USM - Sistemas de detección de ataques en tiempo real](https://reader037.fdocuments.mx/reader037/viewer/2022100304/555a6a20d8b42ae7218b4daf/html5/thumbnails/12.jpg)
5 Capacidades principales del USM
Inteligencia en la Seguridad de la Información en acción
Dar un valor añadido a la gran cantidad de información recogida es unosde los grandes objetivos de la Inteligencia de seguridad. Así, mediante laautomatización de la correlación de eventos en tiempo real podemoshacer que un trozo de información que por sí solo no significa nada,puede ser una pieza muy importante de un conjunto global.
12
![Page 13: A3sec Webinar AlienVault USM - Sistemas de detección de ataques en tiempo real](https://reader037.fdocuments.mx/reader037/viewer/2022100304/555a6a20d8b42ae7218b4daf/html5/thumbnails/13.jpg)
IDS de Red
13
![Page 14: A3sec Webinar AlienVault USM - Sistemas de detección de ataques en tiempo real](https://reader037.fdocuments.mx/reader037/viewer/2022100304/555a6a20d8b42ae7218b4daf/html5/thumbnails/14.jpg)
Snort es un sistema de detección de intrusos a nivel de red.
Dispone de un lenguaje de creación de reglas en el que se pueden definirlos patrones (reglas) que se utilizarán a la hora de monitorizar el sistema.
Snort es uno de los NIDS más utilizados en todo el mundo, su proyectoarranco en 1998 de la mano de Martin Roesch.
Es bastante útil para identificar: Malware, Escáneo de Puertos, Violaciónde Políticas(P2P, IM, Porn, Games...).
IDS de Red - Snort
14
![Page 15: A3sec Webinar AlienVault USM - Sistemas de detección de ataques en tiempo real](https://reader037.fdocuments.mx/reader037/viewer/2022100304/555a6a20d8b42ae7218b4daf/html5/thumbnails/15.jpg)
Malwarealert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"ET CURRENT_EVENTS MALWAREPotential Malware Download, rogue antivirus (IAInstall.exe)"; flow:established,to_server;uricontent:"/download/IAInstall.exe"; nocase; classtype:bad-unknown; reference:url,malwareurl.com;reference: url, www.emergingthreats.net/cgi-bin/cvsweb.cgi/sigs/CURRENT _EVENTS/CURRENT_Malwareurl_top_downloads; reference:url,doc.emergingthreats.net/2010447; sid:2010447; rev:2;)
Scansalert tcp $HTTP_SERVERS $HTTP_PORTS -> $EXTERNAL_NET any (msg:"ET SCAN Unusually Fast 403 ErrorMessages, Possible Web Application Scan"; flow:from_server,established; content:"HTTP/1.1 403";depth:13; threshold: type threshold, track by_dst, count 35, seconds 60; classtype:attempted-recon;reference: url www.checkupdown.com/status/E403.html; reference:url, doc.emergingthreats.net/2009749; reference:url,www.emergingthreats.net/cgi-bin/cvsweb.cgi/sigs/SCAN/SCAN_403; sid:2009749;rev:2;)
Violación de Políticasalert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"ET POLICY Megaupload file downloadservice access"; flow:to_server,established; content:"GET "; depth: 4; uricontent:"/?d="; content:"|0d0a|Host\: "; content:"megaupload.com"; within:25; nocase; classtype:policy-violation; reference:url,doc.emergingthreats.net/2009301; reference:url,www.emergingthreats.net/cgi-bin/cvsweb.cgi/sigs/POLICY/POLICY_Download_Services; sid:2009301; rev:2;)
IDS de Red - Snort
15
![Page 16: A3sec Webinar AlienVault USM - Sistemas de detección de ataques en tiempo real](https://reader037.fdocuments.mx/reader037/viewer/2022100304/555a6a20d8b42ae7218b4daf/html5/thumbnails/16.jpg)
Suricata es un sistema de detección de intrusos de red de la OpenInformation Security Foundation (OISF).
Es multiproceso, lo que significa que puede ejecutar una instancia y va aequilibrar la carga de procesamiento a través de cada procesador.
Reconocimiento de los protocolos más comunes automáticamente,permitiendo escribir reglas basadas en protocolos.
Suricata es compatible con las reglas de Snort.
