SlideShare une entreprise Scribd logo

Detecção de ameaças internas com Linux Audit

Ivani Nascimento
Ivani Nascimento
1  sur  12
Auditoria e Controles de Segurança Detecção de ameaças internas com Linux Audit Eduardo S. Scarpellini Ivani A. Nascimento Profª Cristiane Ikenaga São Paulo Setembro/2010
Sumário ● Introdução ● Estatísticas ● Distribuição dos casos de ameaça interna ● Ações associadas à sabotagem de TI ● Linux Audit ● Definição e escopo ● Arquitetura ● Exemplo ● Ferramentas de apoio ● Conclusão ● Referências
Introdução ● Descentralização e distribuição de recursos proporcionou o aumento de sistemas informatizados. ● A Internet está presente no ambiente corporativo. ● Muitos aplicativos são desenvolvidos sem preocupação com a segurança. ● Vulnerabilidades. ● Mudanças ocorrem sem avaliação apropriada dos aspectos envolvidos. ● A má conduta por parte de usuários autorizados representa graves ameaças a uma organização. ● Quase metade dos incidentes de segurança são de origem interna (CSI-FBI, Computer Crime and Security Survey - 2005).
Distribuição dos casos de ameaça interna *Fonte: Carnegie Mellon's CERT e US Secret Services NTAC - National Threat Assessment Center *Setor de TI e Telecom: 63% dos agentes maliciosos ocuparam cargos técnicos 58% dos casos foram utilizadas ferramentas sofisticadas *Setor financeiro: 23% dos usuários maliciosos ocuparam cargos técnicos 87% dos ataques foram simples, partindo de usuários legítimos. 190 tipos de ataques internos, classificados pelo CERT em 4 categorias: Sabotagem de TI, roubo ou alteração por ganho financeiro, roubo ou alteração de vantagem para o negócio e diversos. BAI, William T. (AIR FORCE INSTITUTE OF TECHNOLOGY) - DEVELOPMENT OF A METHODOLOGY FOR CUSTOMIZING INSIDER THREAT AUDITING ON A LINUX OPERATING SYSTEM - 2010
Ações associadas a sabotagem de TI BAI, William T. (AIR FORCE INSTITUTE OF TECHNOLOGY) - DEVELOPMENT OF A METHODOLOGY FOR CUSTOMIZING INSIDER THREAT AUDITING ON A LINUX OPERATING SYSTEM - 2010 *Sabotagem de TI: 30% utilizaram seu próprio nome de usuário e senha 43% utilizaram contas comprometidas. *Abuso de permissões: 88% roubo para vantagem do negócio 75% roubo ou modificação para ganho financeiro*Roubo de dados para ganho financeiro 85% dos usuários maliciosos usaram seus próprios nomes de usuários e senhas. *Fonte: Carnegie Mellon's CERT e US Secret Services NTAC - National Threat Assessment Center
Linux Audit ● Auditoria de segurança é um termo usado para descrever o processo de avaliação da postura de segurança de uma organização. ● Consiste em registro das ações dos usuários e programas de um sistema. ● Ajuda na detecção de violações da política de segurança. ● Linux audit: ● Monitora todo o sistema de chamadas (syscalls) feitas para o kernel. ● Análise independente dos programas/user-space (não confiáveis). ● Se integra ao SELinux para registrar violações da política deste. ● Regras baseadas em arquivos, usuários, objetos (SELinux). ● Log binário com utilitários para relatório e busca de eventos.
Linux Audit: Arquitetura BAI, William T. (AIR FORCE INSTITUTE OF TECHNOLOGY) - DEVELOPMENT OF A METHODOLOGY FOR CUSTOMIZING INSIDER THREAT AUDITING ON A LINUX OPERATING SYSTEM - 2010
Linux Audit: Definição de escopo ● A decisão do que auditar, depende de cada organização. ● O que auditar: ● Abertura e fechamento de arquivos. ● Alterações de permissões e propriedades. ● Montagens e desmontagens de sistemas de arquivos. ● Mudanças na hora do sistema. ● Análise de tentativas de login. ● Mudanças de arquivos de configuração. ● Estabelecer política de backup de log de auditoria e manter um servidor de logs centralizado.
Linux Audit: Exemplo [root@localhost ~]# touch /tmp/audit-test [root@localhost ~]# auditctl -w /tmp/audit-test [root@localhost ~]# rm /tmp/audit-test rm: remove regular empty file `/tmp/audit-test'? Y [root@localhost ~]# ausearch --file /tmp/audit-test ---- time->Sat Sep 25 12:39:11 2010 type=PATH msg=audit(1285429151.975:27): item=1 name="/tmp/audit-test" inode=3375106 dev=fd:00 mode=0100644 ouid=0 ogid=0 rdev=00:00 obj=root:object_r:tmp_t:s0 type=PATH msg=audit(1285429151.975:27): item=0 name="/tmp/" inode=3375105 dev=fd:00 mode=041777 ouid=0 ogid=0 rdev=00:00 obj=system_u:object_r:tmp_t:s0 type=CWD msg=audit(1285429151.975:27): cwd="/root" type=SYSCALL msg=audit(1285429151.975:27): arch=c000003e syscall=87 success=yes exit=0 a0=7fffefcd7c4a a1=1 a2=2 a3=e29ab80 items=2 ppid=3163 pid=3277 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 ses=2 comm="rm" exe="/bin/rm" subj=root:system_r:unconfined_t:s0-s0:c0.c1023 key=(null)
Linux Audit: Ferramentas de apoio ● OSSEC: http://www.ossec.net/ ● Snare: http://www.intersectalliance.com/projects/index.html
Conclusão ● Detectar e deter ameaças internas é um desafio para as organizações. ● Uma metodologia de avaliação de risco é indicada para identificar riscos e vulnerabilidades. ● Ferramentas como Linux Audit auxilia a identificar tentativas de acesso e violações de segurança (auditoria contínua). ● Com o registro dos logs é possível detectar atividades maliciosas e criar procedimentos e controles específicos. ● O conhecimento da ameaça interna e o auxílio da auditoria ajudam as organizações a terem um nível aceitável de risco de segurança da informação.
Referências ● BAI, William T. (AIR FORCE INSTITUTE OF TECHNOLOGY) - Development of a methodology for customizing insider threat auditing on a Linux Operating System - 2010. ● HERMANS, S. - Detect insider threats with Linux auditing - 22/06/2007 - Disponível em: http://www.linux.com/archive/feature/114422 - Acessado em: Setembro/2010.

