Document details

Tese de mestrado, Segurança Informática, Universidade de Lisboa, Faculdade de Ciências, 2017

Os sistemas informáticos têm evoluído de forma tão exponencial que, hoje em dia, são considerados imprescindíveis para qualquer organização, pois são necessários para qualquer tipo de atividade dentro da mesma. Uma vez que os sistemas informáticos estão longe de ser perfeitos, a nível de eficiência, eficácia e de segurança, a incorreção ou falha no seu funcionamento poderá provocar um impacto negativo nos negócios da organização. Para auxiliar na detecção de problemas de segurança nos sistemas informáticos, existe uma tecnologia, designada de Security Information and Event Management (SIEM), que permite fazer uma monitorização e gestão dos eventos e utilizar essa informação com o intuito de identificar anomalias nos próprios sistemas. Normalmente, estas anomalias são de segurança, desde ataques realizados à organização com intenções maliciosas, até problemas de configurações que poderão potenciar problemas severos de segurança. Para tais anomalias serem detetadas, os SIEMs utilizam filtros e regras para detecção de padrões de comportamento que a organização considera como um padrão malicioso ou um padrão fora do comportamento normal. Embora os SIEMs já consigam detetar padrões complexos de forma eficaz, esta tecnologia tem ainda lacunas em certos aspectos, nomeadamente na apreciação do risco nos ativos da organização. Atualmente, os SIEMs apresentam processos de apreciação de risco muito elementares, dando apenas uma perspetiva ao nível dos ativos onde ocorrem os eventos e os incidentes. Geralmente, estes ativos são as máquinas e servidores físicos, o que implica que a visão do impacto dos eventos e incidentes na organização seja mais complicada de conceptualizar, principalmente a níveis mais abstratos, como por exemplo, qual o impacto sofrido pelas aplicações que essas máquinas ou servidores físicos suportam, e o consequente impacto no negócio. O projeto europeu DiSIEM, Diversity in Security Information and Event Management, tem como objetivo desenvolver soluções que sejam adaptáveis a vários tipos de SIEM que existem no mercado, sem existir a necessidade de alterar esses SIEMs. Com este tipo de abordagem, é-nos permitido evoluir os SIEMs existentes em vez de os substituir ou alterar, reformulando toda a estrutura e mecanismos, e evitando novos ciclos repetitivos de desenvolvimento. A tecnologia desenvolvida neste projeto será adaptável a vários SIEMs e de forma mais acessível, pois uma vez que as soluções SIEM são maioritariamente comercializadas. Esta dissertação apresenta uma proposta de um modelo multi-nível para apreciação de risco em SIEMs. Para aplicação e validação do modelo em ambiente industrial, estabeleceu-se uma colaboração com a Energias De Portugal (EDP), que é um dos parceiros industriais no projeto DiSIEM. Este modelo traz uma inovação ao nível da importância que os SIEMs poderão ter numa organização, através da análise dos incidentes que os SIEMs captam, das vulnerabilidades que os sistemas informáticos podem possuir, e das relações que existem entre os ativos dos sistemas informáticos. A inovação deve-se ao facto de o modelo ser multi-nível, considerando uma divisão hierárquica entre máquinas, aplicações, e serviços, de forma a ser possível obter diferentes visões do estado de risco atual de um sistema. Ao nível das máquinas, todos os ativos que sejam considerados como computadores pessoais, servidores físicos, routers, firewalls, entre outros, e que tenham uma presença física, são colocados neste nível. Já ao nível das aplicações, representam-se os ativos aplicacionais que sustentam o negócio da organização, mesmo não estando estes diretamente acessíveis por clientes. Por fim, o nível dos serviços tem como objetivo representar ativos abstratos que caracterizam ações e funções de determinados conjuntos de aplicações, produzindo assim, uma visão holística do estado e do comportamento dos conjuntos de aplicações. Com esta visão holística do estado dos sistemas informáticos e serviços, é permitida uma melhor compreensão da parte de gestores de topo relacionados com o negócio da organização. Os diferentes níveis são intrinsecamente ligados, onde o nível dos serviços é dependente do nível das aplicações, e consequentemente, as aplicações são dependentes do nível das máquinas, uma vez que estas suportam o funcionamento das aplicações. Podem ainda existir dependências dentro do mesmo nível, isto é, uma aplicação poderá depender de outra, tal como no nível das máquinas pois há máquinas que suportam outras. Contudo, no nível dos Serviços não se encontra este tipo de dependência, pois cada serviço tem um âmbito bem definido e independente. A própria apreciação do risco é realizada por ativo com base num modelo comum e generalista a todos os tipos de ativos. O modelo considera três componentes: Vulnerabilidades, Dependências, e Incidentes. A variável das Vulnerabilidades representa o impacto potencial dos problemas de segurança que um ativo pode ter no sistema em termos das vulnerabilidades conhecidas e as respectivas classificações de severidade. Já a variável das dependências permite integrar o impacto dos problemas de segurança que outros ativos relacionados com o ativo a ser avaliado, poderão provocar. Por fim, a variável dos Incidentes é a variável que quantifica o impacto de incidentes detetados a partir de eventos do SIEM. Como cada variável pode ter um mecanismo de avaliação diferente, pois não existe uma forma pré-estabelecida de o fazer, criámos três processos distintos de apreciação de risco com base no modelo generalizado e comparámos os seus resultados. A ferramenta que implementa o modelo é constituída por três elementos: Base de Dados, Aplicação, e Dashboard. A Base de Dados é o elemento onde é guardada toda a informação necessária para fazer a apreciação do risco, desde dos dados dos ativos e as suas características, detalhes das vulnerabilidades e incidentes, dependências entre ativos, atá às configurações dos parâmetros para as várias versões do modelo. Já sobre a aplicação, esta irá proceder à apreciação do risco através da informação extraída da base de dados. Na aplicação, são calculadas as fórmulas com informação recolhida da base de dados própria para o modelo. Toda a informação obtida para o preenchimento da base de dados foi assente em listas de ativos e vulnerabilidades, e análises detalhadas dos incidentes criados pelo SIEM que a EDP possui. Por fim, o Dashboard é o elemento que permite visualizar a informação sobre o risco de todos os ativos, divididos consoante os seus níveis, e as respetivas dependências. Com esta nova abordagem de disponibilizar a informação, o especialista de segurança tem o seu trabalho facilitado ao analisar os resultados, o que até agora não era possível. Muitos gestores de topo não têm conhecimentos técnicos sobre sistemas informáticos, não entendem o que realmente uma vulnerabilidade é, ou qual o custo para a organização de uma aplicação crítica não estar a funcionar, e, muito provavelmente, esses mesmos gestores não terão tempo para aprender. A disponibilização deste modelo permite aos diferentes níveis de gestão, operational e de negócio, avaliar o risco em várias camadas para os respectivos gestores das mesmas conseguirem ter uma percepção dos risco dos ativos que são responsáveis. O modelo permite ainda facilitar a comunicação entre os diferentes gestores e a comunicação entre as equipas do centro de operações de segurança (SOC) e os donos dos ativos. Ao apreciar o risco ao nível dos serviços, é estabelecido um common ground com os gestores de topo, visto que o seu foco são os serviços e que os mesmos têm uma importância na estratégia para o negócio da organização. A aplicação permite identificar as máquinas, aplicações e serviços com um risco mais elevado, e desta forma, reportar os resultados já avaliados para uma tomada de decisão informada. Assim, é possível prioritizar os ativos que necessitem de uma correção mais urgente. Também neste trabalho foram analisados, e comparados entre si, os resultados das várias versões do modelo, de modo a perceber quais as vantagens e desvantagens que cada uma tem.

