analisando pacotes for fun and packet - conceito de network security monitoring (nsm - qualitek...
DESCRIPTION
Palestra no Qualitek Security Day sobre Analise de Pacote e conceito de Network Security Monitoring (NSM)TRANSCRIPT
Analisando pacotes for Fun & Detection – O interessante conceito de NSM (Network Security Monitoring)
Rodrigo “Sp0oKeR” Montoro
$ whois Rodrigo “Sp0oKeR” Montoro
Security System Administrator @ Sucuri
– Centenas de Web Application Firewall
– Milhões alertas mês (Disneyland =) )
Autor de 2 patentes pendentes
– Detecção Documentos maliciosos
– Análise Cabeçalhos HTTP
Palestrante em diversos eventos
– FISL, Latinoware, CNASI, SecTor (Canada), H2HC, Bsides (São Paulo e Las
Vegas), Source Seattle e Boston (EUA), Toorcon (EUA), Zoncon (EUA).
Triatleta / Corredor de Trilhas
MOTIVAÇÃO
AGENDA
Atual problema na detecção de intrusos
O conceito de NSM
Como colocar isso em prática ?
Perguntas
Como funciona um invasão
Antes
Durante
Depois
Conceito de Detecção / Prevenção Intrusão
Atacantes sempre terão sucesso, se o conceito de sucesso for previnir isso, sempre perderemos.
Tempo é o fator chave ...
Sistemas genéricos
Exemplo simples de genérico, “mundo fragmentação” ...
Sistemas operacionais diferentes, necessitam configurações de proteção diferente
Timeout fragmentação da proteção < dispositivo
Timeout fragmentação da proteção > dispositivo
Evasão usando TTL + Timeout
De brinde tem o overlaping ...
E o grande “problema” da maioria das proteções …
Alerta é apenas uma foto do momento ….
Network Security Monitoring (NSM)
Porque apenas o alerta não é suficiente ….
Os componentes de um NSM
Full Content Extracted Content Session Data Statical Data Metadata Alert Data
Full Content
Extracted Data
Session Data
Statical Data
Metadata
Alert Data
E como coloco isso em prática ?
Mas isso não é caro ? Empresa não tem recursos ….
Projeto Security Onion
Snort / Suricata OSSEC Sguil Squert Snorby ELSA Xplico PRADS Outros
Snorby
Squert
Sguil ( Real Time )
O que realmente “gasta” é com Storage ...
Média utlização em Mbps x 1byte / 8bits x 60 seconds/minutes x 60 minutes / hours x 24 hours / day
Em resumo:
Rede Tráfego 100 Mbps aproximadamente 1.08 TB dia de log dia X quantidade de dias que deseja armazena
Links interessantes
taosecurity.blogspot.com
securityonion.blogspot.com
www.nsmwiki.org
Perguntas & Contatos
Pessoal
@spookerlabs
http://spookerlabs.blogspot.com
Profissional
@sucuri_security
http://sucuri.net