Author(s):
Mendonça, Nuno Miguel Lobão
Date: 2015
Persistent ID: http://hdl.handle.net/10451/20559
Origin: Repositório da Universidade de Lisboa
Subject(s): SIEM; Security configuration auditing; Security attack event database; ArcSight; Computer security; Teses de mestrado - 2015; Departamento de Informática
Description
Tese de mestrado, Segurança Informática, Universidade de Lisboa, Faculdade de Ciências, 2015
Os ataques informáticos são uma ameaça emergente para empresas que trabalham com dados sensíveis. Neste contexto, as ferramentas SIEM (Security Information and Event Management) ajudam na monitorização e correlação de eventos com o objetivo de detetar ataques informáticos. A enorme quantidade de dados recolhidos pelos SIEMs dificulta o trabalho de configurar a deteção de ataques na prática. Os SIEMs trazem configurações de segurança instaladas de raiz, contudo estas configurações provam-se muitas vezes insuficientes, pois as infraestruturas variam muito de acordo com as empresas e por esse motivo é frequente existirem “buracos” nas configurações de segurança que devem ser tratados pelas equipas de segurança responsáveis para tornar os seus SIEMs eficazes. Propomos neste documento uma solução para ajudar as equipas de segurança a identificarem os “buracos” nos seus SIEMs. Apesar de existirem ferramentas que possibilitam a injeção de eventos num SIEM para testes, a nossa difere dessas na medida em que conta com uma base de dados de eventos representativos de ataques reais, dessa forma aliviando as equipas da tarefa de identificação de eventos apropriados para testar os seus SIEMs eficazmente. A nossa ferramenta foi bem-sucedida na identificação de “buracos” em configurações de SIEMs supostamente robustas, dessa forma provando a sua utilidade prática.
Cyber-attacks are an increasing threat to organizations working with sensitive data. In this context, SIEMs (Security Information and Event Management tools) help in monitoring and correlating network events with the goal of detecting cyber-attacks. The enormous amount of data collected by SIEMs makes the job of configuring attack detectors very hard in practice. SIEMs already come with pre-installed security configurations, however these are often insufficient because network environments vary widely across organizations, hence there are often configuration "holes" that security teams must address to make their SIEMs effective. We propose a novel solution to help security teams in identifying configuration "holes" in their SIEMs. Like existing solutions ours can be used to inject network events to test the effectiveness of SIEMs, however it differs from these solutions in that it leverages a database of high-quality events representative of complex real-life attacks, thus alleviating security teams from the non-trivial task of identifying events to test their SIEMs effectively. Our solution was successful in identifying "holes" in a supposedly robust SIEM configuration created by a qualified security team, thus proving its practical usefulness.