Detalhes do Documento

Tese de mestrado, Segurança Informática, Universidade de Lisboa, Faculdade de Ciências, 2015

A segurança informática, que surge da necessidade de várias organizações em salvaguardar os seus ativos de forma segura, tem vindo a ser entendida nos últimos anos como sendo fulcral para a continuidade dos seus negócios. Esta consciência surge do facto de, com tendência crescente, os ativos dessas mesmas organizações se encontrarem no meio digital. Adicionalmente, os ataques informáticos (ações que se traduzem na tentativa de exploração de vulnerabilidades de sistemas, com fins maliciosos, para poder tirar partido dos mesmos) têm vindo a sofrer uma evolução ao longo do tempo tanto em número como em sofisticação. Perante estas duas situações (necessidade de segurança dos ativos das organizações e existência de ameaças à sua integridade e confidencialidade) existe a necessidade de se estudarem e desenvolverem ferramentas eficazes que permitam o controlo / monitorização destes ativos. Um desses exemplos é a tecnologia SIEM (Security Information and Event Management), que consiste numa ferramenta que permite a monitorização, gestão e armazenamento em tempo-real de eventos gerados dentro de uma determinada rede. As ciências forenses, por sua vez, como ciência interdisciplinar, recorrem à área do digital quando se pretende tirar partido de sistemas de informação, processamento e/ou comunicação para assegurar a idoneidade de um determinado processo, obtendo um ou mais vestígios que poderão constituir prova condenatória ou absolutória. Ao conjunto de procedimentos realizados sobre um determinado sistema com o objetivo de recolher, preservar e analisar a informação dá-se o nome de análise digital forense. Atualmente, existem algumas soluções que permitem a análise forense na tecnologia SIEM, contudo, por motivos de conformidade legal a mesma não pode ser usada como vestígio no meio jurídico, uma vez que não obedece aos requisitos estabelecidos para legislação em vigor e portanto, a sua utilidade pode ser colocada em causa. Os objetivos deste trabalho são: realizar o levantamento de requisitos legais e procedimentais que permitam o uso de um mecanismo de armazenamento de logs ou registos de forma segura e dotar o SIEM ArcSight de mecanismos que permitam o uso desses registos para fins forenses. Como estratégia de validação é realizada a prova de conceito da arquitetura apresentada neste trabalho, usando para tal componentes da tecnologia SIEM ArcSight e outras que se consideraram relevantes para o cumprimento do objetivo proposto.

Security Information, which arises from the necessity of several organizations protect their assets it has been understood, in the last years, as being crucial for the continuity of their businesses. This awareness arises from the fact that the assets of these organizations are more and more in the digital format. Cyber-attacks (attempts to exploit vulnerabilities of the systems, with malicious purpose, to take advantage of them) have undergone an evolution over time both in number and in sophistication. Given these two divergent situations (the organizations need for asset security and the existence of threats to its integrity and confidentiality), there is a clearly necessity in studying and developing effective tools to control / monitor these assets. One of these tools are SIEMs (System Information and Event Management), that are systems which allow the real-time motorization and management of all events that occur within a network. Forensic sciences, as an interdisciplinary science, turn to digital area when there are the necessity to take advantage of yours information, processing and / or communication systems to ensure the suitability of a particular process, obtaining one or more traces that may afford evidence conviction or acquittal. The set of procedures performed on a particular system in order to collect, preserve and analyze information have the name of digital forensic analysis. Currently, there are some solutions that enable forensic analysis in SIEM technology, however, for legal compliance reasons, it can’t be used as a trace in the legal environment because it does not meet the requirements for legislation and therefore its utility can be placed in question. The main objectives of this paper are: survey legal and procedural requirements that allow the use of a log storage or securely records mechanism and provide ArcSight SIEM with the mechanisms to use records for forensic purposes. As validation strategy, it was done the proof of concept of the presented methodology in this work, using some components of ArcSight SIEM technology and others that may be considered relevant for the fulfillment of the proposed objective.