SlideShare uma empresa Scribd logo

NSM (Network Security Monitoring) - Tecland Chapeco

Transferir como PPTX, PDF
Rodrigo Montoro, profile picture
Rodrigo Montoro

1) O documento discute a abordagem de Network Security Monitoring (NSM) para detecção de intrusões, argumentando que os alertas de detecção de intrusão não são suficientes devido ao tempo entre a invasão e a detecção. 2) Apresenta o conceito de NSM, que envolve a coleta abrangente de dados de rede, detecção baseada em indicadores de comprometimento e anomalias, e análise para identificar ameaças e quantificar riscos. 3) Discutem como implementar um sistema NSM usando ferra

Tecnologia
1 de 42
Baixar para ler offline
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
NSM (Network Security Monitoring) - Porque a invasão é “inevitável" e alertas somente não suficiente ! Rodrigo “Sp0oKeR” Montoro @spookerlabs
$ whois Rodrigo “Sp0oKeR” Montoro ● Security System Administrator @ Sucuri – Centenas de Web Application Firewall – Milhões alertas mês (Disneyland =) ) ● Autor de 2 patentes pendentes – Detecção Documentos maliciosos – Análise Cabeçalhos HTTP ● Palestrante em diversos eventos – FISL, Latinoware, CNASI, SecTor (Canada), H2HC, Bsides (São Paulo e Las Vegas), Source Seattle e Boston (EUA), Toorcon (EUA), Zoncon (EUA). ● Triatleta / Corredor de Trilhas
MOTIVAÇÃO
AGENDA ● Atual problema na detecção de um intrusão ● O conceito de NSM ● Como colocar isso em prática ? ● Perguntas
Atual problema na detecção ...
Como funciona um invasão ● Antes ● Durante ● Depois
Conceito de Detecção / Prevenção Intrusão Atacantes eventualmente terão sucesso.
Tempo é o fator chave ...
Sistemas de proteção genérico
Exemplo simples de genérico, “mundo fragmentação” ... Sistemas operacionais diferentes, necessitam configurações de proteção diferente
Timeout fragmentação da proteção < dispositivo
Timeout fragmentação da proteção > dispositivo
De brinde tem o overlaping ...
E o grande “problema” da maioria das proteções …
Alerta é apenas uma foto do momento ….
Conceito de Network Security Monitoring (NSM)
Porque apenas o alerta não é suficiente ….
Vulnerability Centric versus Threat Centric
Identificar ameaças
Quantificar risco Probabilidade x Impacto = Risco
Identificar as fonte de informações ● Full Packet Capture ● Logs ● Session Data ● Signature Based Alerts ● Anomaly Based Alerts
Ciclo do NSM Coleta DetecçãoAnálise
Coleta
Os componentes da coleta ● Full content ● Extracted content ● Session data ● Statical data ● Metadata ● Alert data
Full Content
Extracted Data
Session Data
Statical Data
Metadata
Alert Data
Detecção
Detecção ● IoC ( Indicators of Compromise ) ● Reputation ● Signatures ● Anomalias com dados estatísticos ● Honeypots
Análise
E como coloco isso em prática ?
Projeto Security Onion (Opensource) ● Snort / Suricata ● OSSEC ● Sguil ● Squert ● Snorby ● ELSA ● Xplico ● PRADS ● Outros
Snorby
Squert
Sguil ( Real Time )
O que realmente se “gasta” é com armazenamento Média utlização em Mbps x 1byte / 8bits x 60 seconds/minutes x 60 minutes / hours x 24 hours / day Em resumo: Rede Tráfego 100 Mbps aproximadamente 1.08 TB dia de log dia X quantidade de dias que deseja armazena
Referências
Referências 41 http://etplc.org/ http://blog.securityonion.net/ http://www.appliednsm.com/
Perguntas & Contatos Pessoal spooker@gmail.com @spookerlabs http://spookerlabs.blogspot.com Profissional rodrigo.montoro@sucuri.net @sucuri_security http://sucuri.net

Mais conteúdo relacionado

PPT
Analisando pacotes for fun and packet - Conceito de Network Security Monitori...
Rodrigo Montoro
 