Recommandé

Mecanismos de detecção e prevenção de intrusos
Mecanismos de detecção e prevenção de intrusosMecanismos de detecção e prevenção de intrusos
Mecanismos de detecção e prevenção de intrusosIvani Nascimento
 
Sistemas de Detecção de Intrusão
Sistemas de Detecção de Intrusão Sistemas de Detecção de Intrusão
Sistemas de Detecção de Intrusão r5f4y7s9f8g5b245
 
Snort
SnortSnort
SnortJean Pimentel
 
Snort "O sniffer"
Snort "O sniffer"Snort "O sniffer"
Snort "O sniffer"Leonardo Damasceno
 
Aula 13 sistemas de detecção de intrusão
Aula 13 sistemas de detecção de intrusãoAula 13 sistemas de detecção de intrusão
Aula 13 sistemas de detecção de intrusãocamila_seixas
 
TRABALHO IDS
TRABALHO IDSTRABALHO IDS
TRABALHO IDSTiago Castro
 
Seguranca da Informação -IDS
Seguranca da Informação -IDSSeguranca da Informação -IDS
Seguranca da Informação -IDSLuiz Arthur
 
Ids
IdsIds
IdsCaniap
 

Recommandé

Mecanismos de detecção e prevenção de intrusos
Mecanismos de detecção e prevenção de intrusosMecanismos de detecção e prevenção de intrusos
Mecanismos de detecção e prevenção de intrusosIvani Nascimento
 
Sistemas de Detecção de Intrusão
Sistemas de Detecção de Intrusão Sistemas de Detecção de Intrusão
Sistemas de Detecção de Intrusão r5f4y7s9f8g5b245
 
Snort
SnortSnort
SnortJean Pimentel
 
Snort "O sniffer"
Snort "O sniffer"Snort "O sniffer"
Snort "O sniffer"Leonardo Damasceno
 
Aula 13 sistemas de detecção de intrusão
Aula 13 sistemas de detecção de intrusãoAula 13 sistemas de detecção de intrusão
Aula 13 sistemas de detecção de intrusãocamila_seixas
 
TRABALHO IDS
TRABALHO IDSTRABALHO IDS
TRABALHO IDSTiago Castro
 
Seguranca da Informação -IDS
Seguranca da Informação -IDSSeguranca da Informação -IDS
Seguranca da Informação -IDSLuiz Arthur
 
Ids
IdsIds
IdsCaniap
 
IPS e IDS
IPS e IDSIPS e IDS
IPS e IDSgamargo
 
Intrusos e Honeypots
Intrusos e HoneypotsIntrusos e Honeypots
Intrusos e HoneypotsThaís Favore
 
Nessus Scanner Vulnerabilidades
Nessus Scanner VulnerabilidadesNessus Scanner Vulnerabilidades
Nessus Scanner VulnerabilidadesMauro Risonho de Paula Assumpcao
 
Seguranca em Redes IDS
Seguranca em Redes IDSSeguranca em Redes IDS
Seguranca em Redes IDSLuiz Arthur
 
Segurança de Rede
Segurança de RedeSegurança de Rede
Segurança de RedeMarcelo Piuma
 
Inf seg redinf_semana5
Inf seg redinf_semana5Inf seg redinf_semana5
Inf seg redinf_semana5Eduardo Santana
 
Conceito em segurança de redes de computadores
Conceito em segurança de redes de computadoresConceito em segurança de redes de computadores
Conceito em segurança de redes de computadoresRogerio Pereira
 
Aula03 – Códigos Maliciosos e Tipos de Ataques
Aula03 – Códigos Maliciosos e Tipos de AtaquesAula03 – Códigos Maliciosos e Tipos de Ataques
Aula03 – Códigos Maliciosos e Tipos de AtaquesCarlos Veiga
 
