Proyecto OWASP Logging Marc Chisinevski. Metas de esta presentación Aclarar los objetivos del...
-
Upload
jose-francisco-lopez-salazar -
Category
Documents
-
view
219 -
download
0
Transcript of Proyecto OWASP Logging Marc Chisinevski. Metas de esta presentación Aclarar los objetivos del...
Proyecto OWASP Logging
Marc Chisinevski
Metas de esta presentación
Aclarar los objetivos del proyecto OWASP Logging
Examinar la integración de logs y de eventos generados por una aplicación en un sistema de seguridad.Demonstración 1.
Discutir sobre problemas típicos de los sistemas de
seguridad y presentar una solución multidimensional. Demonstración 2.
Metas del proyecto OWASP Logging
1) Proporcionar herramientas que ayuden a los programadores a generar logs coherentes y completos
2) Proporcionar herramientas de análisis del código fuente para comprobar que los logs son completos y coherentes (contenido, formato, sellos de tiempo)
3) Integrar los eventos y logs generados por una aplicación en un sistema de seguridad
4) Realizar análisis forense
5) Compartir información sobre eventos de seguridad
1) Proporcionar herramientas que ayuden a los programadores a generar logs coherentes y completos
Aprovechar funciones de los entornos de desarrollo integrado:
- función de autocompletar
- plantillas de código
- política de logs
Las plantillas proporcionadas por los entornos de desarrollo integrado pueden proveer:verificaciones, sugestiones, valores por defecto.Ejemplos (OWASP Enterprise Security API):- identificador de sesión, identidad del usuario que causó el evento de seguridad, descripción del evento - resultado del evento (éxito o fallo), severidad del evento, marca que indica si es un evento de seguridad - nombre y IP del servidor donde el evento ha ocurrido; IP del usuario- fecha y hora
2) Proporcionar herramientas de análisis del código fuente para comprobar que los logs son completos y coherentes
Herramientas de análisis del código tales como OWASP yasca pueden fácilmente ser adaptadas para que:
la política de logs sea respetada
los informes de logs sean coherentes y completos (contenido, formato, sellos de tiempo)
3) Integrar los logs y los eventos generados por una aplicación en un sistema de seguridad
OSSIM (http://www.ossim.net/) provee plugins (añadidos) para analizar los logs de: servidores web y de aplicaciones, cortafuegos
aplicativos, sistemas de detección y de prevención de intrusiones
OSSIM genera y almacena eventos en su formato original.
Añadir un plugin para el análisis de logs aplicativos es simple como buscar una expresión regular pero a condición de que los programadores hayan producido logs completos y coherentes.
Problemas típicos de los sistemas de seguridad actuales
Es difícil de obtener vistas agregadas pertinentes Ejemplos:
Alarmas sobre Cliente1 en diciembreAlarmas in Datacenter1 en enero
Es difícil calcular indicadores Ejemplo:
La expectativa de pérdida anual por el Activo1La expectativa de pérdida simple es la cantidad total de ingresos que se pierde por una única incidencia del riesgo.
Problemas típicos de los sistemas de seguridad actuales
Es difícil de comparar los resultados con los datos históricos
Problemas de rendimiento
Demostración 1 - OSSIM
Máquina virtual preinstalada con OSSIM
Tablero de mando de OSSIM
La información obtenido cliqueando en « Today » dentro del previo tablero de control no es de mucha utilidad para ejecutivos, con todo el respeto
Ventajas funcionales de una solución multidimensional
Evaluaciones de riesgo y del rendimiento de las medidas/acciones de seguridad. Agregación y presentación para ejecutivos.
Vistas diferentes: Cliente, Activo, Centro de datos, Tiempo
Indicadores: Expectativas de perdida, Riesgo
Ventajas funcionales de una solución multidimensional
Niveles de agregación bien definidos:
Datos brutos: Eventos, Servidores
Datos agregados: Alarmas, Activos, Clientes, Centro de Datos, Tiempo, Geografía
Ventajas técnicas de una solución multidimensional
Los informes no se lanzan en el entorno de producción del sistema de seguridad
No se necesita SQL para bajar a un nivel detallado de la información (« drill-down » o para subir un nivel agregado de la información (« roll-up”)
Integrar fuentes de datos dispares
Demostración 2 Solución multidimensional
Ejemplo con Essbase
Essbase outlines(esquemas)
Essbase outlines
Datos de tests
Vista Activos
Vista Cientros de Datos
Vista Clientes
Preguntas y Respuestas
Lista de menciones
Equipo de OSSIM
Wojtek Janeczek, amigo y experto en bases de datos multidimensionales
Gracias!