IDS de Red - Suricata
16
![Page 17: A3sec Webinar AlienVault USM - Sistemas de detección de ataques en tiempo real](https://reader037.fdocuments.mx/reader037/viewer/2022100304/555a6a20d8b42ae7218b4daf/html5/thumbnails/17.jpg)
IDS de Host
17
![Page 18: A3sec Webinar AlienVault USM - Sistemas de detección de ataques en tiempo real](https://reader037.fdocuments.mx/reader037/viewer/2022100304/555a6a20d8b42ae7218b4daf/html5/thumbnails/18.jpg)
OSSEC es un HIDS (Host-level Intrusion Detection System) que permiteanálisis de logs, detección de rootkit, chequeos de integridad del sistema ymonitorización del registro de Windows.
OSSEC requiere la instalación de un agente para la monitorización(Excepto sistemas con acceso SSH).
IDS de Host - OSSEC
18
Attempt to login using a non-existent user
Attempt to use mail server as relay (client host rejected).
Logon failure: Account currently disabledSensor
![Page 19: A3sec Webinar AlienVault USM - Sistemas de detección de ataques en tiempo real](https://reader037.fdocuments.mx/reader037/viewer/2022100304/555a6a20d8b42ae7218b4daf/html5/thumbnails/19.jpg)
OSSEC se basa en una arquitectura cliente -> servidor.
AlienVault colecta los eventos del servidor OSSEC (Instalado en el SensorAlienVault).
OSSEC provee un sistema de plugins propios usados para el análisis deplataformas Windows y UNIX.
Utilidad dentro de la plataforma AlienVault:
Colección de logs de Windows y Unix
Colección de logs de aplicaciones
Monitorización de registro, archivos y directorios (DLP)
IDS de Host - OSSEC
19
![Page 20: A3sec Webinar AlienVault USM - Sistemas de detección de ataques en tiempo real](https://reader037.fdocuments.mx/reader037/viewer/2022100304/555a6a20d8b42ae7218b4daf/html5/thumbnails/20.jpg)
IDS de Wireless
20
![Page 21: A3sec Webinar AlienVault USM - Sistemas de detección de ataques en tiempo real](https://reader037.fdocuments.mx/reader037/viewer/2022100304/555a6a20d8b42ae7218b4daf/html5/thumbnails/21.jpg)
Kismet es un sistema detector de red Wireless en capa 2 (802.11), confuncionalidades de sniffer y detector de intrusos.
Kismet funciona con cualquier tarjeta inalámbrica con soporte paramonitorización en bruto (rfmon), y (con hardware apropiado) puedemonitorizar tráfico 802.11b, 802.11a, 802.11g y 802.11n.
Utilidad dentro de la plataforma AlienVault:
Aseguramiento de redes WIFI.
Detección de AP falsos.
Cumplimiento (Requerimientos PCI Wireless).
IDS de Wireless- Kismet
21
![Page 22: A3sec Webinar AlienVault USM - Sistemas de detección de ataques en tiempo real](https://reader037.fdocuments.mx/reader037/viewer/2022100304/555a6a20d8b42ae7218b4daf/html5/thumbnails/22.jpg)
Configuración de IDS
22
![Page 23: A3sec Webinar AlienVault USM - Sistemas de detección de ataques en tiempo real](https://reader037.fdocuments.mx/reader037/viewer/2022100304/555a6a20d8b42ae7218b4daf/html5/thumbnails/23.jpg)
Pasivo Vs Activo
23
ActivoPasivo
Las herramientas pasivas requieren un puerto mirroring / puerto span configurado en el equipo de red para ser capaz de analizar el tráfico de la red monitorizada/ s.
![Page 24: A3sec Webinar AlienVault USM - Sistemas de detección de ataques en tiempo real](https://reader037.fdocuments.mx/reader037/viewer/2022100304/555a6a20d8b42ae7218b4daf/html5/thumbnails/24.jpg)
Por defecto en una instalación de AlienVault USM viene activado el NIDSSuricata.
Tener las interfaces recibiendo el trafico de los port mirroring.
Avanzado: Realizar ajuste fino diferente para cada interfaz (Red de oficina,DMZ…) No utilizar aquellas reglas que no resultan interesantes para eltráfico que se va a recibir por cada interfaz.
IDS de Red - Snort & Suricata
24
![Page 25: A3sec Webinar AlienVault USM - Sistemas de detección de ataques en tiempo real](https://reader037.fdocuments.mx/reader037/viewer/2022100304/555a6a20d8b42ae7218b4daf/html5/thumbnails/25.jpg)
Por defecto en una instalación de AlienVault AIO o Sensor viene activadoel HIDS OSSEC con un agente desplegado para el proprio AlienVault.