Nota de aula seguranca da informacao - redes de computadores
Nota de aula seguranca da informacao - redes de computadoresNota de aula seguranca da informacao - redes de computadores
Nota de aula seguranca da informacao - redes de computadoresfelipetsi
 
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoPalestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoAndre Takegawa
 
Backtrack 4 nessus
Backtrack 4 nessusBacktrack 4 nessus
Backtrack 4 nessusMauro Risonho de Paula Assumpcao
 
Segurança de redes - Conceitos de firewall
Segurança de redes - Conceitos de firewall Segurança de redes - Conceitos de firewall
Segurança de redes - Conceitos de firewall Cleber Ramos
 
Firewall
FirewallFirewall
Firewalldanielrcom
 
Segurança em Sistemas Distribuídos
Segurança em Sistemas DistribuídosSegurança em Sistemas Distribuídos
Segurança em Sistemas DistribuídosCarlos Eduardo Pinheiro
 
Proteção e segurança do Sistema Operacional
Proteção e segurança do Sistema OperacionalProteção e segurança do Sistema Operacional
Proteção e segurança do Sistema OperacionalAmanda Luz
 
Segurança em sistemas distribuidos
Segurança em sistemas distribuidosSegurança em sistemas distribuidos
Segurança em sistemas distribuidosJerry Adrianni das Neves
 
Segurança Física de Servidores e Redes
Segurança Física de Servidores e RedesSegurança Física de Servidores e Redes
Segurança Física de Servidores e Redeselliando dias
 
Firewall
FirewallFirewall
FirewallFabricio Figueiredo Leao
 
Aula 8.0 - Segurança
Aula 8.0 - SegurançaAula 8.0 - Segurança
Aula 8.0 - SegurançaAndrei Carniel
 
Sistemas Distribuídos - Aspectos de Segurança em Sistemas Distribuídos e JAAS
Sistemas Distribuídos - Aspectos de Segurança em Sistemas Distribuídos e JAASSistemas Distribuídos - Aspectos de Segurança em Sistemas Distribuídos e JAAS
Sistemas Distribuídos - Aspectos de Segurança em Sistemas Distribuídos e JAASAdriano Teixeira de Souza
 
Seudoquiste pancreático
Seudoquiste pancreáticoSeudoquiste pancreático
Seudoquiste pancreáticoTorresfabian1999
 
Gestão de Projetos e Programas - Aula # 16
Gestão de Projetos e Programas - Aula # 16Gestão de Projetos e Programas - Aula # 16
Gestão de Projetos e Programas - Aula # 16Ethel Capuano
 

Contenu connexe

Tendances

IPS e IDS
IPS e IDSIPS e IDS
IPS e IDSgamargo
 
Intrusos e Honeypots
Intrusos e HoneypotsIntrusos e Honeypots
Intrusos e HoneypotsThaís Favore
 
Seguranca em Redes IDS
Seguranca em Redes IDSSeguranca em Redes IDS
Seguranca em Redes IDSLuiz Arthur
 
Conceito em segurança de redes de computadores
Conceito em segurança de redes de computadoresConceito em segurança de redes de computadores
Conceito em segurança de redes de computadoresRogerio Pereira
 
Aula03 – Códigos Maliciosos e Tipos de Ataques
Aula03 – Códigos Maliciosos e Tipos de AtaquesAula03 – Códigos Maliciosos e Tipos de Ataques
Aula03 – Códigos Maliciosos e Tipos de AtaquesCarlos Veiga
 
Nota de aula seguranca da informacao - redes de computadores
Nota de aula seguranca da informacao - redes de computadoresNota de aula seguranca da informacao - redes de computadores
Nota de aula seguranca da informacao - redes de computadoresfelipetsi
 
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoPalestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoAndre Takegawa
 
Segurança de redes - Conceitos de firewall
Segurança de redes - Conceitos de firewall Segurança de redes - Conceitos de firewall
Segurança de redes - Conceitos de firewall Cleber Ramos
 
Proteção e segurança do Sistema Operacional
Proteção e segurança do Sistema OperacionalProteção e segurança do Sistema Operacional
Proteção e segurança do Sistema OperacionalAmanda Luz
 
Segurança Física de Servidores e Redes
Segurança Física de Servidores e RedesSegurança Física de Servidores e Redes
Segurança Física de Servidores e Redeselliando dias
 
Sistemas Distribuídos - Aspectos de Segurança em Sistemas Distribuídos e JAAS
Sistemas Distribuídos - Aspectos de Segurança em Sistemas Distribuídos e JAASSistemas Distribuídos - Aspectos de Segurança em Sistemas Distribuídos e JAAS
Sistemas Distribuídos - Aspectos de Segurança em Sistemas Distribuídos e JAASAdriano Teixeira de Souza
 

Tendances (20)

IPS e IDS
IPS e IDSIPS e IDS
IPS e IDS
 
Intrusos e Honeypots
Intrusos e HoneypotsIntrusos e Honeypots
Intrusos e Honeypots
 
