Utilize este identificador para referenciar este registo: http://hdl.handle.net/10451/35422
Título: Revisiting RFC2350 20 years later: a hands-on approach to security monitoring and incident response
Autor: Cunha, Diogo Bomfim Ribeiro Carou
Orientador: Ferreira, Pedro Miguel Frazão Fernandes
Martins, Artur Miguel Adriano
Palavras-chave: Centro
Operações
Segurança
RFC2350
Dados
Cibersegurança
Trabalhos de projecto de mestrado - 2018
Data de Defesa: 2018
Resumo: Hoje em dia, o uso de diferentes tipos de informação encontra-se fundamental-mente associado aos principais processos de negócios de uma organização. Estes proces-sos podem ser de vários tipos como por exemplo, a execução de diferentes aplicações, execução de comandos personalizados num computador remoto ou a instalação de com-plexas aplicações. Qualquer tipo de perturbação do correto comportamento destes pro-cessos pode resultar em perdas substanciais e de todo indesejadas para uma organização, sendo por isso que estas têm vindo a investir cada vez mais na segurança da sua informa-ção. Este tópico pode ser definido como a preservação da confidencialidade, integri-dade e disponibilidade da informação, sendo o seu principal objetivo, além de proteger essa informação de qualquer pessoa com intenções maliciosas, o de garantir que todos os incidentes de segurança que afetaram uma determinada organização no passado não vol-tem a acontecer no presente ou no futuro. Mais ainda, se por algum motivo estes aconte-cerem de novo, pelo menos devem ter um impacto muito menor na infraestrutura do que no passado. Estas premissas são normalmente atingidas através da implementação e mo-nitorização de diversificados controlos de segurança, de uma forma geral posicionados em locais estratégicos da infraestrutura da organização, por forma a dar á equipa de se-gurança uma visão global daquilo que está a acontecer na infraestrutura a qualquer mo-mento. É comum quando se fala num Centro de Operações de Segurança (SOC), de se imaginar uma sala espaçosa e de última geração, composta por equipamentos topo de gama e repleta de engenheiros especializados, apesar de isso não constituir, naturalmente, um requisito. Um SOC é basicamente definido por aquilo que faz, podendo fornecer uma variedade de serviços a um vasto conjunto de clientes, desde a deteção e resposta a inci-dentes de segurança, a ações de sensibilização por forma a alertar para alguns dos riscos a que os utilizadores podem estar expostos diariamente, a identificação, quantificação e priorização de vulnerabilidades, entre outros. No âmbito deste trabalho, e primeiro que tudo, foram identificados diversos pro-blemas/desafios que existem atualmente no mundo da segurança da informação e que emergiram durante a fase de pesquisa e investigação que foi levada a cabo. Seguidamente, são apresentados e discutidos os pontos teóricos principais que devem servir de base á construção e posterior manutenção de um qualquer Centro de Operações de Segurança (SOC). Começando pela constituição da equipa responsável por levar a cabo as operações, são apresentados dois possíveis modelos de divisão de responsabilidades. De seguida, são enumeradas as diferentes fases de maturidade de um SOC, passando posteriormente pelos conceitos de Logging, onde são discutidos os conceitos de Logging proactivo e reativo, Eventos, Alertas - sendo explicadas as 4 categorias de alertas com que a equipa de segu-rança irá ter de lidar, SIEMs e Log Management – onde é explicado no que consistem estas duas tecnologias e quais os seus propósitos, sendo depois feita uma comparação entre si. Seguidamente, é abordado o tema de resposta a incidentes de segurança, pas-sando pela sua definição e respetivo ciclo de vida. Neste, são enumeradas e respetiva-mente explicadas todas as fases que o constituem, dando ênfase ás tarefas que o respetivo analista de segurança deve levar a cabo em cada delas. Outro ponto central deste trabalho, é a revisão do RFC2350. Este documento es-pecifica as boas práticas da comunidade, sendo o seu principal objetivo o de expressar as expectativas gerais da comunidade acerca das equipas de resposta a incidentes de segu-rança (CSIRT’s). Uma vez que não é possível delinear um conjunto de requisitos que se possam aplicar a todas as equipas de segurança, é fornecida uma descrição de alguns tópicos e questões centrais, por forma a fornecer algum tipo de orientação. Todas as partes integrantes da CSIRT precisam e têm o direito de conhecer e compreender por completo todas as políticas e procedimentos que esta possui. Por forma a conseguir fazê-lo, a CSIRT deve fornecer um modelo de formulário formal e detalhado que contenha toda essa infor-mação, e que possa ser consultado por toda a sua comunidade de clientes. Por fim, e ainda naquilo que diz respeito aos pontos teóricos, são apresentados dois documentos de duas entidades de referência (SANS e MITRE), ambos relacionados com a construção e manutenção de Centros de Operações de Segurança. Finda a parte teórica, é então apresentada a contribuição deste trabalho, sendo esta constituída por um detalhado e completo guia que tem como principal propósito demons-trar como montar de forma correta e eficiente um Centro de Operações de Segurança, sendo primeiro enumeradas as diferentes tecnologias consideradas essenciais para o seu correto funcionamento (SIEM, Log Management, Ticketing e CSIRT), assim como onde estas e a CSIRT devem ser posicionadas dentro da infraestrutura da organização. Posto isto, são devidamente explicadas as diversas fases que constituem o seu processo de cons-trução (Identificação de data sources, normalização de logs, identificação de eventos re-levantes e