PPTX
Amiguinhos virtuais ameaças reais
Renato Basante Borbolla
 
PPT
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
SegInfo
 
PDF
Aula import seg
JorgewfAlves
 
PPTX
Análise de Malware
Renato Basante Borbolla
 
PDF
Palestra: Pentest - Intrusão de Redes
Bruno Alexandre
 
PPTX
Csirt
Renato Basante Borbolla
 
PDF
Ferramentas de Segurança
Alefe Variani
 
Analisando pacotes for fun and packet - Conceito de Network Security Monitori...
Rodrigo Montoro
 
Amiguinhos virtuais ameaças reais
Renato Basante Borbolla
 
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
SegInfo
 
Aula import seg
JorgewfAlves
 
Análise de Malware
Renato Basante Borbolla
 
Palestra: Pentest - Intrusão de Redes
Bruno Alexandre
 
Csirt
Renato Basante Borbolla
 
Ferramentas de Segurança
Alefe Variani
 

Mais procurados (20)

PPTX
Bsides threat hunting
Rodrigo Montoro
 
PPT
Pentest
Rodrigo Piovesana
 
PDF
Minicurso – Forense computacional “Análise de redes”
Jefferson Costa
 
PDF
Segurança da informação - Forense Computacional
Jefferson Costa
 
PDF
Pentest Auto-Ensinado
Leandro Magnabosco
 
PPTX
Pentest Invasão e Defesa - AnonFeh
Phillipe Martins
 
PDF
Offensive security, o que é isso?
Paulo Renato Lopes Seixas
 
PDF
Geraldo Bravo - Pós APT / Segurança da tática à prática - Mind The Sec (2015)
Geraldo Bravo
 
PPT
TRABALHO IDS
Tiago Castro
 
PDF
Infosec e pentesting - Escolha o seu lado!
Leandro Magnabosco
 
PPTX
Apresentação Workshop - Análise de Vulnerabilidades
Petter Lopes
 
PDF
Intrusos e Honeypots
Thaís Favore
 
PPS
Flisol 2016
Jasiel Serra
 
PDF
Pentest cool
Adilson Da Rocha
 
PDF
Manobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Clavis Segurança da Informação
 
PDF
CHEFE, O PENTEST FINALIZOU! … E AGORA?
iBLISS Segurança & Inteligência
 
PDF
Invasão e Segurança
Carlos Henrique Martins da Silva
 
PPTX
Ransomware - Conceitos e Prevenção
Maurício Harley
 
PDF
Panorama de Segurança na Internet das Coisas
Spark Security
 
PDF
Palestra Clavis - Octopus
Clavis Segurança da Informação
 
Bsides threat hunting
Rodrigo Montoro
 
Pentest
Rodrigo Piovesana
 
Minicurso – Forense computacional “Análise de redes”
Jefferson Costa
 
Segurança da informação - Forense Computacional
Jefferson Costa
 
Pentest Auto-Ensinado
Leandro Magnabosco
 
Pentest Invasão e Defesa - AnonFeh
Phillipe Martins
 
Offensive security, o que é isso?
Paulo Renato Lopes Seixas
 
Geraldo Bravo - Pós APT / Segurança da tática à prática - Mind The Sec (2015)
Geraldo Bravo
 
TRABALHO IDS
Tiago Castro
 
Infosec e pentesting - Escolha o seu lado!
Leandro Magnabosco
 
Apresentação Workshop - Análise de Vulnerabilidades
Petter Lopes
 
Intrusos e Honeypots
Thaís Favore
 
Flisol 2016
Jasiel Serra
 
Pentest cool
Adilson Da Rocha
 
Manobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Clavis Segurança da Informação
 
CHEFE, O PENTEST FINALIZOU! … E AGORA?
iBLISS Segurança & Inteligência
 
Invasão e Segurança
Carlos Henrique Martins da Silva
 
Ransomware - Conceitos e Prevenção
Maurício Harley
 
Panorama de Segurança na Internet das Coisas
Spark Security
 
Palestra Clavis - Octopus
Clavis Segurança da Informação
 
Anúncio

Destaque (20)

