1 FACTOIDS Carlos M. Martinez CIBSI 2009 Montevideo, Uruguay

2 Acerca de mí... ● Docencia ● Universidad de la República ● Universidad de Montevideo ● Profesional ● CSIRT – ANTEL – Primer grupo de respuesta a incidentes de seguridad informática de Uruguay, miembros FIRST desde 2006 ● CERT.uy – Grupo R.I. De seguridad del estado uruguayo

3 FACTOIDS – ¿Por qué? ● FACTOIDS: "Modelos y Herramientas para el Analisis e Intercambio Seguro de Datos Colectados por Sensores" ● Visión: ● Eficiente creación y gestión de relaciones de confianza entre grupos que necesitan intercambiar información de eventos de seguridad – Control de que datos se comparten con quién ● Mejorar la eficiencia del transporte de conjuntos de datos relacionados ( datasets) con eventos de seguridad – Mover solamente los datos que son útiles

4 FACTOIDS - ¿Por qué? ● Objetivos secundarios: ● Identificar las técnicas mas eficientes y escalables para almacenar datasets de eventos ● Dar un primer paso en estandarizar las interfaces que utilizamos para comunicarnos con nuestros sensores ● Generar una plataforma uniforme que permita desarrollar e integrar: – Correlación de eventos – Detección temprana de incidentes – Enriquecimiento de los datos

5 FACTOIDS – Potencial ● Intercambio de datos en tiempo real en caso de incidentes ● Datasets reales y actualizados para investigación ● Agencias de law enforcement ● Desarrolladores de software

6 Requisitos identificados ● Modelo de confianza verificable ● Sanitización automática de la información a la salida ● Conjunto de políticas almacenadas en el sistema ● Almacenamiento eficiente de datasets locales ● Normalización ● Transporte eficiente ● Permitir que nuestros pares tomen solo lo que necesitan y no mas

7 Relaciones de confianza ● Los grupos de investigación en seguridad (CSIRTs) y otros construyen datasets que pueden ser de gran valor para otros grupos ● Sin embargo, existen multiples trabas para el libre intercambio de los mismos: ● Confianza ● Regulaciones locales y regionales – Protección de datos personales ● Políticas de seguridad de la información de cada organización

8 Confianza - ¿cómo hacemos hoy? ● Hacemos esto que estamos haciendo aquí en CIBSI, nos reunimos en eventos y nos conocemos... ● Establecemos algún marco (cuasi) legal ● MoUs (memorandum of understanding) ● NDAs (non-disclosure agreements) ● Problemas: ● Poco flexible, una vez establecidas las relaciones dificilmente se puede modificar ● Marcos: dificultades idiomáticas, diferentes marcos legales dificultan compatibilidad

9 Confianza – Una manera mejor 1. Probar identidad mutuamente 2. Instanciar políticas adecuadas 3. CSIRT #2 emite consume API expuesta por #1 4. CSIRT #1 entrega datos filtrados de acuerdo a la política instanciada

10 Transporte de datasets ● Normalización ● Un mismo evento es casi siempre detectado por varios sensores ● Para maximizar el valor del dataset debemos normalizarlo ● Tamaño ● Una honeynet, firewall o IDS pueden generar datasets de gran tamaño ● En vez de transferir archivos enormes, ¿por qué no exponer una API y/o un lenguaje de consulta?

11 Políticas de sanitización ● Sanitización: comunicar datos filtrando parte de los mismos de acuerdo a una política ● Técnicas: ● Sin preservar propiedades – "Black Marker" ● Preservar propiedades – Dependiente del tipo de datos

12 Antecedentes - Bibliografía ● AirCERT ● SEI Carnegie-Mellon, aparentemente abandonado ● ATLAS ● ARBOR networks, sistema cerrado ● SIMs – security information management systems ● Ejemplos: OSSIM, Cisco MARS

13 FACTOIDS – Arquitectura v1

14 FACTOIDS - ¿Cómo? ● Relaciones de confianza ● Autenticación ● Motor de sanitización ● Repositorio de políticas ● Políticas de sanitización aplicadas a la salida de los datos

15 FACTOIDS – ¿Cómo? (II) ● Transporte eficiente de datasets ● Exponer un API que permita realizar consultas ● Resultados salientes filtrados por política ● Aún más: – Permitir programación y almacenamiento de consultas – Permitir consultas en cascada

16 FACTOIDS – Próximos Pasos ● Implementar un sub-conjunto del sistema: ● Representar eventos como documentos XML en formato IODEF (RFC 5070) ● Implementar una prueba de concepto del motor de sanitización y del repositorio de políticas ● Implementar carga de eventos desde honeypots

17 ¡Gracias por la paciencia! ¿Preguntas? ([email protected])[email protected]