implementação). De seguida, e após o centro estar montado e funcional, são enumeradas e debatidas diferentes formas de realizar uma cuidada e atenta monitorização da infraestrutura, através da definição de alarmes, da construção de dashboards e da apli-cação de técnicas de threat intelligence. Por fim, é abordado o tema de resposta a incidentes de segurança, sendo fornecido e devidamente explicado um workflow genérico de resposta a incidentes, o qual clara-mente explicita as diferentes interações que devem existir entre os diferentes membros da CSIRT, para cada uma das fases previamente identificadas aquando da definição do ciclo de vida de um incidente. São ainda enumeradas as diferentes categorias de incidente co-mumente utilizadas pela comunidade, assim como é apresentada e propriamente expli-cada uma plataforma de ticketing especialmente desenhada para o contexto de resposta a incidentes de segurança (Request Tracker for Incident Response - RTIR), sendo ainda explicado, de uma forma geral, a forma como esta funciona, sendo ainda fornecidos al-guns screenshots da mesma. Após a apresentação da solução, a mesma foi colocada em prática através da apli-cação dos conceitos aqui apresentados a um caso de estudo para a construção de um Cen-tro de Operações de Segurança para uma grande empresa nacional, por forma a produzir evidências práticas que permitissem demonstrar a eficiência da solução proposta. Após a sua montagem, foram então levadas a cabo diversas tarefas de monitorização, nomeada-mente a especificação de diferentes alarmes e a definição e criação de diferentes dashbo-ards que permitissem á equipa de segurança conseguir visualizar aquilo que se encontra a acontecer na infraestrutura da empresa a qualquer momento. Por fim, é abordado o conceito de resposta a incidentes de segurança, sendo apre-sentada e acompanhada de forma minuciosa a resposta a um incidente de segurança (In-jeção de Cross-Site-Scripting - XSS), sendo evidenciadas todas as interações que o ana-lista de segurança deve ter com a plataforma de ticketing aquando da passagem pelas diversas fases do ciclo de vida do incidente. Em jeito de conclusão, é referido de que forma é que este trabalho vem resolver os problemas/ desafios que haviam sido identificados durante a fase de pesquisa e inves-tigação, sendo inclusive especificada a parte da solução que vem resolver cada um dos diferentes pontos. Após algumas considerações finais, é levado a cabo um apanhado geral de todo o trabalho que foi desenvolvido, sendo posteriormente apresentadas algumas su-gestões daquilo que poderá advir como trabalho futuro relativamente a este tema.
Nowadays, with the amount of information being produced and exchanged at any given moment, data security has become a central discussion topic, with companies spending more money than ever trying to protect their own resources. Also, with the rise of Cyber Criminality, new ways of infiltrating or simply disturbing businesses through their Information Technology (IT) systems (for example, by exhausting their resources) are discovered almost on a daily basis. This requires a sophisticated defense strategy from these companies, which is based on the aggregation of several dedicated operational security functions into a single security department - a Security Operation Center (SOC). A SOC’s main goal is to detect, analyze, respond to, report on and prevent any sort of security incident. In order to do that, they need not only to be properly assembled and configured, but they need to have a vast array of sophisticated detection and prevention technologies, a virtual sea of Cyber Intelligence reporting information and immediate access to a set of talented IT professionals ready to mitigate any incoming security incident. In order to achieve this, this work will first identify the different problems/challenges that were identified during the research phase, and then give a detailed background on some of the major theoretical concepts behind SOCs as well as revisit the RFC2350’s main concepts, which is the standard for Computer Security Incident Response Teams (CSIRTs), it will also provide a detailed guide on how to properly assemble and maintain a Security Operations Center, and then show how to perform a variety of security monitoring and incident response tasks. After this, the proposed solution will be put into practice and will be used to build a brand new SOC for a major Portuguese company. Once the assembling process has finished, some security monitoring tasks will then be performed (definition of different alarms and creation of several dashboards). Then, the incident response lifecycle will be meticulously reviewed, in a response to a real security incident (Cross-Site-Scripting - XSS Injection). A special emphasis will be put in the different interactions the security analyst should engage with the ticketing platform in use. Lastly, some considerations on how this work solves the problems/ issues that were previously identified is given, and some considerations on possible future work are provided.
Descrição: Trabalho de projecto de mestrado em Segurança Informática, Universidade de Lisboa, Faculdade de Ciências, 2018
URI: http://hdl.handle.net/10451/35422
Designação: Trabalho de projecto de mestrado em Segurança Informática
Aparece nas colecções:FC-DI - Master Thesis (projects)

Ficheiros deste registo:
Ficheiro Descrição TamanhoFormato 
ulfc121873_tm_Diogo_Cunha.pdf827,14 kBAdobe PDFVer/Abrir


FacebookTwitterDeliciousLinkedInDiggGoogle BookmarksMySpace
Formato BibTex MendeleyEndnote 

Todos os registos no repositório estão protegidos por leis de copyright, com todos os direitos reservados.