Análisis Forense práctico para CSIRTsUsando herramientas de software libre para mejorar la capacidad de respuesta a incidentes
James Pichardo - Consultor Seguridad de Información
Thursday, May 10, 12
james@watcher:~$ whoamiInfoSec Consultant based in Dominican Republic
10 years experience in network Intrusion analysis and InfoSec Management (Academic, Telecommunications, online gaming and Government sectors)
Witnessed a good share of DDoS attacks in the past while working at biggest online poker room and casino
Currently at DR’s Ministry of Finance building a secure monitoring and network infrastructure
Pushing the development of a national government CSIRT in DR
Thursday, May 10, 12
AgendaIntroducción
Situación actual en ciber-seguridad
Análisis forense de redes
Tendencias en análisis de tráfico de redes
Escenarios típicos de análisis forense de redes
Obtención de Indicadores de Compromiso (IOCs)
Compartir información de inteligencia
Conclusiones
Thursday, May 10, 12
IntroducciónEl análisis forense de redes es esencial en el proceso de gestión de Incidentes
Los CSIRTs o grupos de respuesta a incidentes deben tener un amplio conocimiento en temas de análisis y monitoreo de tráfico de redes
Trataré de mostrarles las últimas herramientas que facilitan la práctica de analisis forense de redes
Obtención de indicadores de compromiso (IOCs) y como compartirlos con otros grupos
Thursday, May 10, 12
Situación actual en ciber-seguridad
2011 es quizás el año del “despertar”: hacktivismo, espionaje corporativo y entre gobiernos, APTs, etc
Florecimiento de la economia “underground”
Herramientas de hacking maduras: metasploit community, armitage, SET, mona.py, etc.
Herramientas de inteligencia gratis o con muy bajo costo: Maltego, FOCA, SHODAN
Conclusión: necesitamos herramientas y frameworks de defensa equivalentes en sofisticación, costo y poder
Thursday, May 10, 12
Análisis forense de redes
En esencia: extraer evidencia basada en red (NBE) del tráfico de redes
Requiere una gran cantidad de análisis y se ayuda de métodos y técnicas de Monitoreo de Seguridad de Redes (NSM)
Se trata de producir “data accionable”. Para llegar a ella hace falta montones de horas y experticia en análisis de tráfico de redes
Objetivo final: Superioridad de Información (Martin Roesch)
Thursday, May 10, 12
Tendencias en análisis de tráfico de redes
Hasta recientemente, instalar una capacidad de análisis forense de redes requería hardware y software costoso y complejo
Herramientas de software libre para NSM como Sguil, son dificiles de instalar y mantener
La distribución Linux Security Onion creada por Doug Burks, ha cambiado completamente este escenario y nivela un poco mas la balanza
La adopción cada vez mayor de frameworks de análisis de tráfico como Bro 2.0, represena un hito en analisis y obtención de información accionable
Thursday, May 10, 12
Security OnionEs una distribución Linux para IDS (Intrusion Detection) y NSM (Network Security Monitoring)
Herramientas que ayudan al análisis forense y obtención de NBEs (Xplico, Networkminer, etc)
Wizard para configurar los sensores que simplifica enormemente las tareas de configuración y puesta en marcha
Arquitectura extensible: roles de sensor y servidor
Thursday, May 10, 12
BroFramework y lenguaje de análisis de tráfico de red
Mucho mas extensible, adaptable y flexible que un IDS
Niveles extensivos de “logging” que lo hacen una herramienta ideal para análisis forense
Pre-empacado con analizadores para muchos protocolos lo que permite análisis semántico de alto nivel
Incorpora plugins de altísima utilidad para la gestión de incidentes (detect_MHR, verificación de certificados, etc.)
Versión 2.0 es un hito para la comunidad!
Thursday, May 10, 12
Rol del malware analysis (Cuckoo SandBox)
Se trata de “disecar” el malware y determinar como trabaja, como identificarlo y como anularlo o eliminarlo
El análisis automatizado de malware ayuda enormemente en la obtención de IOCs y caracterización de malware (esenciales para la gestión de Incidentes)
Cuckoo Sandbox es un framework “open source” basado en python y usando Virtualbox como plataforma de virtualización
Thursday, May 10, 12
Escenarios típicos (Proactivo)
Snort/Suricata
IDS Rulebase Network Security Patterns
Network Security Policy
Bro 2.0 Cluster NFSEN
ELSAStreamDB
Collective Intelligence
Sguil/Snorby
Alerts
Network Forensics IOCs
CIFMHR
Share with other CSIRTs
Thursday, May 10, 12
Escenarios típicos (Reactivo)
Honeypots
Digital Forensics investigation
Malware “repository”
Malware Analysis
-Cuckoo-
Check CIF, MHR, other CSIRTS
IOCs
Network Forensics
IDS Rulebase
Network Security Patterns
Network Security Policy
Share with other CSIRTs
Bro/ELSAopenFPC
Misma primera capa que en escenario proactivo
Thursday, May 10, 12
Obtención de IOCsUno de los entregables en el analisis forense y en la respuesta a incidentes en general
IOCs provienen del proceso de análisis o de procesos de soporte como análisis de malware
Se necesita una forma estructurada de obtención y documentación
El valor final de estos IOCs se realiza cuando son compartidos en forma de inteligencia con otros grupos de gestión de incidentes
Thursday, May 10, 12
Compartir información de inteligencia
Existen varias formas estructuradas de obtención y caracterización de incidentes
RFC 5070: Incident Object Decription Exchange Format (IODEF)
RFC 6545/6546: Real time Inter-network Defense
RFC 2350: Expectations for Computer Security Incident response
Thursday, May 10, 12
Compartir información de inteligencia (contd)
Como buscamos un enfoque práctico, necesitamos comparar los frameworks mas representativos para compartir información de incidentes
Veris: el framework para managers
IODEF: una base muy sólida
openIOC: framework orientado a defender host y redes
Fuente: Keith Gilbert (http://bit.ly/zjzi4G)
Thursday, May 10, 12
Demo y casos de estudioVistazo general a Security Onion y la configuración de sensores
Determinar estado del sensor y subsistemas de análisis y monitoreo
Localización de logs
Casos: canales encubiertos con DNS y aplicación modificada con backdoor
Nuevas interfaces para accesar la información
Editor de IOCs: IOCe de MandiantThursday, May 10, 12
Conclusiones
Debemos mejorar el desbalance entre tecnicas ofensivas y técnicas defensivas
Aprovechar las distribuciones y frameworks como SO, Bro y ELSA. La curva de aprendizaje es mucho menor!
Crear IOCs y obtener NBEs es importante. Pero no olvidemos que la ventaja en esta batalla se gana cuando la comunidad comparte esta información de inteligencia
Thursday, May 10, 12
Top Related