Nessus Scanner Vulnerabilidades
Nessus Scanner VulnerabilidadesNessus Scanner Vulnerabilidades
Nessus Scanner Vulnerabilidades
 
Seguranca em Redes IDS
Seguranca em Redes IDSSeguranca em Redes IDS
Seguranca em Redes IDS
 
Segurança de Rede
Segurança de RedeSegurança de Rede
Segurança de Rede
 
Inf seg redinf_semana5
Inf seg redinf_semana5Inf seg redinf_semana5
Inf seg redinf_semana5
 
Conceito em segurança de redes de computadores
Conceito em segurança de redes de computadoresConceito em segurança de redes de computadores
Conceito em segurança de redes de computadores
 
Aula03 – Códigos Maliciosos e Tipos de Ataques
Aula03 – Códigos Maliciosos e Tipos de AtaquesAula03 – Códigos Maliciosos e Tipos de Ataques
Aula03 – Códigos Maliciosos e Tipos de Ataques
 
Nota de aula seguranca da informacao - redes de computadores
Nota de aula seguranca da informacao - redes de computadoresNota de aula seguranca da informacao - redes de computadores
Nota de aula seguranca da informacao - redes de computadores
 
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoPalestra cnasi 2013 s.video
Palestra cnasi 2013 s.video
 
Backtrack 4 nessus
Backtrack 4 nessusBacktrack 4 nessus
Backtrack 4 nessus
 
Segurança de redes - Conceitos de firewall
Segurança de redes - Conceitos de firewall Segurança de redes - Conceitos de firewall
Segurança de redes - Conceitos de firewall
 
Firewall
FirewallFirewall
Firewall
 
Segurança em Sistemas Distribuídos
Segurança em Sistemas DistribuídosSegurança em Sistemas Distribuídos
Segurança em Sistemas Distribuídos
 
Proteção e segurança do Sistema Operacional
Proteção e segurança do Sistema OperacionalProteção e segurança do Sistema Operacional
Proteção e segurança do Sistema Operacional
 
Segurança em sistemas distribuidos
Segurança em sistemas distribuidosSegurança em sistemas distribuidos
Segurança em sistemas distribuidos
 
Segurança Física de Servidores e Redes
Segurança Física de Servidores e RedesSegurança Física de Servidores e Redes
Segurança Física de Servidores e Redes
 
Firewall
FirewallFirewall
Firewall
 
Aula 8.0 - Segurança
Aula 8.0 - SegurançaAula 8.0 - Segurança
Aula 8.0 - Segurança
 
Sistemas Distribuídos - Aspectos de Segurança em Sistemas Distribuídos e JAAS
Sistemas Distribuídos - Aspectos de Segurança em Sistemas Distribuídos e JAASSistemas Distribuídos - Aspectos de Segurança em Sistemas Distribuídos e JAAS
Sistemas Distribuídos - Aspectos de Segurança em Sistemas Distribuídos e JAAS
 

En vedette

Gestão de Projetos e Programas - Aula # 16
Gestão de Projetos e Programas - Aula # 16Gestão de Projetos e Programas - Aula # 16
Gestão de Projetos e Programas - Aula # 16Ethel Capuano
 
31 Video Content Strategies
31 Video Content Strategies31 Video Content Strategies
31 Video Content StrategiesCatherine Heeg
 
Healthminds - Open Class Cenários e Conjuntura Econômica
Healthminds - Open Class Cenários e Conjuntura Econômica Healthminds - Open Class Cenários e Conjuntura Econômica
Healthminds - Open Class Cenários e Conjuntura Econômica HealthMinds Academy
 
P. Litvinas. OpenGeo Suite - atvira platforma jūsų sprendimams. GIS - paprast...
P. Litvinas. OpenGeo Suite - atvira platforma jūsų sprendimams. GIS - paprast...P. Litvinas. OpenGeo Suite - atvira platforma jūsų sprendimams. GIS - paprast...
P. Litvinas. OpenGeo Suite - atvira platforma jūsų sprendimams. GIS - paprast...opengislt
 
Social Machines Democratization
Social Machines DemocratizationSocial Machines Democratization
Social Machines DemocratizationDavid De Roure
 
Introdução websemantica (minicurso)
Introdução websemantica (minicurso)Introdução websemantica (minicurso)
Introdução websemantica (minicurso)Norton Guimarães
 
Handout 2 Texts Brazil
Handout 2 Texts BrazilHandout 2 Texts Brazil
Handout 2 Texts BrazilJames Dunne
 
Algebra cuaderno2eso ies bahia
Algebra cuaderno2eso ies bahiaAlgebra cuaderno2eso ies bahia
Algebra cuaderno2eso ies bahiamgarmon965
 
Gestão de Projetos e Programas - Aula # 14
Gestão de Projetos e Programas - Aula # 14Gestão de Projetos e Programas - Aula # 14
Gestão de Projetos e Programas - Aula # 14Ethel Capuano
 
วิธีติดตั้ง Windows10 เเละ eset nod32
วิธีติดตั้ง Windows10 เเละ eset nod32วิธีติดตั้ง Windows10 เเละ eset nod32
วิธีติดตั้ง Windows10 เเละ eset nod32พ่อ อาชีวะ
 
