q
Além das técnicas descritas, existe um conjunto de ferramentas especializadas para implementar o processamento de mensagens de logs.
Tais ferramentas são muito heterogêneas, cada qual implementa suas próprias técnicas de análise de logs incluindo técnicas especializadas utilizando inteligência artificial. Existe grande quantidade de ferramentas comerciais e gratuitas para isso.
q
Na sequência, serão descritas algumas ferramentas tradicionais utilizadas por adminis- tradores para gerenciar as informações de logs.
1 logcheck: é uma ferramenta desenvolvida para analisar automaticamente arquivos de log em busca de violações de segurança e atividades não usuais. Para isso, a ferramenta utiliza uma lista de expressões regulares para classificar as mensagens dos logs. Dessa forma, é possível definir categorias, tal como: violação de sistema, mensagens a ignorar, tentativas de comprometimento e outras. Outro recurso da fer- ramenta é a possibilidade de agendar o processamento das mensagens de logs (hora/ dia/semana/mês) permitindo o envio das análises automatizadas via e-mail;
Figura 7.8 Sumarização dos acessos bloqueados no filtro de pacotes iptables.
Tra ta me nt o d e I nci de nt es d e S eg ur anç a
q
1 swatch: muito semelhante ao logchecker. Também utiliza expressões regulares para classificar eventos de logs; no entanto, como diferencial a ferramenta permite instan- ciar ações para cada evento classificado. Por exemplo, assim que muitas tentativas de conexão de um determinado IP são detectadas, uma regra de bloqueio pode ser inserida no filtro de pacotes;
1 OSSEC: ferramenta de código aberto para armazenamento e análise de logs. O con- junto de funcionalidades da ferramenta incluem agentes para diferentes plataformas com os quais é possível receber informações de sistemas de logs, tal como o Syslog. O OSSEC possui um conjunto de regras pré-instaladas com as quais os logs podem ser processados de maneira automatizada, reduzindo consideravelmente o trabalho manual de investigação. Adicionalmente a ferramenta possui suporte para análise de logs em tempo real;
1 Splunk: ferramenta comercial que possui funcionalidades semelhantes ao OSSEC. O Splunk atua como um centralizador de logs, no qual é possível concentrar dife- rentes formatos de logs. O serviço possui plug-ins que permitem processar logs em formato Syslog e também logs do formato Windows unificando as informações em uma base de dados própria. Adicionalmente, o Splunk implementa módulos de análise de logs, permitindo análises gráficas, análises forense (timeline) e ainda alguns módulos de análise específicos para dispositivos, tal como dispositivos CISCO. Por fim, este capítulo busca apresentar algumas ferramentas de análise de logs e suas características. Não é o objetivo aqui apresentar todas as ferramentas, nem tampouco apre- sentar ferramentas específicas de fabricantes. Deseja-se prover uma visão das principais funcionalidades as quais um administrador de sistema pode demandar no seu processo de análise de logs.
SIEM
q
Security Information and Event Management System (SIEM) é uma ferramenta que combina diferentes funcionalidades úteis para facilitar o processo de coleta, correlação e processamento de informações de segurança.
Como característica, a ferramenta SIEM possui uma base de dados unificada, onde é pos- sível correlacionar eventos de segurança e prover alertas para um administrador.
q
Sistemas de SIEM podem coletar os mais diversos eventos para análise. Para isso, boa parte dos SIEM utiliza agentes coletores que podem ser instalados nos diversos sis- temas, tal como: equipamentos de rede, servidores, firewalls, antivírus e sistemas de detecção de intrusão. Os agentes coletam eventos e os encaminham para um servidor central, o qual implementa técnicas para identificar anomalias.
Tais regras para análise de anomalias podem utilizar regras simples com análise estatística ou ainda heurísticas desenvolvidas pelo próprio usuário. Em sistemas mais complexos, tipica- mente soluções comerciais, diferentes análises podem ser utilizadas (gráficas, estatísticas e inteligência artificial) e, como resultado de uma análise, ações podem ser configuradas a partir da interface de gerenciamento.
