[Tempest Talks] Grau de similaridade em análise de logs

Durante a palestra de abertura do Tempest Talks São Paulo, realizado no dia 8 deste mês. Bezerra foi o primeiro speaker do evento promovido pela Tempest Security Intelligence criado para reunir clientes, parceiros e profissionais de Segurança para debater as novidades do setor.

O tema Grau de similaridade em análise de logs apresentado por Bezerra abordou a detecção de anomalias a partir do conhecimento de padrões estabelecidos dentro de uma rede. O estudo é resultado do trabalho de Pesquisa & Desenvolvimento realizando dentro da Tempest.

Particularmente, fico extremamente satisfeito em assistir palestras como essa de Renato Bezerra, onde conseguimos observar de forma clara e objetiva a aplicabilidade prática de estudos oriundos das nossas células de P&D. O modelo ora proposto só tem a somar mais assertividade no ótimo trabalho de detecção de anomalias que já temos atualmente no serviço de nosso SOC (Security Operations Center), avaliou Aldo Albuquerque, diretor de Threat Management Services da Tempest.

A palestra, que contemplou um dos assuntos técnicos do evento, foi bem recebida pelos participantes. O coordenador de Segurança da Múltiplos, Marcelo Quintanilha, destacou a necessidade de reunir técnicos e executivos integrando as visões de cada área.

É importante porque ajuda quem trabalha na parte técnica a entender ataques mais sofisticados e conceitos novos. E é bom para o pessoal gerencial também olhar e se colocar no lugar dos técnicos para entender o que ela sente no dia a dia, disse Quintanilha.

PALESTRA

Durante sua fala, Bezerra mostrou que todo modelo de detecção baseado em assinaturas precisa de um amplo conhecimento dos padrões anômalos que se quer detectar e construir regras de detecção a partir de normas estabelecidas. A partir de uma série de configurações no concentrador de logs, vários campos são extraídos dos eventos para que as regras sejam executadas e as exceções sejam criadas.

Outra possibilidade é um ataque ser executado com requisições indistinguíveis ao padrão da empresa, como exfiltração de dados através de acesso legítimo ou um sequestro de sessão. Contudo, os estudos apresentados demonstraram de análise de similaridade pode ser útil na identificação de anomalias dentro da rede.

Dentro do modelo estudado, os eventos são enviados para o concentrador e dele extraídos as situações anômalas, que são direcionadas para a aplicação da Tempest – ele efetua os cálculos de similaridade e porcentagem de igualdade entre os eventos. O resultado desse cálculo ajuda o analista a tomar decisões sobre determinada assinatura e avaliar se é uma anomalia ou uma requisição legítima.

A maioria dos acessos giraram em torno de 80% de similaridade. Esse percentual foi calculado em cima de informações sobre a máquina, o browser, o local de acesso, etc. Porém tudo que é anômalo, quando ocorrido de forma corriqueira, torna-se considerado normal. Por isso o papel investigativo do analista é tão importante.

“Somando os alertas por assinaturas aos pontos fora da curva, é possível identificar incidentes em logs que já possuem uma base fundamentada. O ideal é chegar a um modelo de checagem de assinatura que se complemente com as ameaças do mundo comportamental”, completou Bezerra. Renato Bezerra é consultor especialista em detecção e reação a incidentes de segurança e gestor do Security Operations Center (SOC) da Tempest Security Intelligence.

Parte anterior

Próximas partes

Comentários
Aceita-se formatação à la TWiki. HTML e scripts são filtrados. Máximo 15KiB.

 
Enviando... por favor aguarde...
Comentário enviado com suceso -- obrigado.
Ele aparecerá quando os moderadores o aprovarem.
Houve uma falha no envio do formulário!
Deixei uma nota para os admins verificarem o problema.
Perdoe-nos o transtorno. Por favor tente novamente mais tarde.