DETECTANDO INSIDERS MAL-INTENCIONADOS COM LOG & EVENT MANAGER

Temos percebido mais uma vez que dividir sua atenção com a segurança entre ameaças internas e externas (e infelizmente, a mistura de ambos) é um desafio constante. Se você verificar os nossos últimos 2 anos de pesquisas Federais de Segurança de TI, verá que o insider ainda é uma grande preocupação, que é muito mal compreendida e mais difícil de resolver (mais sobre isso – Internal Federal Cybersecurity Threats Nearly as Prevalent as External, SolarWinds Survey Reveals), espalhando-se desde treinamentos a os atuais controles técnicos para os desafios de monitoramento. Pensando em de dar-lhes um pouco de vantagem, aqui vão algumas dicas sobre algumas maneiras de poder monitorar insiders maliciosos com Log & Event Manager (LEM) .

Monitoramento de Endpoint com monitoramento de integridade de arquivos (FIM) e USB-DEFENDER

Out of the box, o LEM inclui templates prontos para monitoramento de integridade dos arquivos (FIM) – que pode auditar arquivos e registro de acesso/alterações – e USB-Defender – que monitora o acesso ao dispositivo USB. Em sistemas onde você pode ter uma potencial exposição – pense em sistemas com acesso a dados confidenciais, servidores e estações de trabalho compartilhadas – a implantação de FIM e USB-Defender lhe permite:

  • Monitorar cópias inesperadas de arquivos e dados para dispositivos USB que podem indicar os dados que estão sendo vazados.
  • Monitorar tentativas de contornar as políticas de instalação de aplicativos e acesso, executando aplicativos diretamente a partir de dispositivos USB que podem colocar os sistemas em risco.
  • Monitorar alterações nas configurações de sistema e arquivos que podem indicar possíveis modificações inesperadas, quer devido a malware, ignorando a política, ou de abuso intencional.

Out of the box, você vai querer olhar para o seguinte conteúdo do LEM:

  • Monitores padrão FIM – o modelo Windows Server também pode ser aplicado a estações de trabalho:

FIM Monitors.PNG

  • Filtros de interesse:
    • Monitoramento Endpoint > USB-Defender
    • Gestão de Mudança> Auditoria de Arquivo USB, toda a atividade de Auditoria de Arquivo

EndpointFilters.png

  • Regras de interesse podem ser encontradas nas categorias:
    • Tipos de Atividade> Monitoramento de dispositivos USB, auditoria de arquivo

EndpointRules.png

Sistema e monitoramento de Endpoint para autenticação e eventos de mudança

Além de rastreamento de arquivos e dispositivos USB, em servidores e estações de trabalho como autenticação e mudanças, podemos oferecer idéias inovadoras sobre o que está acontecendo na rede, e fornecer pistas importantes quando chegar a hora de investigar. O Windows não auditar o mecanismo de um usuário usado para fazer logon, ou alterações feitas em contas do sistema local, em um controlador de domínio, assim, sem uma visão sobre as estações de trabalho atuais e servidores você terá peças faltando no quebra-cabeças. Implantar agentes em todos os seus servidores críticos e no mesmo pool de estações de trabalho nos quais você precisa do insight e começar a rastrear os logs de eventos locais, vão lhe permitir ver:

  • Os usuários que fazem logon inesperadamente – contas não utilizadas que de repente são utilizadas, contas de serviço que são usadas para acessar os sistemas errados, contas de administrador que estão sendo usadas incorretamente.
  • Acesso remoto – uso de desktop remoto vs. logins interativos, acesso a partir de VPN contas/endereços, contatos autenticando em sistemas inesperados
  • Usuários adicionais e privilégios – os usuários adicionados a administradores locais ou de domínio, os usuários locais criados

Out of the box, você vai querer olhar para o seguinte conteúdo do LEM:

  • Filtros de interesse nessas categorias:
    • Gestão da mudança
    • Autenticação
    • Monitoramento Endpoint

AuthFilters.png

  • Regras de interesse nas seguintes categorias:
    • Gestão da mudança
    • Autenticação
    • Tipos de Atividade> Uso Impróprio

AuthRules.png

Monitoramento de tráfego de dispositivos

Se nos movermos para fora de nossos próprios sistemas, também devemos ser capazes de detectar padrões de comportamento que parecem anormais usando eventos de tráfego de rede. Às vezes, ter agentes em todas as estações de trabalho é inviável, para não mencionar dispositivos transitórios ou novos, além de BYOD que provavelmente deve aparecer nesta mistura também. Registrar a atividade de todos os dispositivos que podem monitorar padrões de tráfego e de conectividade – IDS/IPS, firewalls, wireless APs/WLAN, roteadores, switches, VPNs, etc. Com os dados de tráfego de rede, podemos observar:

  • Se você tem um proxy ou política semelhante no lugar, os usuários tentando ignorar as políticas de proxy com comunicação direta na porta 80 (ou seja, tráfego de rede que não está saíndo do seu servidor proxy).
  • O tráfego de rede de/para hosts ou portas inesperadas – seus servidores/estações de trabalho geralmente se comunicam com um subconjunto menor de máquinas conhecidas, tráfego fora deste padrão seria inesperado.
  • tráfego de rede excessivo – às vezes os padrões de tráfego podem tornar-se claros sem utilizar netflow ou inspeção profunda de pacotes com base no números absolutos de eventos, tipos ou padrões de comportamento por si só.

