1. Auditoria e Controles de Segurança
Detecção de ameaças internas
com Linux Audit
Eduardo S. Scarpellini
Ivani A. Nascimento
Profª Cristiane Ikenaga
São Paulo
Setembro/2010
2. Sumário
● Introdução
● Estatísticas
● Distribuição dos casos de ameaça interna
● Ações associadas à sabotagem de TI
● Linux Audit
● Definição e escopo
● Arquitetura
● Exemplo
● Ferramentas de apoio
● Conclusão
● Referências
3. Introdução
● Descentralização e distribuição de recursos proporcionou o aumento de
sistemas informatizados.
● A Internet está presente no ambiente corporativo.
● Muitos aplicativos são desenvolvidos sem preocupação com a segurança.
● Vulnerabilidades.
● Mudanças ocorrem sem avaliação apropriada dos aspectos envolvidos.
● A má conduta por parte de usuários autorizados representa graves
ameaças a uma organização.
●
Quase metade dos incidentes de segurança são de origem interna (CSI-FBI,
Computer Crime and Security Survey - 2005).
4. Distribuição dos casos de ameaça interna
*Fonte: Carnegie Mellon's CERT e
US Secret Services NTAC - National
Threat Assessment Center
*Setor de TI e Telecom:
63% dos agentes maliciosos ocuparam cargos técnicos
58% dos casos foram utilizadas ferramentas sofisticadas
*Setor financeiro:
23% dos usuários maliciosos ocuparam cargos técnicos
87% dos ataques foram simples, partindo de usuários legítimos.
190 tipos de ataques internos, classificados pelo CERT em 4 categorias:
Sabotagem de TI, roubo ou alteração por ganho financeiro, roubo ou alteração de vantagem para o negócio e
diversos.
BAI, William T. (AIR FORCE INSTITUTE OF TECHNOLOGY) - DEVELOPMENT OF A METHODOLOGY FOR
CUSTOMIZING INSIDER THREAT AUDITING ON A LINUX OPERATING SYSTEM - 2010
5. Ações associadas a sabotagem de TI
BAI, William T. (AIR FORCE INSTITUTE OF TECHNOLOGY) - DEVELOPMENT OF A METHODOLOGY FOR
CUSTOMIZING INSIDER THREAT AUDITING ON A LINUX OPERATING SYSTEM - 2010
*Sabotagem de TI:
30% utilizaram seu próprio nome de usuário e senha
43% utilizaram contas comprometidas.
*Abuso de permissões:
88% roubo para vantagem do
negócio
75% roubo ou modificação para
ganho financeiro*Roubo de dados para ganho financeiro
85% dos usuários maliciosos usaram
seus próprios nomes de usuários e
senhas.
*Fonte: Carnegie Mellon's CERT e
US Secret Services NTAC - National
Threat Assessment Center
6. Linux Audit
● Auditoria de segurança é um termo usado para descrever o processo de
avaliação da postura de segurança de uma organização.
● Consiste em registro das ações dos usuários e programas de um
sistema.
● Ajuda na detecção de violações da política de segurança.
● Linux audit:
● Monitora todo o sistema de chamadas (syscalls) feitas para o kernel.
● Análise independente dos programas/user-space (não confiáveis).
● Se integra ao SELinux para registrar violações da política deste.
● Regras baseadas em arquivos, usuários, objetos (SELinux).
● Log binário com utilitários para relatório e busca de eventos.
7. Linux Audit: Arquitetura
BAI, William T. (AIR FORCE INSTITUTE OF TECHNOLOGY) - DEVELOPMENT OF A METHODOLOGY FOR
CUSTOMIZING INSIDER THREAT AUDITING ON A LINUX OPERATING SYSTEM - 2010
8. Linux Audit: Definição de escopo
● A decisão do que auditar, depende de cada organização.
● O que auditar:
● Abertura e fechamento de arquivos.
● Alterações de permissões e propriedades.
● Montagens e desmontagens de sistemas de arquivos.
● Mudanças na hora do sistema.
● Análise de tentativas de login.
● Mudanças de arquivos de configuração.
● Estabelecer política de backup de log de auditoria e manter um servidor de
logs centralizado.
10. Linux Audit: Ferramentas de apoio
● OSSEC: http://www.ossec.net/
● Snare: http://www.intersectalliance.com/projects/index.html
11. Conclusão
● Detectar e deter ameaças internas é um desafio para as organizações.
● Uma metodologia de avaliação de risco é indicada para identificar riscos e
vulnerabilidades.
● Ferramentas como Linux Audit auxilia a identificar tentativas de acesso e
violações de segurança (auditoria contínua).
● Com o registro dos logs é possível detectar atividades maliciosas e criar
procedimentos e controles específicos.
● O conhecimento da ameaça interna e o auxílio da auditoria ajudam as
organizações a terem um nível aceitável de risco de segurança da
informação.
12. Referências
● BAI, William T. (AIR FORCE INSTITUTE OF TECHNOLOGY) - Development of a
methodology for customizing insider threat auditing on a Linux Operating
System - 2010.
● HERMANS, S. - Detect insider threats with Linux auditing - 22/06/2007 -
Disponível em: http://www.linux.com/archive/feature/114422 - Acessado
em: Setembro/2010.