Digital Voltmeter displaying voltage level on a seven segment display and com...
Digital Voltmeter displaying voltage level on a seven segment display and com...Digital Voltmeter displaying voltage level on a seven segment display and com...
Digital Voltmeter displaying voltage level on a seven segment display and com...Karthik Rathinavel
 
Representacion de curvas
Representacion de curvasRepresentacion de curvas
Representacion de curvasmgarmon965
 
Big Data and Social Sciences
Big Data and Social SciencesBig Data and Social Sciences
Big Data and Social SciencesDavid De Roure
 
B2B case study: How Martrain targeted the clinicians when selling VMware’s VD...
B2B case study: How Martrain targeted the clinicians when selling VMware’s VD...B2B case study: How Martrain targeted the clinicians when selling VMware’s VD...
B2B case study: How Martrain targeted the clinicians when selling VMware’s VD...B2B Marketing
 
Cover depan fail panitia 2015
Cover depan fail panitia 2015Cover depan fail panitia 2015
Cover depan fail panitia 2015Lyda Hassan
 

En vedette (20)

Seudoquiste pancreático
Seudoquiste pancreáticoSeudoquiste pancreático
Seudoquiste pancreático
 
Gestão de Projetos e Programas - Aula # 16
Gestão de Projetos e Programas - Aula # 16Gestão de Projetos e Programas - Aula # 16
Gestão de Projetos e Programas - Aula # 16
 
31 Video Content Strategies
31 Video Content Strategies31 Video Content Strategies
31 Video Content Strategies
 
Healthminds - Open Class Cenários e Conjuntura Econômica
Healthminds - Open Class Cenários e Conjuntura Econômica Healthminds - Open Class Cenários e Conjuntura Econômica
Healthminds - Open Class Cenários e Conjuntura Econômica
 
P. Litvinas. OpenGeo Suite - atvira platforma jūsų sprendimams. GIS - paprast...
P. Litvinas. OpenGeo Suite - atvira platforma jūsų sprendimams. GIS - paprast...P. Litvinas. OpenGeo Suite - atvira platforma jūsų sprendimams. GIS - paprast...
P. Litvinas. OpenGeo Suite - atvira platforma jūsų sprendimams. GIS - paprast...
 
Social Machines Democratization
Social Machines DemocratizationSocial Machines Democratization
Social Machines Democratization
 
Magazyn THEY.PL - nr 3 (2012)
Magazyn THEY.PL - nr 3 (2012)Magazyn THEY.PL - nr 3 (2012)
Magazyn THEY.PL - nr 3 (2012)
 
Introdução websemantica (minicurso)
Introdução websemantica (minicurso)Introdução websemantica (minicurso)
Introdução websemantica (minicurso)
 
Handout 2 Texts Brazil
Handout 2 Texts BrazilHandout 2 Texts Brazil
Handout 2 Texts Brazil
 
Makalah peridarditis
Makalah peridarditisMakalah peridarditis
Makalah peridarditis
 
Algebra cuaderno2eso ies bahia
Algebra cuaderno2eso ies bahiaAlgebra cuaderno2eso ies bahia
Algebra cuaderno2eso ies bahia
 
Gestão de Projetos e Programas - Aula # 14
Gestão de Projetos e Programas - Aula # 14Gestão de Projetos e Programas - Aula # 14
Gestão de Projetos e Programas - Aula # 14
 
Jornal
JornalJornal
Jornal
 
วิธีติดตั้ง Windows10 เเละ eset nod32
วิธีติดตั้ง Windows10 เเละ eset nod32วิธีติดตั้ง Windows10 เเละ eset nod32
วิธีติดตั้ง Windows10 เเละ eset nod32
 
Search at Tokopedia
Search at TokopediaSearch at Tokopedia
Search at Tokopedia
 
Digital Voltmeter displaying voltage level on a seven segment display and com...
Digital Voltmeter displaying voltage level on a seven segment display and com...Digital Voltmeter displaying voltage level on a seven segment display and com...
Digital Voltmeter displaying voltage level on a seven segment display and com...
 
Representacion de curvas
Representacion de curvasRepresentacion de curvas
Representacion de curvas
 
Big Data and Social Sciences
Big Data and Social SciencesBig Data and Social Sciences
Big Data and Social Sciences
 
B2B case study: How Martrain targeted the clinicians when selling VMware’s VD...
B2B case study: How Martrain targeted the clinicians when selling VMware’s VD...B2B case study: How Martrain targeted the clinicians when selling VMware’s VD...
B2B case study: How Martrain targeted the clinicians when selling VMware’s VD...
 