Security Information and Event Management (SIEM) is a system to monitor IT elements of an organization and to detect security anomalies based on events produced by the same elements. This type of system has grown exponentially throughout the years and currently, they can detect complex patterns of behaviors and assess the impact of the anomalies detected. Nonetheless, this type of system is far from being perfect presenting a considerable number of flaws being one of them, the risk evaluation process. Currently, risk evaluation in SIEMs has a perspective too operational and low-level, meaning that the evaluation is made for each event in assets such as physical servers. At this level, only the security operation centers can understand the possible consequences of the anomalies to the organization. Consequently, at a strategic and business levels of the organization, it becomes difficult to the C-level managers to realize the current state of the system, especially because they are focused on the business perspective. Nowadays the business of an organization is too dependent on IT systems, which leads to the necessity to assess the risk that these systems have. However, this assessment needs to be done at a higher level of abstraction from the operational details to be understandable for the managers at different levels. In order to establish a better communication between IT managers and C-Level managers, and to obtain a high-level assessment of the IT systems security status, we propose a multi-level model for risk assessment in SIEM. The model is divided into three layers: hosts, applications, and services. Each of these layers has a different perspective, being an operational perspective the hosts’ layer and a business perspective the services’ layer. The model also provides three versions to assess the risk which are analyzed and compared between each other. The risk assessment is done based on the assessment of vulnerabilities severity, the risk of dependencies, and incidents severity that each asset has.