Publicação
Arquitetura de um SIEM tolerante a falhas para análise forense
| Resumo: | A segurança informática, que surge da necessidade de várias organizações em salvaguardar os seus ativos de forma segura, tem vindo a ser entendida nos últimos anos como sendo fulcral para a continuidade dos seus negócios. Esta consciência surge do facto de, com tendência crescente, os ativos dessas mesmas organizações se encontrarem no meio digital. Adicionalmente, os ataques informáticos (ações que se traduzem na tentativa de exploração de vulnerabilidades de sistemas, com fins maliciosos, para poder tirar partido dos mesmos) têm vindo a sofrer uma evolução ao longo do tempo tanto em número como em sofisticação. Perante estas duas situações (necessidade de segurança dos ativos das organizações e existência de ameaças à sua integridade e confidencialidade) existe a necessidade de se estudarem e desenvolverem ferramentas eficazes que permitam o controlo / monitorização destes ativos. Um desses exemplos é a tecnologia SIEM (Security Information and Event Management), que consiste numa ferramenta que permite a monitorização, gestão e armazenamento em tempo-real de eventos gerados dentro de uma determinada rede. As ciências forenses, por sua vez, como ciência interdisciplinar, recorrem à área do digital quando se pretende tirar partido de sistemas de informação, processamento e/ou comunicação para assegurar a idoneidade de um determinado processo, obtendo um ou mais vestígios que poderão constituir prova condenatória ou absolutória. Ao conjunto de procedimentos realizados sobre um determinado sistema com o objetivo de recolher, preservar e analisar a informação dá-se o nome de análise digital forense. Atualmente, existem algumas soluções que permitem a análise forense na tecnologia SIEM, contudo, por motivos de conformidade legal a mesma não pode ser usada como vestígio no meio jurídico, uma vez que não obedece aos requisitos estabelecidos para legislação em vigor e portanto, a sua utilidade pode ser colocada em causa. Os objetivos deste trabalho são: realizar o levantamento de requisitos legais e procedimentais que permitam o uso de um mecanismo de armazenamento de logs ou registos de forma segura e dotar o SIEM ArcSight de mecanismos que permitam o uso desses registos para fins forenses. Como estratégia de validação é realizada a prova de conceito da arquitetura apresentada neste trabalho, usando para tal componentes da tecnologia SIEM ArcSight e outras que se consideraram relevantes para o cumprimento do objetivo proposto. |
|---|---|
| Autores principais: | Fernandes, Pedro Dinis Reis |
| Assunto: | Segurança Forense SIEM Conformidade Tolerância Faltas Teses de mestrado - 2015 |
| Ano: | 2015 |
| País: | Portugal |
| Tipo de documento: | dissertação de mestrado |
| Tipo de acesso: | acesso aberto |
| Instituição associada: | Universidade de Lisboa |
| Idioma: | português |
| Origem: | Repositório da Universidade de Lisboa |
| Resumo: | A segurança informática, que surge da necessidade de várias organizações em salvaguardar os seus ativos de forma segura, tem vindo a ser entendida nos últimos anos como sendo fulcral para a continuidade dos seus negócios. Esta consciência surge do facto de, com tendência crescente, os ativos dessas mesmas organizações se encontrarem no meio digital. Adicionalmente, os ataques informáticos (ações que se traduzem na tentativa de exploração de vulnerabilidades de sistemas, com fins maliciosos, para poder tirar partido dos mesmos) têm vindo a sofrer uma evolução ao longo do tempo tanto em número como em sofisticação. Perante estas duas situações (necessidade de segurança dos ativos das organizações e existência de ameaças à sua integridade e confidencialidade) existe a necessidade de se estudarem e desenvolverem ferramentas eficazes que permitam o controlo / monitorização destes ativos. Um desses exemplos é a tecnologia SIEM (Security Information and Event Management), que consiste numa ferramenta que permite a monitorização, gestão e armazenamento em tempo-real de eventos gerados dentro de uma determinada rede. As ciências forenses, por sua vez, como ciência interdisciplinar, recorrem à área do digital quando se pretende tirar partido de sistemas de informação, processamento e/ou comunicação para assegurar a idoneidade de um determinado processo, obtendo um ou mais vestígios que poderão constituir prova condenatória ou absolutória. Ao conjunto de procedimentos realizados sobre um determinado sistema com o objetivo de recolher, preservar e analisar a informação dá-se o nome de análise digital forense. Atualmente, existem algumas soluções que permitem a análise forense na tecnologia SIEM, contudo, por motivos de conformidade legal a mesma não pode ser usada como vestígio no meio jurídico, uma vez que não obedece aos requisitos estabelecidos para legislação em vigor e portanto, a sua utilidade pode ser colocada em causa. Os objetivos deste trabalho são: realizar o levantamento de requisitos legais e procedimentais que permitam o uso de um mecanismo de armazenamento de logs ou registos de forma segura e dotar o SIEM ArcSight de mecanismos que permitam o uso desses registos para fins forenses. Como estratégia de validação é realizada a prova de conceito da arquitetura apresentada neste trabalho, usando para tal componentes da tecnologia SIEM ArcSight e outras que se consideraram relevantes para o cumprimento do objetivo proposto. |
|---|