PDF
Automating interactions with Zabbix (Raymond Kuiper / 12-02-2015)
Nederlandstalige Zabbix Gebruikersgroep
 
PPTX
Hangul
stepupias
 
PPTX
Serverless Logging with AWS Lambda and the Elastic Stack
Edoardo Paolo Scalafiotti
 
PDF
AWS re:Invent 2014 | (ARC202) Real-World Real-Time Analytics
Socialmetrix
 
PDF
Distributed cat herding
Jilles van Gurp
 
DOCX
Resume -Resume -continous monitoring
Tony Kenny
 
PDF
Urban legends - PJ Hagerty - Codemotion Amsterdam 2017
Codemotion
 
PDF
Docker Swarm: Docker Native Clustering
Docker, Inc.
 
PDF
Demystifying Security Analytics: Data, Methods, Use Cases
Priyanka Aash
 
PPTX
Open Secrets of the Defense Industry: Building Your Own Intelligence Program ...
Sean Whalen
 
PDF
Unit I.fundamental of Programmable DSP
Principal,Guru Nanak Institute of Technology, Nagpur
 
PDF
Data Visualization on the Tech Side
Mathieu Elie
 
DOCX
Resume
Bailey Gaston
 
PDF
Micro Services - Small is Beautiful
Eberhard Wolff
 
PDF
Bsides Delhi Security Automation for Red and Blue Teams
Suraj Pratap
 
PDF
Heterogenous Persistence
Jervin Real
 
PPT
Combining sentences with the words although and despite
Emily Kissner
 
PDF
Docker experience @inbotapp
Jilles van Gurp
 
PDF
SocCnx11 - All you need to know about orient me
panagenda
 
PDF
USGS Report on the Impact of Marcellus Shale Drilling on Forest Animal Habitats
Marcellus Drilling News
 
Automating interactions with Zabbix (Raymond Kuiper / 12-02-2015)
Nederlandstalige Zabbix Gebruikersgroep
 
Hangul
stepupias
 
Serverless Logging with AWS Lambda and the Elastic Stack
Edoardo Paolo Scalafiotti
 
AWS re:Invent 2014 | (ARC202) Real-World Real-Time Analytics
Socialmetrix
 
Distributed cat herding
Jilles van Gurp
 
Resume -Resume -continous monitoring
Tony Kenny
 
Urban legends - PJ Hagerty - Codemotion Amsterdam 2017
Codemotion
 
Docker Swarm: Docker Native Clustering
Docker, Inc.
 
Demystifying Security Analytics: Data, Methods, Use Cases
Priyanka Aash
 
Open Secrets of the Defense Industry: Building Your Own Intelligence Program ...
Sean Whalen
 
Unit I.fundamental of Programmable DSP
Principal,Guru Nanak Institute of Technology, Nagpur
 
Data Visualization on the Tech Side
Mathieu Elie
 
Resume
Bailey Gaston
 
Micro Services - Small is Beautiful
Eberhard Wolff
 
Bsides Delhi Security Automation for Red and Blue Teams
Suraj Pratap
 
Heterogenous Persistence
Jervin Real
 
Combining sentences with the words although and despite
Emily Kissner
 
Docker experience @inbotapp
Jilles van Gurp
 
SocCnx11 - All you need to know about orient me
panagenda
 
USGS Report on the Impact of Marcellus Shale Drilling on Forest Animal Habitats
Marcellus Drilling News
 
Anúncio

Último (16)

PDF
Fullfilment AI - Forum ecommerce 2025 // Distrito e Total Express
Rogério Nogueira (RogNog)
 
PDF
Fundamentos de gerenciamento de ordens e planejamento no SAP TransportationMa...
Libreria ERP
 
PDF
Processos na gestão de transportes, TM100 Col18
Libreria ERP
 
PDF
COBITxITIL-Entenda as diferença em uso governança TI
MichelleBis1
 
PPTX
Informática Aplicada Informática Aplicada Plano de Ensino - estudo de caso NR...
amylene1
 
PDF
Otimizador de planejamento e execução no SAP Transportation Management, TM120...
Libreria ERP
 
