Wednesday, June 30, 2010

Choosing the right SIEM Solution

It's really hard to choose the right SIEM solution nowadays. With so much features available on these products, it's getting hard to choose the appropriate solution, especially regarding complex environments consisting of several sources of information.

In this post, the idea is to propose some important questions that we can use to help choosing the right solution. There are questions regarding technical and non-technical aspects as, for example, support, training, user interface, etc. Using this questionnaire it's possible to prepare a scorecard to obtain a best comparison. We can assign the following values: 0 for Absent, 1 for Limited Functionality, 2 for Complete Functionality and 3 for Exceeded Expectations.

  1. How many pre-existing parsers does the solution have (this is very important so it will be not necessary to develop new parsers to extract the log content)?
  2. How easy for creating new parsers?
  3. User Interface (intuitive? easy to operate?)
  4. Ability to collect events (volumetry)
  5. Storage of events (compression, file system type, external storage, cryptography)
  6. Event correlation process (is it easy to create correlation rules?)
  7. Normalization of logs
  8. Solution scalability (architecture, collectors, databases etc)
  9. High Availability
  10. Security in the communications between the components of the solution
  11. Reports (pre-existing, customization, compliance reports)
  12. Position in the Gartner's quadrant
  13. Ticketing system integration (integration with Remedy, for example, or an internal ticketing framework)
  14. Is it possible to filter events at the collectors (without sending some type of events to the infrastructure)?
  15. Possible to correlate information from IDS/IPS with Vulnerability Scanners?
  16. Possible to segregate functions inside the console?
  17. Technical support (other language options: portuguese/spanish/french/etc?, 24x7? SLA's?)
  18. Training (localized training?)
Any other suggestions?

Saturday, May 29, 2010

Outra pesquisa a respeito da adoção de Cloud Computing

Desta vez foi o ISACA que publicou uma nova pesquisa apontando que o risco supera os benefícios de usar a computação em nuvem. Mais uma vez vale reforçar a necessidade do uso de SLA's agressivos e um controle efetivo sobre o trabalho realizado pelo fornecedor.

Maiores detalhes: http://www.net-security.org/secworld.php?id=9051

Tuesday, April 20, 2010

Neurônios Filosóficos - Parte 6: Nova (?) tendência para tecnologia de firewalls...

Em 2001, durante um treinamento de ferramentas ISS no qual eu era o instrutor, tive um embate técnico/teórico com um dos alunos a respeito de tecnologias de firewall. Naquela oportunidade (e ainda hoje) eu era um forte defensor de firewalls camada 7 (sim, os famosos Gateways de Aplicação) porque ofereciam um nível de proteção infinitamente maior que os firewalls que atuavam somente nas camadas 3 e 4.

O principal argumento do aluno dizia respeito à velocidade de processamento e encaminhamento dos pacotes, o que certamente é uma verdade. Obviamente é muito mais rápido olhar endereços IP Origem/Destino e Portas Origem/Destino e fazer a entrega dos pacotes, do que analisar as 7 camadas de protocolos à procura de desvios, má formação de pacotes, etc.

Mas a questão que eu coloquei na época dizia respeito a aspectos de segurança, a despeito de uma velocidade um pouco menor. Logicamente fui voto vencido e outros alunos inclusive concordaram com meu algoz na oportunidade.

É interessante observarmos hoje em dia uma tendência cada vez maior para incluir a inspeção em todas as camadas para firewalls mais novos. Inclusive firewalls tradicionais em camadas 3 e 4 estão cada vez mais evoluindo para uma análise mais aprofundada de pacotes...

Temos vários exemplos de "novas" tecnologias de firewall surgindo como, por exemplo: http://www.paloaltonetworks.com/technology/app-id.html.

Esta história me lembra o fim dos mainframes, afinal de contas o downsizing vai acabar com eles, certo?

