Correlacin de Eventos
Correlacin de EventosQu es un Correlacionador?Correlacin.- Del
latn Co (cum)- reunin y relacin (relatio, onis) Comparacin. Es la
reunin de eventos con la finalidad de llevar a cabo una
comparacin.De acuerdo a la definicin anterior, un correlacionador
es un dispositivo cuya finalidad es comparar una serie de sucesos,
para un fin determinado. Qu es un Correlacionador?En el caso de los
sistemas de seguridad informtica, la finalidad de un correlacionado
es:
Prevenir ataques.Mitigar el impacto.Planear nuevas estrategias
de seguridad.Qu hace especficamente?Detecta y determina el nivel de
severidad de:
Ataques a vulnerabilidades conocidas (Exploits).Ataques por
Fuerza bruta.Ataques DoS.Malware.Ataques a nivel de Red.Ataques a
sistemas SCADA (Software de Adquisicin de Datos y Control de
Supervisin).Escaneo y sondeo de la red.Actividad Maliciosa.
Cmo?Rene informacin que generan los sistemas de deteccin de
intrusos (IDS), los sistemas de prevencin (IPSs o IDPs), los
sistemas de monitoreo de disponibilidad, los logs de sistema y los
HIDS, compara sus resultados contra una serie de polticas,
previamente establecidas y lanza una seal de alerta.ImportanciaLos
correlacionadores de eventos, entre otros dispositivos, permiten a
los administradores de red y a los encargados del monitoreo de la
actividad de trfico, tener un panorama general y con esto, poder
determinar el un espacio temporal el estado de su infraestructura
en relacin con la posible actividad maliciosa o viral dentro de
ella.
ImportanciaPor tal, para proporcionar al correlacionador reglas
adecuadas que prevengan un desastre, es importante que el
administrador de red tenga bien claro cules son los activos
importantes de su infraestructura y que conozca perfectamente
cuales son los servicios que son susceptibles de ataques.Qu
correlacionador elegir?Splunk (Libre y Comercial)Check Point Threat
Prevention ApplianceAlienVault (comercial)Ossim (Libre)CSMA&RS
(Cisco Security Monitoring, Analysis and Response
System)Implementacin personal.
AlienVaultPara fines de esta clase, usaremos Ossim, versin libre
de Alienvault.
Qu se debe monitorear?Disponibilidad de plataformas y servicios.
(Servicios importantes para la institucin o empresa: Servidores
WEB, Bases de Datos, etc.)
La integridad de informacin en plataformas y servicios.
Proteccin perimetral ante atacantes e intrusiones.Correlacin
Acciones que se deben llevar a caboGestin de sistemas de
proteccin de datos ( Antivirus entre otros).
Gestin de vulnerabilidades de plataformas (Pruebas
peridicas).
Gestin de eventos e incidentes de seguridad.
Gestin de dispositivos y plataformas de seguridad y
comunicaciones.Dependiendo de la fiabilidad de las alarmas que
produzca nuestro correlacionador, depender el tiempo de respuesta y
de sta, el impacto que un ataque tenga dentro de la institucin o
empresa, el cul puede ser meditico y/o econmico.Niveles de
Correlacin
Para prevenir al mximo la generacin de falsos-positivos, Ossim
establece que la correlacin se debe llevar a cabo en 4
niveles:Nivel de correlacin 11 evento de Autentificacin SSH
fallidaNivel de correlacin 2Autentificacin SSH exitosaNivel de
correlacin 3Autentificacin SSH exitosaNivel de correlacin 4Conexin
persistente10 eventos de Autentificacin SSH fallida100 eventos de
Autentificacin SSH fallidaAutentificacin SSH exitosa1000 eventos de
Autentificacin SSH fallidaNiveles de CorrelacinCorrelacin - nivel
1Para habilitar el registro de un evento que se ajuste al primer
nivel de correlacin, se debe activar la primera directiva en el
servidor, definiendo una poltica de inteligencia: (Intelligence
Correlation Directives).
La primer regla de una directiva deber cumplir las siguientes
condiciones:
Siempre ser un regla de detector, pues las reglas de monitor no
pueden ser usadas en el primer nivel de una directiva.
Slo esperar la ocurrencia singular de un evento.
Siempre estar activa, es decir, que la condicin del primer nivel
se cargar mientras el servidor est en ejecucin.
En el servidor slo se generar un evento, pues la primer regla de
directiva de nivel 1.Correlacin - nivel 1Para fines de esta
muestra, la directiva que crearemos, los datos provendrn de eventos
del SSH server, el cual reportar un intento de autentificacin
fallida.
Es importante que siempre consideremos todas las posibilidades
que tiene un evento, de acuerdo a su naturaleza. Por ejemplo, las
variantes de un ataque, en un ataque de fuerza bruta sobre SSH
cubren los siguiente aspectos:
Password incorrectoIntento de conexin con usuario
bloqueadoIntento de conexin con Login de root no habilitadoIntento
de conexin con un nombre de usuario no permitido: Usuario
ilegalIntento de conexin con un nombre de usuario
inexistenteinten
Correlacin - nivel 1La regla siempre esperar un evento de un
plugin nico, el cual se identifica con un ID, posteriormente con
uno o varios eventos identificados por Subidentificadores (SID). En
este caso, esperar un evento con el ID de plugin 4003 y los
identificar de acuerdo al SID de Plugin, el cul corresponde al tipo
de evento que se halla elegido.Correlacin - nivel 1Plugin ID 4003,
con los eventos que le conforman SID, numerados del 1 al 10
plugin_id="4003"plugin_sid="1,2,3,4,5,6,9,10,12,13,14,15,16,20"
Correlacin - nivel 1Si revisamos nuestra regla con el editor XML
del server, lucir de la siguiente forma:
Correlacin - nivel 1rule type=" " name= " " reliability=" "
occurrence=" " from=" " to=" " port_from=" " port_to=" "
plugin_id=" " plugin_sid=" "/> Formato XML para la regla:
Formato XML para la Directiva:Correlacin - nivel 2Despus de
recibir uno de los eventos de error en la autentificacin del
servidor SSH, el correlacionador evala el paso al segundo nivel de
correlacin, de acuerdo a las siguientes posibilidades:
Un autentificacin exitosa.Una o varias autenficaciones fallidas
(con el mismo origen y destino)
En caso de obtener un evento de autentificacin de usuario
exitosa, la correlacin de esta directiva terminar. Si despus de ste
se obtuvieran ms eventos de autentificacin fallida, desde un mismo
origen a un mismo destino, inmediatamente se disparara el tercer
nivel.
Si asumimos que un ataque de fuerza bruta genera una gran
cantidad de eventos en un corto perodo de tiempo, entonces debemos
establecer un tiempo pequeo de espera.
La fiabilidad se establece a 1, pues no se puede considerar que
un inicio de sesin exitoso, tras un evento fallido, se deba a un
ataque de fuerza bruta.
Correlacin - nivel 2La primer regla del segundo nivel de
correlacin quedar de la siguiente forma: Correlacin - nivel 2
Si creamos las reglas con el editor XML, usaremos la etiqueta de
las reglas para abrir cada nivel de correlacin (La primera se inici
con la etiqueta de la Directiva): Correlacin - nivel 3
Segunda regla del tercer nivel:
Cada directiva de correlacin puede incluir tantas reglas como
sea necesario. Siempre es aconsejable incluir un ltimo nivel de
capturar un gran nmero de eventos. Por lo tanto, si el ataque
contina durante un largo perodo de tiempo, estos eventos entran en
la misma Directiva y se agrupan dentro de la misma alarma.