Ca pí tu lo 7 - I de nt ifi ca çã o d e c on ta to s
Aspectos de segurança
q
A análise dos arquivos de logs deve estar embasada na integridade das informações arma- zenadas. Existem muitas razões para que um sistema de log seja atacado. Obviamente, a primeira delas é evitar que as ações de um atacante sejam registradas e, em última análise, evitar que um comprometimento seja identificado.
Em ataques mais sofisticados, entretanto, os atacantes utilizam técnicas que podem alterar informações específicas nas mensagens de logs ou ainda inserir informações espúrias de modo a desorientar a investigação dos eventos.
Sendo assim, os ataques à infraestrutura de logs devem ser considerados um fator crítico para a segurança da instituição. Um atacante com acesso as informações armazenadas pode identificar dados de servidores vulneráveis, nomes de usuários e possíveis falhas de segurança.
q
De forma resumida, os ataques à infraestrutura de logs podem ter diversas motivações, entre elas:
1 Destruir rastros de comprometimento; 1 Destruir informações armazenadas; 1 Modificar informações presentes nos logs;
1 Obter informações sensíveis sobre a infraestrutura.
Tais ameaças devem ser observadas pelos administradores de rede. Cabe aos administra- dores assegurar que as informações de logs sejam íntegras, confidenciais e disponíveis para análise. Diferentes mecanismos podem ser empregados para aprimorar a segurança da infraestrutura de logs, entre eles: restringir o acesso ao sistema de arquivo, assegurar que informações logs trafegadas na rede não possam ser acessadas; determinar os sistemas que podem registrar informações de log no servidor centralizado.
q
Além de questões relativas à segurança do sistema de logs em si, é fundamental que os admi- nistradores de sistemas atentem para os equívocos mais frequentes na gerência de logs: 1 Ausência de logs: pior que não analisar os logs de forma frequente é não ativar os
sistemas de logs para registrar eventos. Todo sistema passível de produzir logs deve ser configurado para exportar essas informações para uma estrutura centralizada ou mesmo para um arquivo localmente armazenado. Do contrário, investigações, análises e resolução de problemas não podem contar com o auxílio dos logs; 1 Não analisar os logs: não basta apenas coletar as informações dos diferentes dis-
positivos e sistemas, é importante ter alguma rotina manual ou automatizada para analisar as informações armazenadas nos arquivos de logs;
1 Armazenar informações de log por um curto período de tempo: as informações presentes nos logs podem ser utilizadas para investigar incidentes de segurança pas- sados e também para prever possíveis anomalias em uma análise temporal;
1 Priorizar os logs antes mesmo de serem coletados: os logs só podem ser priori- zados depois de serem coletados pelos diversos aplicativos e sistemas. Priorizar logs de certos dispositivos ou aplicações apenas permite uma visão parcial dos eventos desprezando possíveis consequências ou desdobramentos de uma ação registrada; Detalhes técnicos e
demais recursos para a proteção da infraestru- tura de logs fogem do escopo deste capítulo; no entanto, mais informações podem ser encontradas em: Logging and Log Management: The Authoritative Guide to Dealing with Syslog, Audit Logs, Events, Alerts and other IT.
Tra ta me nt o d e I nci de nt es d e S eg ur anç a
q
1 Ignorar logs de aplicações: os logs dos sistemas são essenciais, mas nem sempre podem mapear todas as ações. Registrar eventos de aplicações é uma tarefa funda- mental para identificar causas de problemas, como por exemplo, o motivo pelo qual uma aplicação está consumindo todos os recursos de memória do sistema;
1 Buscar apenas por padrões maliciosos conhecidos: a busca por padrões conhe- cidos nos logs vai apenas demonstrar dados de ataques já conhecidos e possivel- mente já tratados pelas ferramentas de segurança disponíveis na instituição. Como alternativa, podem ser utilizadas a sumarização de informação e a técnica de igno- rância artificial, ambas previamente descritas.