Analisando pacotes for fun and packet - Conceito de Network Security Monitoring (NSM - Qualitek Security Day)
Transferir como PPT, PDF3 gostaram2,126 visualizações
O documento discute o conceito de Network Security Monitoring (NSM) e sua importância na detecção de intrusos, enfatizando que alertas isolados são insuficientes para a proteção eficaz. Rodrigo Montoro explora as várias camadas de dados necessárias para um NSM eficaz e apresenta o projeto Security Onion como uma solução acessível para empresas. Ele também aborda a questão do custo relacionado ao armazenamento de logs e fornece diversos links úteis relacionados ao tema.
Analisando pacotes for fun and packet - Conceito de Network Security Monitoring (NSM - Qualitek Security Day)
- 1. Analisando pacotes for Fun & Detection – O interessante conceito de NSM (Network Security Monitoring) Rodrigo “Sp0oKeR” Montoro
- 2. $ whois Rodrigo “Sp0oKeR” Montoro Security System Administrator @ Sucuri – Centenas de Web Application Firewall – Milhões alertas mês (Disneyland =) ) Autor de 2 patentes pendentes – Detecção Documentos maliciosos – Análise Cabeçalhos HTTP Palestrante em diversos eventos – FISL, Latinoware, CNASI, SecTor (Canada), H2HC, Bsides (São Paulo e Las Vegas), Source Seattle e Boston (EUA), Toorcon (EUA), Zoncon (EUA). Triatleta / Corredor de Trilhas
- 3. MOTIVAÇÃO
- 4. AGENDA Atual problema na detecção de intrusos O conceito de NSM Como colocar isso em prática ? Perguntas
- 5. Como funciona um invasão Antes Durante Depois
- 6. Conceito de Detecção / Prevenção Intrusão Atacantes sempre terão sucesso, se o conceito de sucesso for previnir isso, sempre perderemos.
- 7. Tempo é o fator chave ...
- 9. Exemplo simples de genérico, “mundo fragmentação” ... Sistemas operacionais diferentes, necessitam configurações de proteção diferente
- 10. Timeout fragmentação da proteção < dispositivo
- 11. Timeout fragmentação da proteção > dispositivo
- 12. Evasão usando TTL + Timeout
- 13. De brinde tem o overlaping ...
- 14. E o grande “problema” da maioria das proteções …
- 15. Alerta é apenas uma foto do momento ….
- 16. Network Security Monitoring (NSM)
- 17. Porque apenas o alerta não é suficiente ….
- 18. Os componentes de um NSM Full Content Extracted Content Session Data Statical Data Metadata Alert Data
- 19. Full Content
- 20. Extracted Data
- 21. Session Data
- 22. Statical Data
- 23. Metadata
- 24. Alert Data
- 25. E como coloco isso em prática ?
- 26. Mas isso não é caro ? Empresa não tem recursos ….
- 27. Projeto Security Onion Snort / Suricata OSSEC Sguil Squert Snorby ELSA Xplico PRADS Outros
- 28. Snorby
- 29. Squert
- 30. Sguil ( Real Time )
- 31. O que realmente “gasta” é com Storage ... Média utlização em Mbps x 1byte / 8bits x 60 seconds/minutes x 60 minutes / hours x 24 hours / day Em resumo: Rede Tráfego 100 Mbps aproximadamente 1.08 TB dia de log dia X quantidade de dias que deseja armazena