Out of the box, você vai querer olhar para o seguinte conteúdo do LEM:

  • Filtros de interesse:
    • Usar nossos templates prontos de filtros para operações de TI e segurança, para construir a partir deles outros filtros ,especialmente de tráfego.

NetworkFilters.png

  • Regras de interesse nas seguintes categorias:
    • Tipos de Atividade> Rede
    • Dispositivos> Firewalls

NetworkRules.png

 

Confira também no thwackCamp, sobre o uso de dados de log de firewall – thwackCamp 2015 – Digging for Gold Segurança: Usando logs de firewall para encontrar problemas de segurança .

Malware tradicional e detecção de eventos de segurança

Você definitivamente pode colocar seus investimentos em tecnologia para segurança, para trabalhar para você também. O nome do jogo é “defesa em profundidade”, e enquanto a detecção tradicional malware, IDS e IPS, e outras ferramentas podem não ser suficiente por si só, cada um deles pode desempenhar um papel importante em ajudar detectar possíveis abusos ou reunir impressões digitais durante uma investigação. Endpoints infectados são uma porta de entrada para o interior da rede e nem todos nós somos vítimas de zero-days, mas sim algum tipo de combinação de malware existente e outras técnicas que nos dá uma boa chance de detectá-lo em algum lugar ao longo do caminho. Com esses feeds, você verá coisas como:

  • Tecnologia de limpeza de Antivírus/anti-malware ou tendo problemas para limpar infecções potenciais
  • IDS e IPS sistemas de detecção de cargas ou sintomas de infecções ou até mesmo vazamento de dados potencialmente indesejados
  • Gatilhos a partir de quaisquer outros sistemas de segurança que você deseja colocar para trabalhar por você para gerarem fluxos de eventos – segurança sem fio, prevenção de vazamento de dados, etc
  • Erros de sistema e relatórios de falhas – potenciais vazamentos de malware afetando o sistema de formas inesperadas

Out of the box, você vai querer olhar para o seguinte conteúdo do LEM:

  • Filtros de interesse incluem:
    • Segurança> ataques de vírus, IDS
    • As operações de TI> Eventos de erro no Windows

MalwareFilters.png

  • Regras de interesse nas seguintes categorias:
    • Segurança> Malware
    • Dispositivos> IDS e IPS (e tipos de dispositivos relacionados para seus sistemas)

MalwareRules.png

Threat Intelligence e Dynamic Feeds Para detectar tráfego malicioso

Pensando à frente, se você já viu a nossa página do LEM, vai notar que estamos falando um pouco sobre Threat Intelligence Feeds. Com este recurso, adicionamos a capacidade do LEM transferir dinamicamente uma lista de Bad Actors conhecidos – Hosts potencialmente infectados, botnets, redes de comando e controle, spammers, e IPs gerais duvidosos – e automaticamente usamos isso para detectar comunicação sobre eles o sua rede. Esta é uma boa maneira de ver:

  • Quando alguém interno está se comunicando com um Host potencialmente malicioso, o que pode indicar que eles já foram infectadas
  • Quando você está sendo sondado, atacado, ou de outra forma comunicado externamente com um Host potencialmente malicioso, o que pode indicar uma tentativa de entrada
  • Comunicação para/de spam, negação de serviço, ou hospedeiros semelhantes que podem indicar tentativas de phishing, zumbis em sua rede, ou outros problemas de segurança

 

Manualmente, você pode criar e importar listas de IPs potencialmente indesejados e portas e comparar com o tráfego também. Se você tem uma lista de boas portas conhecidas que devem ser usadas ​​para se comunicar na rede (especialmente do interior > fora), ou aplicações conhecidas se você estiver usando firewalls de próxima geração, ou conhecidos endereços IP quando estamos falando de servidores e comunicação controlada, criar grupos definidos pelo usuário e regras/filtros que comparam eles.

O que fazem outros produtos da SolarWinds? Como eles podem ajudar também?

Certo! Aqui estão algumas idéias sobre como usar outros produtos para ajudar a detectar comportamentos maliciosos em potencial internamente:

  • Network Performance Monitor : Monitorar inesperados problemas de desempenho de rede/firewall, alta utilização de banda que pode indicar um surto ou um único host infectado.
  • Netflow Traffic Analyzer : Com base nos padrões de tráfego desconhecidos acima, procure possíveis Hosts, portas, ou padrões de comunicação inesperados que podem lhe dar uma ideia de que algo está errado.
  • User Device Tracker: Útil quando rastreando e detectando problemas potenciais nos terminais – o “quem” foi para “onde”.
  • Server & Application Monitor: Olhando para sistemas e aplicações executadas inesperadamente ou se tornando instáveis, estes também podem ser sintomas para as problemas de segurança.
  • Database Performance Analyzer: Com ele, olhar para as operações de grupo, consultas de longa duração, e problemas de desempenho repentinos, permite identificar suas fontes.
  • Network Configuration Manager: Como sempre, cobrir suas bases com a configuração primeiro!

Sinta-se livre para nos perguntar sobre quaisquer conteúdo que você esteja interessado em ver sobre detecção de insiders maliciosos, quaisquer ideias ou histórias de sucesso suas, ou quaisquer outras perguntas que podem nos ajudar com seus comentários!

2017-06-15T15:44:49+00:00