Cover depan fail panitia 2015
Cover depan fail panitia 2015Cover depan fail panitia 2015
Cover depan fail panitia 2015
 

Similaire à Detecção de ameaças internas com Linux Audit

Segurança em Servidores Linux - Ênfase em RHEL
Segurança em Servidores Linux - Ênfase em RHELSegurança em Servidores Linux - Ênfase em RHEL
Segurança em Servidores Linux - Ênfase em RHELAlessandro Silva
 
Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!Welington Monteiro
 
Auditoria de sistemas de informação
Auditoria de sistemas de informaçãoAuditoria de sistemas de informação
Auditoria de sistemas de informaçãoSilvino Neto
 
Seguranca da Informação -Práticas de segurança
Seguranca da Informação -Práticas de segurançaSeguranca da Informação -Práticas de segurança
Seguranca da Informação -Práticas de segurançaLuiz Arthur
 
Controle de Acesso ao Datacenter
Controle de Acesso ao DatacenterControle de Acesso ao Datacenter
Controle de Acesso ao DatacenterNetBR
 
Segurança em Sistemas Baseados em Redes de Computadores
Segurança em Sistemas Baseados em Redes de ComputadoresSegurança em Sistemas Baseados em Redes de Computadores
Segurança em Sistemas Baseados em Redes de ComputadoresBruno Dos Anjos Silveira
 
Desenvolvimento de exploits
Desenvolvimento de exploitsDesenvolvimento de exploits
Desenvolvimento de exploitsNaraBarros10
 
Resposta a Incidentes de Segurança com ferramentas SIEM
Resposta a Incidentes de Segurança com ferramentas SIEMResposta a Incidentes de Segurança com ferramentas SIEM
Resposta a Incidentes de Segurança com ferramentas SIEMSpark Security
 
Projeto de Avaliação de Segurança de TI
Projeto de Avaliação de Segurança de TIProjeto de Avaliação de Segurança de TI
Projeto de Avaliação de Segurança de TIMessias Dias Teixeira
 
Controle de Acesso ao Datacenter
Controle de Acesso ao DatacenterControle de Acesso ao Datacenter
Controle de Acesso ao DatacenterNetBR
 
Monitoramento de malware em Windows NT 6.x - 64bits
Monitoramento de malware em Windows NT 6.x - 64bitsMonitoramento de malware em Windows NT 6.x - 64bits
Monitoramento de malware em Windows NT 6.x - 64bitsArthur Paixão
 
Ferramentas livres para teste de invasao
Ferramentas livres para teste de invasao Ferramentas livres para teste de invasao
Ferramentas livres para teste de invasao gleydsonslim
 
[CLASS 2014] Palestra Técnica - Marcelo Branquinho e Jan Seidl
[CLASS 2014] Palestra Técnica - Marcelo Branquinho e Jan Seidl[CLASS 2014] Palestra Técnica - Marcelo Branquinho e Jan Seidl
[CLASS 2014] Palestra Técnica - Marcelo Branquinho e Jan SeidlTI Safe
 
Global Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Global Azure Bootcamp - Recursos de Segurança para Aplicações no AzureGlobal Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Global Azure Bootcamp - Recursos de Segurança para Aplicações no AzureRubens Guimarães - MTAC MVP
 
[Pt br] - 36751 - mitre att&ck - azure
[Pt br] - 36751 - mitre att&ck - azure[Pt br] - 36751 - mitre att&ck - azure
[Pt br] - 36751 - mitre att&ck - azureEnrique Gustavo Dutra
 

Similaire à Detecção de ameaças internas com Linux Audit (20)

Ethical Hacking - Campus Party Brasília 2017
Ethical Hacking - Campus Party Brasília 2017Ethical Hacking - Campus Party Brasília 2017
Ethical Hacking - Campus Party Brasília 2017
 
Segurança em Servidores Linux - Ênfase em RHEL
Segurança em Servidores Linux - Ênfase em RHELSegurança em Servidores Linux - Ênfase em RHEL
Segurança em Servidores Linux - Ênfase em RHEL
 
Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!
 
Pentest com Kali Linux - LatinoWare 2015
Pentest com Kali Linux - LatinoWare 2015Pentest com Kali Linux - LatinoWare 2015
Pentest com Kali Linux - LatinoWare 2015
 
Palestras Como Ele Achou Estas Falhas V.1.0
Palestras Como Ele Achou Estas Falhas V.1.0Palestras Como Ele Achou Estas Falhas V.1.0
Palestras Como Ele Achou Estas Falhas V.1.0
 
Auditoria de sistemas de informação
Auditoria de sistemas de informaçãoAuditoria de sistemas de informação
Auditoria de sistemas de informação
 
Seguranca da Informação -Práticas de segurança
Seguranca da Informação -Práticas de segurançaSeguranca da Informação -Práticas de segurança
Seguranca da Informação -Práticas de segurança
 
Controle de Acesso ao Datacenter
Controle de Acesso ao DatacenterControle de Acesso ao Datacenter
Controle de Acesso ao Datacenter
 
Cissp
CisspCissp
Cissp
 
Segurança em Sistemas Baseados em Redes de Computadores
Segurança em Sistemas Baseados em Redes de ComputadoresSegurança em Sistemas Baseados em Redes de Computadores
Segurança em Sistemas Baseados em Redes de Computadores
 
Desenvolvimento de exploits
Desenvolvimento de exploitsDesenvolvimento de exploits
Desenvolvimento de exploits
 
Resposta a Incidentes de Segurança com ferramentas SIEM
Resposta a Incidentes de Segurança com ferramentas SIEMResposta a Incidentes de Segurança com ferramentas SIEM
Resposta a Incidentes de Segurança com ferramentas SIEM
 