Marcos Ranum, o "cara" que criou o TIS Firewall Toolkit e o Gauntlet, foi um ardoroso defensor do uso de firewalls de aplicação, onde você usa um proxy especializado para cada protocolo. As conexões são mais lentas porque o usuário abre uma conexão com o proxy e este por sua vez se conecta ao site destino. Não há conexões diretas neste caso. É dele uma frase que me marcou bastante mas infelizmente eu não lembro onde foi que eu li. Mas basicamente diz o seguinte:  
"Velocidade é o que todo o passageiro quer ao pegar um avião, ou seja, quanto mais rápido for o processo de inspeção, melhor. Já Segurança é o que o passageiro gostaria que os órgãos competentes tivessem providenciado durante a inspeção das bagagens, agora que ele está de frente a um terrorista com uma bomba ou arma dentro do avião..."

Acho que não preciso comentar mais nada...

Thursday, March 11, 2010

Métricas ISO 27002 - Domínio: Segurança em Recursos Humanos

Quanto aos controles propostos no domínio "Segurança em Recursos Humanos" da ISO 27002, segue uma sugestão de indicadores.

É importante reforçar que nem todos os controles propostos pela norma se aplicam a todo tipo de empresa. Tudo vai depender da área de atuação e do apetite ao risco da Alta Administração. Esta definição deve ser realizada no momento de implantação de um SGSI (Sistema de Gestão de Segurança da Informação).
Voltando aos indicadores, segue uma tabela com a sugestão para acompanhamento deste domínio da ISO 27002.




Norma ISO 27002 – Domínio 4 - “Segurança em Recursos Humanos”
Indicador
Propósito
Fonte
Frequência
Percentual (%) de termos de responsabilidade assinados por colaboradores, terceiros e fornecedores, em relação às contratações realizadas no ano.
Medir o total de termos de responsabilidade assinados por colaboradores, terceiros e fornecedores.
Processo de revisão dos termos de responsabilidade.
Mensal
Percentual (%) de colaboradores e terceiros que realizaram treinamento de Segurança da Informação. Ter conhecimento sobre o total de colaboradores e terceiros que realizaram treinamentos focados em Segurança da Informação. Processo de treinamento de colaboradores e terceiros sobre Segurança da Informação. Mensal

Wednesday, March 10, 2010

Segurança nas Nuvens - Parte 2

Continuando o assunto segurança em Cloud Computing, vamos analisar o primeiro risco apontado pelo relatório da ENISA: Perda de Governança (R.2 Loss of Governance).

Mais uma prova de que questões técnicas  não devem ser a única preocupação para profissionais da área de Segurança da Informação. Este risco está classificado como Organizacional e de Política, e as questões levantadas são extremamente pertinentes, afinal de contas a terceirização de serviços pode representar um risco de não atendimento a requisitos regulatórios (PCI, SOX, entre outros) e outros riscos de segurança. Até que ponto a empresa contratada segue os procedimentos corretos para garantir (ou pelo menos fazer o melhor possível, porque não existe 100% de segurança) os níveis adequados de proteção para os dados que ficam na nuvem?

Existem SLA's adequados? Existem cláusulas contratuais que garantam à empresa cliente a possibilidade de realização de auditorias regulares, ou mesmo a contratação de empresas terceiras especializadas na realização de testes de vulnerabilidades e invasão? A fornecedora de serviços de computação em nuvem segue as boas práticas de Gestão de Segurança da Informação? Até que ponto a questão de segurança está bem definida em contrato e não provocará surpresas em caso de um incidente de segurança? Surpresas do tipo: Este serviço ou proteção não fazem parte do escopo deste serviço gerenciado...

É fundamental, portanto, garantir em contrato o correto atendimento às questões de segurança, sob pena de não atendimento a requisitos regulatórios, perda de credibilidade e danos à imagem da empresa.

