Este documento resume uma dissertação de mestrado sobre análise de eventos de segurança usando a ferramenta OSSIM. O trabalho configurou o OSSIM para monitorar uma rede experimental e avaliou os resultados, procurando soluções para diminuir falsos positivos, como ativar plugins relevantes e calibrar correlações de eventos. Após as melhorias, os alarmes verdadeiros aumentaram e os eventos e alarmes totais diminuíram, demonstrando que o OSSIM pode fornecer análise de segurança eficiente quando devidamente configurado.

1. Análise de eventos de segurança:
baseado no OSSIM
Orientador:
Professor Doutor Henrique Manuel Denis Santos
Mestrando:
Luís Amílcar Dias Neves Tavares
UNIVERSIDADE DO MINHO
ESCOLA DE ENGENHARIA
DISSERTAÇÃO DE MESTRADO EM ENGENHARIA INFORMATICA
Braga, Dezembro de 2015

2. Introdução
 Por mais que consideremos um ambiente seguro os utilizadores acabam por ser sempre
a maior vulnerabilidade da rede;
 Cada vez mais são usadas ferramentas e aplicações que possibilitam uma melhor
gestão da rede, criando regras de permissões, acesso e uso do sistema;
 Sistemas com boa gestão e sem falhas internas estão sujeitos a sofrer falhas
provocadas por agentes externos, que podem ser devastadoras;

3. Motivação
 Segurança em Redes de computadores tem sido cada vez mais exigida pelo facto
da rápida evolução da tecnologia, que além de trazer melhorias traz também
diversos problemas.
 Ferramentas de gestão de redes têm sido uma das soluções para resolver tais
problemas. Só que nada é totalmente satisfatório para sanar os problemas que vão
ocorrendo com o tempo.
 É relevante explorar as potencialidades, capacidades e limitações dos gestores de
redes, para dar continuidade a melhor e maior garantia em monitorização de rede;
 Interesse e curiosidade pessoal na segurança em redes.

4. Objetivos
 Usar a ferramenta de gestão de eventos de segurança OSSIM;
 Estudar e avaliar os logs de eventos e alertas gerados pelo OSSIM;
 Configurar o OSSIM na tentativa de apresentar somente eventos desejados;
 Otimizar a análise de resultados obtidos com o OSSIM, nomeadamente no que
respeita aos falsos positivos.

5. Problema
OSSIM pode gerar milhares de eventos, dependendo da rede onde estiver
instalado; e nesses eventos o numero de falsos positivos é normalmente elevado.
Como podemos diminuir esse numero aumentando a eficiência deste controlo
de segurança?

6. Enquadramento Teórico
 Questões:
 Como avaliar o nível de risco a que estamos exposto?
 Que ferramentas promovem a gestão de segurança, sem comprometer os objetivos do
negocio?
 A que tipo de ataques somos vulneráveis?
 Ferramentas Distintas:
 Autenticação de utilizadores;
 Antivírus;
 Firewall;
 Métodos de prevenção de ataques;
 IDS (Host e Network).
 Solução:
 Security Information and Event Managment (SIEM)

7. Enquadramento Teórico
 Líder do Mercado
 IBM Security
 HP/ArcSight
 Splunk
 Visionário
 AlienVault
 USM
 OSSIM
Magic Quadrant for SIEM (Gartner, Junho 2014)
 OSSIM – Open Source Security
Information Managment
 Solução gratuita para gestão de
eventos de segurança;
 Inteligência para classificar riscos
de eventos e ativos;
 Gestão de incidentes de
segurança, tudo integrado em
uma única plataforma;
 Elevado desempenho no
tratamento de dados;
 Componentes
 Sensor
 Servidor de gestão
 Base de dados
 Frontend

8. Metodologia
 Topologia da Rede
 Interfaces da rede (5):
 Router
 OSSIM (com todos os componentes)
 Servidor Web
 Máquina com Windows XP

9. Metodologia
 Ataque a rede (LabOSSIM)
 Construída em três etapas – baseado em Attack Tree
 Coleta de informações
 Scanner de vulnerabilidade
 Pós Exploração

10. Testes/Resultados
 Relatório dos resultados iniciais  Plugins ativos no teste
 5 Monitorização
 tcptrack-monitor
 ossim-monitor
 nmap-monitor
 nessus-monitor
 opennms-monitor
 11 Gestão de dados
 sudo
 ossim-agente
 snort-syslog
 snortunified
 ossec-idm-singleline
 ossec-singleline
 nagios
 snare
 nessus
 prads
 pam_unix
 OSSIM v4.13 (default)
 183 gestão
 12 monitorização
 Eventos e Alarmes
 2 dias
 159.515 eventos
 46 alarmes
 Alarmes – Falso Positivo
 Nagios: hard critical/down (serviço ou host indisponível)
 WebServer Attack – XXS (correlação de eventos sucessivo, scanner OSSIM)
 WebServer Attack – SQL Injection (log com linhas de query suspeita)

11. Procura de soluções que ajudem a diminuir o numero de falsos positivos.
 Soluções:
 Ativar plugins existentes e logs de ativos necessário da rede;
 Criar plugins que satisfaçam a necessidade e vão ao encontro da estrutura de rede;
 “Calibrar” a correlação entre os eventos, de acordo com as atividades da rede;
 Reformular as regras, além de desativar as que sejam obsoletas;
 Otimizar as diretivas de alarmes existentes;
 Lista base de plugins, levando em conta os mais populares em função de:
 Deteção e prevenção de Intrusões;
 Monitorização da rede e gestão de segurança;
 Servidor Web;
 Scanner de Vulnerabilidade;
 Serviço de inteligência a ameaça.
Soluções a considerar

12. Resultados após melhorias
Resultado com o OSSIM, após aplicar as soluções propostas.
OSSIM Dia Ativo Eventos Alarmes
Default 1 159.515 46
Melhorias 2 120.337 2
 Alarmes – Verdadeiro Positivo
 2 – Brute force autentication
 Ataque usando medusa (dias diferentes)

13. Conclusão
 A segurança é fundamental, nos sistemas de hoje, assim como a compreensão e uso
das ferramentas SIEM.
 OSSIM:
 Código livre,
 Poderoso, robusto e bem estruturado;
 Instalação escalonada (web, BD, servidor, sensor)
 Inúmeras possibilidades de configurações;
 Fácil configurar as ferramentas (ex: Snort, Nessus, OSSEC);
 Inúmeras possibilidade de correlação de eventos e criação de regras.
 Frontend muito intuitivo e com usabilidade elevada (eventos e relatórios)

14. Analise critica / Trabalhos futuros
Análise Crítica
 Falta de documentação atualizada e oficial sobre OSSIM;
 Falta de recursos (hardware);
 Maioria de Plugins existentes encontra-se desatualizado;
 Inconsistência entre as release (erros ao reconhecer hardware).
Trabalhos Futuros
 Plugins, para plataformas web.
 Monitorizar redes com dispositivos móveis.
 Conformidade da segurança de informação, norma PCIDSS e ISO 27001
 Alternativas de alertas – usar python e representar dados em tabelas.

15. Obrigado
pela atenção.