Document details

Tese de mestrado, Segurança Informática, Universidade de Lisboa, Faculdade de Ciências, 2017

Nos últimos anos, face ao aumento em quantidade e em complexidade de ataques informáticos contra diversas organizações, tem-se verificado um crescimento elevado no investimento em plataformas de segurança informática nas infra-estruturas das organizações. As equipas com a responsabilidade de garantir a cibersegurança necessitam de monitorizar um vasto número de dispositivos, utilizadores, aplicações e, consequentemente, eventos de cibersegurança relacionados com esses elementos. A plataforma mais utilizada para monitorizar os eventos de segurança informática é o sistema de Gestão e Correlação de Eventos de Segurança (SIEM, do inglês Security Information and Event Management). Este sistema agrega toda a informação de segurança proveniente de diversas fontes, normaliza-a, enriquece-a e envia-a para uma consola centralizada de gestão. A eficiência e a eficácia das equipas de resposta a incidentes de segurança dependem em grande medida da capacidade de o sistema produzir uma alarmística detalhada e contextualizada sobre possíveis ameaças. Para melhorar essa capacidade é necessário conjugar indicadores externos relevantes com a informação recolhida na infra-estrutura da organização. Threat Intelligence (TI) é o conhecimento adquirido da conjugação das técnicas de recolha de informação sobre ameaças externas à organização e das técnicas de recolha de informação sobre factores de segurança internos das organizações. É necessário estar atento às fontes públicas de informação de cibersegurança e avaliar a sua qualidade para obter indicadores fidedignos sobre actividades maliciosas. A organização necessita de avaliar o seu nível de cibersegurança para identificar as vulnerabilidades existentes, antes que estas possam ser exploradas por agentes mal intencionados. Somente com o recurso a fontes de informação, internas e externas, é possível ter uma abordagem TI abrangente e aplicar as medidas de cibersegurança adequadas para evitar os ciberataques aos quais a organização possa estar vulnerável. Para uma organização estabelecer correctamente o seu nível de cibersegurança, é necessário realizar uma gestão de risco adequada. A gestão de risco é caracterizada por três etapas, todas interligadas e contínuas: análise do risco, avaliação do risco e controlo do risco. No fim do processo, a organização terá um conhecimento credível sobre o seu risco informático, tendo um bom suporte para as tomadas de decisão no que respeita a reestruturações e investimentos em segurança informática. As métricas de segurança são a ferramenta mais indicada para o processo de gestão de risco. Estas ajudam a determinar o estado de cibersegurança no qual a organização se encontra, o desempenho da equipa do Centro de Operações de Segurança (SOC, do inglês Security Operation Center), e o nível de segurança das infra-estruturas da organização. As entidades governamentais e militares foram as primeiras a utilizar as métricas de segurança. No entanto, recentemente, investigadores de diversos tipos de organizações (públicas, privadas e público-privadas), têm investido recursos para melhorar e implementar estas métricas nas suas organizações. Toda esta atenção dada às métricas de segurança deve-se ao resultado evidente da sua implementação:é possível medir o risco, classificá-lo e, finalmente, tomar as contramedidas adequadas para reduzir o impacto de possíveis ciberataques, aumentando a cibersegurança na organização. Contudo é necessário estabelecer os objectivos e o propósito das métricas de segurança. Muitas equipas de cibersegurança cometem o erro de criar métricas que são complexas, fora do contexto, e expressam resultados com valores irrealistas. O resultado desta má gestão das métricas de segurança é oposto do pretendido, providenciando má informação e, consequentemente, diminuindo a cibersegurançaa de uma organização. A visualização dos resultados das métricas é o último passo da criação de métricas e tem como finalidade fornecer informação de uma forma ilustrativa, com recurso a formatos de fácil leitura e compreensão. As visualizações ajudam a equipa responsável pela cibersegurança de uma organização a visualizar de imediato informações relativas ao nível de cibersegurança dos sistemas e o risco de cada activo. As visualizações permitem à equipa avaliar e responder, de uma forma quantitativa e qualitativa, às perguntas colocadas pela direcção executiva, tais como: qual o nível de segurança, qual o valor de risco na organização, qual o retorno financeiro dos investimentos feitos para melhorar a segurança informática na organização ou mesmo para justificar a permanência, redução ou aumento de equipamentos e equipas de ciberseguranc¸a. Para além do mecanismo de descoberta de informação interna, o Open Source Intelligence (OSINT) é considerado o mecanismo para a captura de informação externa a partir de fontes online. Com um conjunto de técnicas é possível capturar a informação relevante para o conhecimento sobre ciberameaças. Existem comunidades de cibersegurança cujo objectivo é publicar listas com informações sobre novos ciberataques, que normalmente contêm informações sobre anfitriões suspeitos ou conteúdos maliciosos. Estas listas, as listas negras, podem ser públicas, quando qualquer pessoa pode aceder à sua informação, ou privadas, restringindo o uso das listas a um determinado grupo ou comunidade. Apesar de as listas oferecerem uma informação valiosa sobre ciberameaças actuais, estas sem qualquer tipo de pré-processamento, podem gerar um número significativo de falsos positivos, devido à ausência de contextualização e alinhamento com a realidade da organização. Este trabalho é dividido por dois tópicos: métricas de segurança e listas negras confiáveis. Para cada tópico são descritas soluções para melhorar o estado de segurança numa organização, ao integrar o processo TI em tempo-real no SIEM. Esta integração pode ser materializada na utilização de métricas de segurança para análise do estado de segurança na organização e fontes de segurança com informação sobre endereços IP suspeitos de actividades maliciosas com consideração das operações da equipa do SOC sobre incidentes de segurança, com o recurso a métricas. A utilização directa das listas negras, sem qualquer tipo de pré-processamento, resulta num elevado número de falsos positivos, pela ausência de contextualização e alinhamento com a realidade da organização. O trabalho está inserido no projecto DiSIEM e resulta da colaboraçãao de dois dos parceiros do projecto, Faculdade de Ciências da Universidade de Lisboa e EDP – Energias De Portugal, SA. Os objectivos alinham-se com as metas do projecto DISIEM: 1) fornecer informações OSINT para um sistema SIEM, melhorando a sua detecção e prevenção de novas ameac¸as; 2) identificar e desenvolver um conjunto de métricas dedicadas à equipa de cibersegurança para uma melhor gestão e monitorização dos eventos de segurança para aumentar o estado de segurança na organização, consequentemente, reduzindo o risco de actividades maliciosas na organização. A dissertação apresenta e discute um conjunto de métricas com uma estrutura bem definida para serem aplicadas no sistema SIEM. Estas métricas cobrem os sectores de gestão, processos e tecnologia, e estão apropriadas para a realidade da equipa de cibersegurança. É introduzido protótipos para visualização dos resultados das métricas, incluindo dados históricos, possibilitando assim uma avaliação comparativa de eficiência. O trabalho propõe uma solução OSINT para aperfeiçoar a alarmística do sistema SIEM, reduzindo a taxa de falsos positivos, com base na avaliação do nível de confiança em fontes de informação públicas, e dessa forma contribuir para a eficiência das equipas de cibersegurança nas organizações que usam o sistema SIEM. Esta solução usa listas negras que identificam endereços de Protocolo de Internet (IP do inglês Internet Protocol) suspeitos de actividade maliciosa. A informação pode ser sobre sua maliciosidade, o número de denúncias (efectuadas por comunidades ou outras listas negras), número de ataques aos quais o endereço IP esteve associado, a última vez que foi denunciado, entre outros. As listas negras são úteis para serem utilizadas no sistema SIEM, para a monitorização de comunicações entre a organização e um IP suspeito. Assim, quando houver um alarme de uma comunicação suspeita, a equipa do SOC pode actuar de forma imediata e analisar os eventos para identificar a máquina, pedir uma análise local e eliminar a ameaça, caso seja detectada. A solução recolhe informação sobre endereços IP de um conjunto de listas públicas. Os endereços IP e as listas são avaliadas quanto à sua veracidade, com base na correlação da informação recolhida a partir das listas e com base em métricas sobre o resultado dos incidentes associados a comunicações suspeitas entre a organização e endereços IP das listas. Esta avaliação é realizada de forma constante, sempre que exista uma alteração nas listas públicas ou nos incidentes, para que os seus valores sejam os mais actualizados e precisos. Foi desenvolvida uma aplicação para administrar as listas negras utilizadas, os endereços IP, os casos da organização e endereços públicos da organização. São apresentadas regras do SIEM que seleccionam os endereços IP recolhidos das listas negras com base na reputação dada pela avaliação da sua veracidade, para a monitorização de comunicações entre a organização e os endereços IP suspeitos. Os resultados mostram que há um aumento de detecção de casos positivos com a utilização da solução proposta. Este aumento deve-se ao uso de informação interna dos incidentes, tratados pela equipa do SOC, como parâmetros de avaliação da confiabilidade das listas negras e dos endereços IP. Dois componentes que se destacam como parâmetros de avaliação da confiabilidade é o componente da precisão e o componente da persistência. O componente da precisão tem em conta os resultados da organização e aumenta a confiabilidade de um endereço IP ou de uma lista caso o número de resultados positivos dos casos de incidentes relacionados com o IP seja superior ou número de resultados falsos positivos. A persistência tem em conta a precisão e a denúncia de um endereço IP por parte das listas, para o guardar na nossa lista durante três meses. A avaliação da lista negra e do seu conteúdo considerando o ambiente da organização é uma solução que não foi apresentada por nenhum outro trabalho, e o mais semelhante é o uso de métricas ou recolha de informação com o uso do conceito OSINT, sem avaliação do conteúdo com base na informação da organização. Sendo um trabalho inovador, este ainda se encontra na sua fase primordial. Os resultados do nosso estudo servirão como base para melhorias e comparação de resultados de estudos posteriores para melhoria na avaliação da confiabilidade das listas públicas e da maliciosidade do seu conteúdo.