Tuesday, March 9, 2010

BotNet Mariposa

Uma excelente análise da botnet Mariposa pode ser encontrada neste endereço: http://defintel.com/docs/Mariposa_Analysis.pdf. Esta botnet é um excelente exemplo da crescente capacidade de propagação e comando/controle das redes atuais. O principal destaque desta botnet é a sua capacidade de instalação de executáveis nas máquinas comprometidas, tornando assim ilimitadas as possibilidades de contaminação.

É importante lembrar que uma botnet não é um malware como worm, vírus, etc, e sim uma rede de computadores contaminados. É impressionante a "profissionalização" destas botnets. Após conseguir contaminar e controlar uma boa quantidade de máquinas, os grupos alugam/vendem o uso destas botnets. Sem dúvida um verdadeiro mercado. Aquele romantismo de grupos de hackers que invadiam computadores pelo puro prazer de aprender novas tecnologias, etc, é coisa do passado. Hoje a questão é grana mesmo.

Monday, March 8, 2010

Métricas ISO 27002 - Domínio: Gerenciamento de Ativos

Quanto aos controles propostos no domínio "Gerenciamento de Ativos" da ISO 27002, segue uma sugestão de indicadores. A definição de "ativos" é bem ampla, mas basicamente me refiro a: Informações (podem ser relatórios, arquivos de dados, contratos, procedimentos/políticas, etc), Softwares (aplicações, sistemas operacionais, aplicativos de desenvolvimento e ferramentas computacionais em geral), Dispositivos (computadores, impressoras, equipamentos de conectividade, mídias de armazenamento, etc), Serviços de Apoio (equipamentos de iluminação, ar condicionado, geração e armazenamento de energia, etc), Intangíveis (marcas e reputação) e Pessoas.

É importante reforçar que nem todos os controles propostos pela norma se aplicam a todo tipo de empresa. Tudo vai depender da área de atuação e do apetite ao risco da Alta Administração. Esta definição deve ser realizada no momento de implantação de um SGSI (Sistema de Gestão de Segurança da Informação).
Voltando aos indicadores, segue uma tabela com a sugestão para acompanhamento deste domínio da ISO 27002.



Norma ISO 27002 – Domínio 3 - “Gerenciamento de Ativos”
Indicador
Propósito
Fonte
Frequência
Quantidade (#) de ativos classificados.
Obter a quantidade total de ativos classificados, de acordo com labels pre-definidos.
Inventário de Classificação de Ativos.
Semestral
Percentual (%) de Termos de Responsabilidade de uso de equipamentos, assinados pelos colaboradores. Identificar a aderência dos colaboradores aos Termos de Responsabilidade de uso de equipamentos (laptops, celulares, etc). Relação de Termos de Responsabilidade de uso. Semestral

Sunday, March 7, 2010

Segurança nas Nuvens - Parte 1

O evento RSA Conference 2010, um dos maiores da atualidade, dedicado à temática de Segurança da Informação abordou, entre outros assuntos, aspectos relacionados à segurança de ambientes computacionais distribuídos (Cloud Computing, ou Computação em Nuvem). Este é realmente um assunto cada vez mais discutido e certamente ainda irá gerar muita pesquisa e, por que não, polêmicas.

Recentemente, a ENISA (European Network and Information Security Agency) publicou um relatório contendo benefícios, riscos e recomendações a respeito da Computação em Nuvem. O relatório pode ser obtido no seguinte endereço: http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-assessment.

Nos próximos posts vou comentar os riscos e recomendações apresentados neste relatório. A ordem de análise obedecerá o nível de impacto e probabilidade de ocorrência, apresentados na tabela da página 24 do referido relatório.

Saturday, January 9, 2010

Métricas ISO 27002 - Domínio: Organização de Segurança da Informação

Quanto aos controles propostos no domínio "Organização de Segurança da Informação" da ISO 27002, segue uma sugestão de indicadores. É importante reforçar que nem todos os controles propostos pela norma se aplicam a todo tipo de empresa. Tudo vai depender da área de atuação e do apetite ao risco da Alta Administração. Esta definição deve ser realizada no momento de implantação de um SGSI (Sistema de Gestão de Segurança da Informação).
Voltando aos indicadores, segue uma tabela com a sugestão para acompanhamento deste domínio da ISO 27002.