PPTX
Arquitetura de computadores - Memórias Secundárias
ErlnioFreire1
 
PDF
Gestão de transportes básica no SAP S/4HANA, S4611 Col20
Libreria ERP
 
PDF
Mergulho profundo técnico para gestão de transportes no SAP S/4HANA, S4TM6 Col14
Libreria ERP
 
PPTX
Programação - Linguagem C - Variáveis, Palavras Reservadas, tipos de dados, c...
verdepiedade
 
PDF
Custos e liquidação no SAP Transportation Management, TM130 Col18
Libreria ERP
 
PPTX
Gestao-de-Bugs-em-Software-Introducao.pptxxxxxxxx
srvfrf
 
PPTX
Como-se-implementa-um-softwareeeeeeeeeeeeeeeeeeeeeeeee.pptx
srvfrf
 
PDF
Custos e faturamento no SAP S/4HANA Transportation Management, S4TM3 Col26
Libreria ERP
 
PDF
Termos utilizados na designação de relação entre pessoa e uma obra.pdf
FlaviaMonte3
 
PDF
20250805_ServiceNow e a Arquitetura Orientada a Serviços (SOA) A Base para Ap...
Tiago Macul
 
Fullfilment AI - Forum ecommerce 2025 // Distrito e Total Express
Rogério Nogueira (RogNog)
 
Fundamentos de gerenciamento de ordens e planejamento no SAP TransportationMa...
Libreria ERP
 
Processos na gestão de transportes, TM100 Col18
Libreria ERP
 
COBITxITIL-Entenda as diferença em uso governança TI
MichelleBis1
 
Informática Aplicada Informática Aplicada Plano de Ensino - estudo de caso NR...
amylene1
 
Otimizador de planejamento e execução no SAP Transportation Management, TM120...
Libreria ERP
 
Arquitetura de computadores - Memórias Secundárias
ErlnioFreire1
 
Gestão de transportes básica no SAP S/4HANA, S4611 Col20
Libreria ERP
 
Mergulho profundo técnico para gestão de transportes no SAP S/4HANA, S4TM6 Col14
Libreria ERP
 
Programação - Linguagem C - Variáveis, Palavras Reservadas, tipos de dados, c...
verdepiedade
 
Custos e liquidação no SAP Transportation Management, TM130 Col18
Libreria ERP
 
Gestao-de-Bugs-em-Software-Introducao.pptxxxxxxxx
srvfrf
 
Como-se-implementa-um-softwareeeeeeeeeeeeeeeeeeeeeeeee.pptx
srvfrf
 
Custos e faturamento no SAP S/4HANA Transportation Management, S4TM3 Col26
Libreria ERP
 
Termos utilizados na designação de relação entre pessoa e uma obra.pdf
FlaviaMonte3
 
20250805_ServiceNow e a Arquitetura Orientada a Serviços (SOA) A Base para Ap...
Tiago Macul
 

NSM (Network Security Monitoring) - Tecland Chapeco

Notas do Editor

  • #5: Explicar a divisão da talk Problema atual que encontramos
  • #7: Salientar porque essas passos são importantes e não usamos
  • #9: Quanto tempo voce detectaria um invasor ? Resposta ativa (citar exemplo OSSEC) - IP Source / Usuário
  • #16: O que aconteceu antes , foi pênalti ? Foi Gol ? Não tem replay (comentar NFL Challenge)
  • #20: Depende contexto O que é uma ameaça para seu negocio ? Revolver
  • #21: Probabilidade Chances de error, quao exposto esta, comentar CVSS Impacto - Prejuizos financeiros, imagem da empresa, fora do ar
  • #22: Comentar lixo info Trafego cifrado x full capture Entender os pacotes e o trafego que suas aplicações geram
  • #28: Profiling
  • #29: Comentar tráfego packets per second
  • #30: - Data criação
  • #33: Mudança registro / conexão com pais suspeito / conta usuario modificaçao de integridade (FIM) Tor exit nodes / abuse.ch Listas IP publicas Top talkers / Servicos / banda
  • #34: Onde o cerebro entra em ação, pegando info coletadas, alertas gerados, ameacas setadas. Analise aprofundada de tudo