Threat Intelligence (TI) is a cyber defence process that combines the use of internal and external information discovery mechanisms. The Security Information and Event Management (SIEM) system is the tool typically used to aggregate data from multiple sources, normalize, enrich and send it to a centralized management console, later used by the security operation team (SOC). However, it is necessary to use Security Metrics (SM) to summarize, calculate and provide valuable information to the SOC team from the large datasets collected in the SIEM. Although the SM provide valuable information, its erroneous creation or use could lead to the opposite goal and decreasing the security level, by generating false positives. Regarding the external information discovery, the information from blacklists is commonly used to monitor and/or to block external cyberthreats. The blacklists provide intelligence about suspicious Internet Protocol (IP) addresses, reported by communities and security organizations. Although the use of blacklists is commonly used to detect suspicious communications, it generates a high rate of false positives. We introduce a set of security metrics, well-structured and properly defined to be used with a SIEM system. We develop a solution with Open-Source Intelligence (OSINT) mechanism to discover and collect suspicious IP from public blacklists, a process to assess the reputation of the suspicious IP addresses and blacklists, considering the persistence of the IP and the organization’s incidents of communications with suspicious IP addresses. The IP are inserted in the SIEM with rules to monitor and aiming at reducing the number of false positives. The preliminary study in a real environment shows that the proposed solution improves the security effectiveness of the SIEM’s alerts due the innovations idea of assessing the IP and blacklists by using the persistence and precision components, and considering the organization’s incidents status.