Norma ISO 27002 – Domínio 2 - “Organização de Segurança da Informação”
Indicador
Propósito
Fonte
Frequência
Quantidade (#) de reuniões realizadas pelo Comitê de Segurança.
Medir a regularidade das reuniões do comitê de Segurança da Companhia.
Atas de reunião do Comitê de Segurança
Mensal
Quantidade (#) de palestras/workshops e outros eventos relacionados a conscientização dos colaboradores.
Medir a regularidade da realização de eventos de Segurança cujo propósito é conscientizar os usuários quanto a quaisquer aspectos importantes para o tema Segurança da Informação.
Relação de eventos realizados.
Semestral/Anual
Percentual (%) de colaboradores que assinaram um Termo de Confidencialidade.
Verificar o percentual de adesão dos colaboradores ao Termo de Confidencialidade. Neste caso a ideia é verificar qual a porcentagem de colaboradores que efetivamente assinaram este tipo de documento.
Termos de Confidencialidade assinados (pode ser na versão impressa ou através de uma ferramenta computacional, como Intranet).
Mensal


Friday, January 8, 2010

Métricas ISO 27002 - Domínio: Política de Segurança da Informação

Retomando um post publicado já há algum tempo: http://cyberneurons.blogspot.com/2009/09/metricas-parte-1-um-aspecto-importante.html, vamos abordar um aspecto importantíssimo em Segurança da Informação, que é a medição de indicadores que nos permitam avaliar a efetividade dos controles propostos pela ISO 27002.
Não dá para simplesmente implantarmos os controles e não termos uma visão de sua efetividade. Até em função da necessidade de atender auditorias, que sempre procuram evidências...
Neste post vamos abordar o primeiro domínio de controles da ISO 27002, relativo a Política de Segurança da Informação. Este domínio tem por objetivo dar direcionamento e suporte para o tema Segurança da Informação, em consonância com os requisitos de negócio, leis e regulações (SOX, PCI, etc).
É um domínio que requer uma obtenção mais manual de dados, mas mesmo assim ainda dá para utilizar alguns indicadores. A tabela abaixo apresenta uma sugestão de indicadores. Obviamente não encerra o assunto e caso alguém tenha outras sugestões de indicadores, por favor compartilhe conosco, ok?

Norma ISO 27002 – Domínio 1 - “Política de Segurança da Informação”
Indicador
Propósito
Fonte
Frequência
Percentual (%) de políticas, normas e procedimentos revisados no ano.
Medir no ano fiscal as revisões e/o atualizações da Política de Segurança da Informação.
Processo de revisão das políticas de Segurança da Informação.
Mensal
Quantidade (#) de colaboradores que leram a Política e confirmaram sua adesão aos temos.
Medir no ano fiscal a aderência de colaboradores à Política de Segurança implantada.
Documentos assinados no momento da entrada na companhia ou anualmente (neste caso, a fonte é um documento em papel), ou resultados de aderência através de ferramentas como, por exemplo, uma intranet (normalmente após ler o conteúdo, o colaborador clica em um botão, onde concorda com os termos e se compromete a segui-los).
Anual/Semestral
Quantidade (#) de colaboradores que participaram de campanhas de conscientização, relativas à Política.
Medir no ano fiscal a participação efetiva de colaboradores em palestras, workshops, etc, que têm por objetivo a conscientização quanto à importância da aderência à Política.
Listas de presença nos eventos de divulgação.
Anual/Semestral

Tuesday, January 5, 2010

Livro Recomendado: Malware Forensics - Investigating and Analyzing Malicious Code


Livro muito interessante que mostra, através de forte embasamento teórico e de exemplos práticos, como realizar uma análise pericial em Malwares. Os autores, principalmente o Eoghan Casey, são bastante experientes nessa área e conseguiram preparar um material realmente de qualidade, para análise de malwares em ambientes Windows e Linux.