AlienVault ha integrado todas las funcionalidades de OSSEC en su consolaWeb (todas las configuraciones necesarias se harán en el menúEnvironment -> detection -> HIDS ).
IDS de Host - OSSEC
25
![Page 26: A3sec Webinar AlienVault USM - Sistemas de detección de ataques en tiempo real](https://reader037.fdocuments.mx/reader037/viewer/2022100304/555a6a20d8b42ae7218b4daf/html5/thumbnails/26.jpg)
Tener configurado el Sensor Kistmet (howto en AlienVault Bloomfire)
Por defecto en una instalación de AlienVault, Kismet no viene activado porello es necesario habilitar el plugin de Kismet (AlienVault Center).
IDS de Wireless- Kismet
26
![Page 27: A3sec Webinar AlienVault USM - Sistemas de detección de ataques en tiempo real](https://reader037.fdocuments.mx/reader037/viewer/2022100304/555a6a20d8b42ae7218b4daf/html5/thumbnails/27.jpg)
Recolección de eventos IDS
27
![Page 28: A3sec Webinar AlienVault USM - Sistemas de detección de ataques en tiempo real](https://reader037.fdocuments.mx/reader037/viewer/2022100304/555a6a20d8b42ae7218b4daf/html5/thumbnails/28.jpg)
Recolección de Eventos IDS
28
SY
SLO
G
WM
I
WM
I
SY
SLO
G
SDEE
SY
SLO
G
OP
SE
C
FT
P
SYSLOG
Puerto MIRRORING
Colección de Logs
Comunicación Interna AlienVault
![Page 29: A3sec Webinar AlienVault USM - Sistemas de detección de ataques en tiempo real](https://reader037.fdocuments.mx/reader037/viewer/2022100304/555a6a20d8b42ae7218b4daf/html5/thumbnails/29.jpg)
Demostración
29
![Page 30: A3sec Webinar AlienVault USM - Sistemas de detección de ataques en tiempo real](https://reader037.fdocuments.mx/reader037/viewer/2022100304/555a6a20d8b42ae7218b4daf/html5/thumbnails/30.jpg)
Top 10 de Ataques de Seguridad
30
Desde Open Web Application Security Project (OWASP) han determinado:
A1 Inyección
A2 Pérdida de Autenticación y Gestión de Sesiones
A3 Cross-Site Scripting (XSS)
A4 Referencias directa inseguras a objetos
A5 Configuración de Seguridad incorrecta
A6 Exposición de datos sensibles
A7 – Ausencia de Control de Acceso a las Funciones
A8 Cross-Site Request Forgery (CSRF)
A9 Utilización de componentes con vulnerabilidades conocidas
A10 Redirects y Forwards no validados
![Page 31: A3sec Webinar AlienVault USM - Sistemas de detección de ataques en tiempo real](https://reader037.fdocuments.mx/reader037/viewer/2022100304/555a6a20d8b42ae7218b4daf/html5/thumbnails/31.jpg)
Arquitectura de la Demo
31
Apache Vulnerable192.168.0.123
Alienvault USM192.168.0.1
![Page 32: A3sec Webinar AlienVault USM - Sistemas de detección de ataques en tiempo real](https://reader037.fdocuments.mx/reader037/viewer/2022100304/555a6a20d8b42ae7218b4daf/html5/thumbnails/32.jpg)
Q & A
32
![Page 33: A3sec Webinar AlienVault USM - Sistemas de detección de ataques en tiempo real](https://reader037.fdocuments.mx/reader037/viewer/2022100304/555a6a20d8b42ae7218b4daf/html5/thumbnails/33.jpg)
A3Sec en la Red
33
www.a3sec.com
linkedin.com/company/a3secyoutube.com/a3sec
twitter.com/a3sec
![Page 34: A3sec Webinar AlienVault USM - Sistemas de detección de ataques en tiempo real](https://reader037.fdocuments.mx/reader037/viewer/2022100304/555a6a20d8b42ae7218b4daf/html5/thumbnails/34.jpg)
Preguntas
A3Sec MéxicoAvda. Paseo de la Reforma,389 Piso10, México DFTlf. +52 55 5980 3547
A3Sec EspañaC/ Aravaca, 6Piso2Dcha28040 MadridTlf. +34 915 330 978
A3Sec USA1401 Brickell Ave #320Miami, FL 33131, USAT. +1 786 556 90 32