Projeto de Avaliação de Segurança de TI
Projeto de Avaliação de Segurança de TIProjeto de Avaliação de Segurança de TI
Projeto de Avaliação de Segurança de TI
 
Controle de Acesso ao Datacenter
Controle de Acesso ao DatacenterControle de Acesso ao Datacenter
Controle de Acesso ao Datacenter
 
Monitoramento de malware em Windows NT 6.x - 64bits
Monitoramento de malware em Windows NT 6.x - 64bitsMonitoramento de malware em Windows NT 6.x - 64bits
Monitoramento de malware em Windows NT 6.x - 64bits
 
Análise de Malware
Análise de MalwareAnálise de Malware
Análise de Malware
 
Ferramentas livres para teste de invasao
Ferramentas livres para teste de invasao Ferramentas livres para teste de invasao
Ferramentas livres para teste de invasao
 
[CLASS 2014] Palestra Técnica - Marcelo Branquinho e Jan Seidl
[CLASS 2014] Palestra Técnica - Marcelo Branquinho e Jan Seidl[CLASS 2014] Palestra Técnica - Marcelo Branquinho e Jan Seidl
[CLASS 2014] Palestra Técnica - Marcelo Branquinho e Jan Seidl
 
Global Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Global Azure Bootcamp - Recursos de Segurança para Aplicações no AzureGlobal Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Global Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
 
[Pt br] - 36751 - mitre att&ck - azure
[Pt br] - 36751 - mitre att&ck - azure[Pt br] - 36751 - mitre att&ck - azure
[Pt br] - 36751 - mitre att&ck - azure
 

Plus de Ivani Nascimento

Personalizando o ambiente do usuário
Personalizando o ambiente do usuárioPersonalizando o ambiente do usuário
Personalizando o ambiente do usuárioIvani Nascimento
 
Arquivos de Inicialização do Linux
Arquivos de Inicialização do LinuxArquivos de Inicialização do Linux
Arquivos de Inicialização do LinuxIvani Nascimento
 
Operadores de redirecionamento
Operadores de redirecionamentoOperadores de redirecionamento
Operadores de redirecionamentoIvani Nascimento
 

Plus de Ivani Nascimento (12)

Personalizando o ambiente do usuário
Personalizando o ambiente do usuárioPersonalizando o ambiente do usuário
Personalizando o ambiente do usuário
 
Arquivos de Inicialização do Linux
Arquivos de Inicialização do LinuxArquivos de Inicialização do Linux
Arquivos de Inicialização do Linux
 
Dispositivos de Bloco
Dispositivos de BlocoDispositivos de Bloco
Dispositivos de Bloco
 
Operadores de redirecionamento
Operadores de redirecionamentoOperadores de redirecionamento
Operadores de redirecionamento
 
Obtendo ajuda no Linux
Obtendo ajuda no LinuxObtendo ajuda no Linux
Obtendo ajuda no Linux
 
Editor de texto VI
Editor de texto VIEditor de texto VI
Editor de texto VI
 
Estrutura de diretorios
Estrutura de diretoriosEstrutura de diretorios
Estrutura de diretorios
 
Comandos linux
Comandos linuxComandos linux
Comandos linux
 
Sistemas de arquivos
Sistemas de arquivosSistemas de arquivos
Sistemas de arquivos
 