Está dividido em 10 capítulos:

Capítulo 1 - Coleta e Análise de dados voláteis em Sistemas Windows, através do uso de ferramentas para coleta e mapeamento de processos, usuários logados, dump de memória, conexões de rede, arquivos abertos, entre outros.

Capítulo 2 - Coleta e Análise de dados voláteis em Sistemas Linux, com a mesma abordagem do capítulo 1, porém relacionada ao ambiente Linux.

Capítulo 3 - Análise de dumps de Memória e Processos à procura de artefatos maliciosos. A organização da memória, tanto no ambiente Windows quanto no Linux, é dissecada neste capítulo.

Capítulos 4 e 5 - Relativos à análise Post-Mortem de sistemas Windows e Linux, respectivamente. Nestes capítulos são apresentadas as técnicas para análise dos dados coletados na fase inicial de uma resposta a incidentes. Sistemas de Arquivos, Registry, Usuários, entre outros temas são abordados.

Capítulo 6 - Considerações Legais. Embora este capítulo seja baseado na lei americana, é bastante ilustrativo quanto às questões legais de manipulação de informações e uso em juízo das provas coletadas.

Capítulos 7 e 8 - Abordam questões relativas à análise inicial de artefatos conseguidos nas fases anteriores. Uma grande ênfase é dada em questões como estrutura de arquivos executáveis, métodos de ofuscação de executáveis (criptografia/compactadores), interdependência com bibliotecas do sistema operacional, etc. O capítulo 7 é dedicado ao ambiente Windows e o capítulo 8 ao ambiente Linux.

Capítulos 9 e 10 - Nestes capítulos, são apresentadas técnicas mais aprofundadas para análise de programas suspeitos, tanto em ambiente Windows (cap. 9) quanto em ambiente Linux (cap. 10). Todo este processo de análise é realizado em ambiente controlado, especialmente criado para este tipo de atividade, e existe um controle de acessos à rede, a arquivos, a registry, etc.

Realmente é uma leitura que vale muito a pena para aqueles que querem se aprofundar mais na análise de artefatos maliciosos.


Monday, January 4, 2010

Neurônios Filosóficos - Parte 5: Esperança para 2010

Ano novo, vida nova, certo?

Baseados nesta premissa, devemos ter de que em 2010 finalmente seremos brindados com os seguintes fatos:
  • Empresas desenvolvedoras de software, tanto de aplicações quanto de sistemas operacionais, finalmente terão uma preocupação real (e não somente marketing) com aspectos de segurança. Finalmente elas realizarão auditorias em seus códigos-fonte; contratarão desenvolvedores com conhecimentos dos principais tipos de ataques. Caso elas ainda não saibam como fazer, aqui vai uma dica: http://www.openbsd.org...
  • Empresas que desenvolvem e comercializam ferramentas de Segurança não irão mais vender seus produtos através de FUD...
  • Sites de e-commerce não irão mais utilizar um selo dizendo que são 100% seguros, só porque usam SSL/TLS...
  • O SQL Injection deixará de ser uma técnica tão ridiculamente simples de exploração de vulnerabilidades em aplicações WEB;
  • Algumas empresas prestadoras de serviços na área de Segurança da Informação finalmente irão realizar serviços com qualidade, e vão parar de fingir que fazem testes de invasão, análises de vulnerabilidades, etc, além de finalmente produzirem relatórios de qualidade onde o cliente efetivamente poderá perceber o valor agregado do trabalho. Dica para alguns: Simplesmente pegar um resultado de scan de vulnerabilidades do nessus, dar uma maqueada, mandar isso para o cliente e, pior, ainda cobrar por isso, é de doer...
  • E, finalmente, alguns profissionais da área de Segurança da Informação deixarão de se achar a última bolacha (biscoito?) do pacote;
Bom, nunca podemos perder a esperança.
Um próspero ano novo, muita saúde e sucesso!