Introdução Linux
Introdução LinuxIntrodução Linux
Introdução Linux
 
Palestra Netiqueta
Palestra NetiquetaPalestra Netiqueta
Palestra Netiqueta
 
Minicurso Samba
Minicurso SambaMinicurso Samba
Minicurso Samba
 

Detecção de ameaças internas com Linux Audit

  • 1. Auditoria e Controles de Segurança Detecção de ameaças internas com Linux Audit Eduardo S. Scarpellini Ivani A. Nascimento Profª Cristiane Ikenaga São Paulo Setembro/2010
  • 2. Sumário ● Introdução ● Estatísticas ● Distribuição dos casos de ameaça interna ● Ações associadas à sabotagem de TI ● Linux Audit ● Definição e escopo ● Arquitetura ● Exemplo ● Ferramentas de apoio ● Conclusão ● Referências
  • 3. Introdução ● Descentralização e distribuição de recursos proporcionou o aumento de sistemas informatizados. ● A Internet está presente no ambiente corporativo. ● Muitos aplicativos são desenvolvidos sem preocupação com a segurança. ● Vulnerabilidades. ● Mudanças ocorrem sem avaliação apropriada dos aspectos envolvidos. ● A má conduta por parte de usuários autorizados representa graves ameaças a uma organização. ● Quase metade dos incidentes de segurança são de origem interna (CSI-FBI, Computer Crime and Security Survey - 2005).
  • 4. Distribuição dos casos de ameaça interna *Fonte: Carnegie Mellon's CERT e US Secret Services NTAC - National Threat Assessment Center *Setor de TI e Telecom: 63% dos agentes maliciosos ocuparam cargos técnicos 58% dos casos foram utilizadas ferramentas sofisticadas *Setor financeiro: 23% dos usuários maliciosos ocuparam cargos técnicos 87% dos ataques foram simples, partindo de usuários legítimos. 190 tipos de ataques internos, classificados pelo CERT em 4 categorias: Sabotagem de TI, roubo ou alteração por ganho financeiro, roubo ou alteração de vantagem para o negócio e diversos. BAI, William T. (AIR FORCE INSTITUTE OF TECHNOLOGY) - DEVELOPMENT OF A METHODOLOGY FOR CUSTOMIZING INSIDER THREAT AUDITING ON A LINUX OPERATING SYSTEM - 2010
  • 5. Ações associadas a sabotagem de TI BAI, William T. (AIR FORCE INSTITUTE OF TECHNOLOGY) - DEVELOPMENT OF A METHODOLOGY FOR CUSTOMIZING INSIDER THREAT AUDITING ON A LINUX OPERATING SYSTEM - 2010 *Sabotagem de TI: 30% utilizaram seu próprio nome de usuário e senha 43% utilizaram contas comprometidas. *Abuso de permissões: 88% roubo para vantagem do negócio 75% roubo ou modificação para ganho financeiro*Roubo de dados para ganho financeiro 85% dos usuários maliciosos usaram seus próprios nomes de usuários e senhas. *Fonte: Carnegie Mellon's CERT e US Secret Services NTAC - National Threat Assessment Center
  • 6. Linux Audit ● Auditoria de segurança é um termo usado para descrever o processo de avaliação da postura de segurança de uma organização. ● Consiste em registro das ações dos usuários e programas de um sistema. ● Ajuda na detecção de violações da política de segurança. ● Linux audit: ● Monitora todo o sistema de chamadas (syscalls) feitas para o kernel. ● Análise independente dos programas/user-space (não confiáveis). ● Se integra ao SELinux para registrar violações da política deste. ● Regras baseadas em arquivos, usuários, objetos (SELinux). ● Log binário com utilitários para relatório e busca de eventos.
  • 7. Linux Audit: Arquitetura BAI, William T. (AIR FORCE INSTITUTE OF TECHNOLOGY) - DEVELOPMENT OF A METHODOLOGY FOR CUSTOMIZING INSIDER THREAT AUDITING ON A LINUX OPERATING SYSTEM - 2010
  • 8. Linux Audit: Definição de escopo ● A decisão do que auditar, depende de cada organização. ● O que auditar: ● Abertura e fechamento de arquivos. ● Alterações de permissões e propriedades. ● Montagens e desmontagens de sistemas de arquivos. ● Mudanças na hora do sistema. ● Análise de tentativas de login. ● Mudanças de arquivos de configuração. ● Estabelecer política de backup de log de auditoria e manter um servidor de logs centralizado.
  • 9. Linux Audit: Exemplo [root@localhost ~]# touch /tmp/audit-test [root@localhost ~]# auditctl -w /tmp/audit-test [root@localhost ~]# rm /tmp/audit-test rm: remove regular empty file `/tmp/audit-test'? Y [root@localhost ~]# ausearch --file /tmp/audit-test ---- time->Sat Sep 25 12:39:11 2010 type=PATH msg=audit(1285429151.975:27): item=1 name="/tmp/audit-test" inode=3375106 dev=fd:00 mode=0100644 ouid=0 ogid=0 rdev=00:00 obj=root:object_r:tmp_t:s0 type=PATH msg=audit(1285429151.975:27): item=0 name="/tmp/" inode=3375105 dev=fd:00 mode=041777 ouid=0 ogid=0 rdev=00:00 obj=system_u:object_r:tmp_t:s0 type=CWD msg=audit(1285429151.975:27): cwd="/root" type=SYSCALL msg=audit(1285429151.975:27): arch=c000003e syscall=87 success=yes exit=0 a0=7fffefcd7c4a a1=1 a2=2 a3=e29ab80 items=2 ppid=3163 pid=3277 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 ses=2 comm="rm" exe="/bin/rm" subj=root:system_r:unconfined_t:s0-s0:c0.c1023 key=(null)
  • 10. Linux Audit: Ferramentas de apoio ● OSSEC: http://www.ossec.net/ ● Snare: http://www.intersectalliance.com/projects/index.html
  • 11. Conclusão ● Detectar e deter ameaças internas é um desafio para as organizações. ● Uma metodologia de avaliação de risco é indicada para identificar riscos e vulnerabilidades. ● Ferramentas como Linux Audit auxilia a identificar tentativas de acesso e violações de segurança (auditoria contínua). ● Com o registro dos logs é possível detectar atividades maliciosas e criar procedimentos e controles específicos. ● O conhecimento da ameaça interna e o auxílio da auditoria ajudam as organizações a terem um nível aceitável de risco de segurança da informação.
  • 12. Referências ● BAI, William T. (AIR FORCE INSTITUTE OF TECHNOLOGY) - Development of a methodology for customizing insider threat auditing on a Linux Operating System - 2010. ● HERMANS, S. - Detect insider threats with Linux auditing - 22/06/2007 - Disponível em: http://www.linux.com/archive/feature/114422 - Acessado em: Setembro/2010.