Slides - Uma abordagem autonômica para mitigar ciberataques em redes de computadores

Uma abordagem autonômica para mitigar ciberataques em redes de computadores

Este trabalho de Luiz Arthur Feitosa Santos e Daniel Macêdo Batista foi licenciado com uma Licença Creative Commons - Atribuição – Não Comercial 3.0 Não Adaptada.

Doutorando:Luiz Arthur F. Santos

[email protected]

Orientador:Daniel Macêdo Batista

[email protected]

26/Setembro/2016

Introdução:

Problemas de pesquisa:

Crescimento do número de ataques contra redes locais;

Surgimento de novos desafios, tais como, BYOD;

Aumento na complexidade dos ataques à segurança;

Ineficácia das ferramentas/administradores em deter ataques.

Possíveis soluções para nossa proposta:

Computação Autonômica – CA, interagindo/combinada com:

Novas tecnologias, tal como Redes Definidas por Software (SDN);

Tecnologias legadas (ex. iptables, PF, IDS, etc);

Uso de fontes de informações distribuídas e heterogêneas.

2 / 79

Objetivo:

Propor e desenvolver uma arquitetura autonômica que mantenha a segurança de rede de computadores, exigindo o mínimo possível de interação humana.

Objetivos específicos:

Uso de técnicas que permitam criar sensores para extrair informações:

Locais (Sistemas de Detecção de Intrusão – IDS e OpenFlow);

Externas (Mensagens postadas na Internet).

Criar e gerenciar regras de segurança autonômicas fundamentadas no histórico de redes;

Implementação de métodos que possibilitem criar atuadores para mitigar ciberataques.

3 / 79

Contribuições do Presente Trabalho:

Desenvolvimento de método que emprega algoritmos de análise de associação para processar históricos de uso da rede e alertas de segurança, para gerar regras de segurança que são aplicadas na rede via SDN;

Criação de método inspirado na estrutura da memória humana, que permite gerar regras de segurança que:

Mitigam problemas de segurança em redes;Previnem contra ameaças futuras;Evitam que hosts e/ou serviços de redes sejam prejudicados por ataques e pela defesa autonômica.

Geração de alertas de segurança a partir de mensagens que relatam ciberameaças e que são postadas na Internet através de redes sociais.

4 / 79

Arquitetura proposta:

5 / 79

Of-IDPS – implementação da arquitetura:

6 / 79

Módulo Monitor:

7 / 79

Módulo Análise e Planejamento:

8 / 79


Analisar histórico da rede e gerar regras de segurança:

9

Algoritmo gerarRegrasDeSegurançaAutonômicas() Entrada: listaAlertasSegurança Saída: Lista com regras de segurança

01. listaConjuntoRegras ← ∅02. listaRegrasSegurança ← ∅ 03. listaConjuntoRegras ← processaAlertasComFPGrowth(listaAlertasSegurança)04. listaConjuntoRegras ← removerRegrasInvalidas(listaConjuntoRegras)05. para cada regra em listaConjuntoRegras faça06. suporte ← regra.obterSuporte()07. numeroItens ← regra.obterNumeroItensDaRegra()08. percentualSuporte ← 110 20 * numeroItens09. se suporte ⩾ percentualSuporte então10. listaRegrasSegurança.adiciona(regra)11. retorna listaRegrasSegurança

/ 79


Analisar histórico da rede e gerar regras de segurança:

10

Algoritmo gerarRegrasDeSegurançaAutonômicas() Entrada: listaAlertasSegurança Saída: Lista com regras de segurança

01. listaConjuntoRegras ← ∅02. listaRegrasSegurança ← ∅ 03. listaConjuntoRegras ← processaAlertasComFPGrowth(listaAlertasSegurança)04. listaConjuntoRegras ← removerRegrasInvalidas(listaConjuntoRegras)05. para cada regra em listaConjuntoRegras faça06. suporte ← regra.obterSuporte()07. numeroItens ← regra.obterNumeroItensDaRegra()08. percentualSuporte ← 110 20 * numeroItens09. se suporte ⩾ percentualSuporte então10. listaRegrasSegurança.adiciona(regra)11. retorna listaRegrasSegurança

Itens Suporte exigido

1 90%

2 70%

3 50%

4 30%

5 10%

/ 79


Exemplos fictícios de alertas de segurança:

11

Endereço IPProtocolo

Portas de Rede Alertas de segurançaOrigem Destino Origem Destino Identificação Prioridade

1 20.0.0.1 30.0.0.10 TCP 50000 22 SSH01 média2 20.0.0.1 30.0.0.20 TCP 50001 22 SSH02 média3 20.0.0.1 30.0.0.30 TCP 50002 22 SSH03 média4 20.0.0.1 30.0.0.40 TCP 50003 22 SSH01 média5 20.0.0.1 30.0.0.50 TCP 50004 22 SSH01 média6 20.0.0.1 30.0.0.60 TCP 50005 22 SSH01 média7 20.0.0.2 30.0.0.70 UDP 50006 53 DNS01 Alta8 20.0.0.2 30.0.0.80 UDP 50007 53 DNS01 Alta9 20.0.0.2 30.0.0.90 UDP 50008 53 DNS01 Alta

10 20.0.0.1 30.0.0.10 ICMP 0 1 ICMP01 Baixa

N°

/ 79


Exemplos fictícios de alertas de segurança:

Regras de segurança geradas:

12


Portas de Rede Alertas de segurançaOrigem Destino Origem Destino Identificação Prioridade

1 20.0.0.1 30.0.0.10 TCP 50000 22 SSH01 média2 20.0.0.1 30.0.0.20 TCP 50001 22 SSH02 média3 20.0.0.1 30.0.0.30 TCP 50002 22 SSH03 média4 20.0.0.1 30.0.0.40 TCP 50003 22 SSH01 média5 20.0.0.1 30.0.0.50 TCP 50004 22 SSH01 média6 20.0.0.1 30.0.0.60 TCP 50005 22 SSH01 média7 20.0.0.2 30.0.0.70 UDP 50006 53 DNS01 Alta8 20.0.0.2 30.0.0.80 UDP 50007 53 DNS01 Alta9 20.0.0.2 30.0.0.90 UDP 50008 53 DNS01 Alta

10 20.0.0.1 30.0.0.10 ICMP 0 1 ICMP01 Baixa

N°


Portas de Rede Alertas de segurança SuporteOrigem Destino Origem Destino Identificação Prioridade Exigido Atingido

1 20.0.0.1 * TCP * 22 * média 5 62 20.0.0.1 * TCP * * * média 7 63 20.0.0.1 * * * * * média 9 74 * * TCP * 22 * média 7 65 * * TCP * * * média 9 6

N°

/ 79


Então, o algoritmo apresentado permite:

Analisar o histórico da rede;

Identificar padrões (problemas e uso da rede);

Criar regras de segurança para mitigar ataques à rede.

Mas ainda há um problema!!!(Quantidade de Alertas x Tempo)

13 / 79


Então, o algoritmo apresentado permite:

Analisar o histórico da rede;

Identificar padrões (problemas e uso da rede);

Criar regras de segurança para mitigar ataques à rede.

Mas ainda há um problema!!!(Quantidade de Alertas x Tempo)

14 / 79


Considere as cores/letras como problemas de segurança que ocorreram na rede! Qual é o problema mais comum?

15

x

1

y

2

z

3

z

4

z

5

y

6

y

7

y

8

y

9

y

10

y

11

y

12

y

13

y

14

y

15

y

16

w

17

y

18

x

19

y

20

Linha de Tempo

Agora Recente Passado

Alertas de segurança

/ 79



16

x

1

y

2

z

3

z

4

z

5

y

6

y

7

y

8

y

9

y

10

y

11

y

12

y

13

y

14

y

15

y

16

w

17

y

18

x

19

y

20

Linha de Tempo



O vermelho é o que mais ocorre!


/ 79



17

x

1

y

2

z

3

z

4

z

5

y

6

y

7

y

8

y

9

y

10

y

11

y

12

y

13

y

14

y

15

y

16

w

17

y

18

x

19

y

20

Linha de Tempo





Mas e considerandoo momento Recente e

o Agora?

Mas e considerandoo momento Recente e

o Agora?/ 79


Solução possível, processar tal como a memória humana:

18

x

1

y

2

z

3

z

4

z

5

y

6

y

7

y

8

y

9

y

10

y

11

y

12

y

13

y

14

y

15

y

16

w

17

y

18

x

19

y

20

Linha de Tempo



Sensorial Curta Longa

/ 79

Módulo Execução:

19 / 79

Um pouco mais sobre a Base de Conhecimento:

20 / 79


21 / 79


22 / 79

Ciberalertas extraídos de redes sociais:

23 / 79


24

Tweets/alertas de Segurança

Relevantes

1. Obter Tweets de Segurança

InternetInternet

2. FiltrarMensagens

3. Agrupar por

Similaridade

4. GerarLista de

MensagensRelevantes

Passo 1:1.Problema #vírus X cuidado2.#vírus X problema3.Novo #Malware Y4.Atualize seu antivírus W5.Atualize seu antivírus W6.#malware Y ataca7.Atualize seu antivírus W8.Possível #falha Z9.Solução #vírus X10. Atualize seu antivírus W11. Como resolver #vírus X12. Guerra País B.13. A é o melhor antivírus.14. ola!

Buscas por termos como:

security AND (virus OR worm OR attack OR intrusion OR invasion OR ddos OR hacker OR cracker OR exploit OR malware)

/ 79


25


Relevantes


InternetInternet

2. FiltrarMensagens

3. Agrupar por

Similaridade

4. GerarLista de

MensagensRelevantes



Remover mensagens:- Pequenas;- Com URL de domínios que não abordam cibersegurança;- Blacklist (kill, free, soldiers).

/ 79


26


Relevantes


InternetInternet

2. FiltrarMensagens

3. Agrupar por

Similaridade

4. GerarLista de

MensagensRelevantes



Passo 3:

a1.Problema #vírus X cuidadoa2.#vírus X problema

b3.Novo #Malware Yb6.#malware Y ataca

c4.Atualize seu antivírus Wc5.Atualize seu antivírus Wc7.Atualize seu antivírus Wc10. Atualize seu antivírus W

d8.Possível #falha Z

e9.Solução #vírus Xe11. Como resolver #vírus X

/ 79


27


Relevantes


InternetInternet

2. FiltrarMensagens

3. Agrupar por

Similaridade

4. GerarLista de

MensagensRelevantes



Passo 3:






Passo 4:






/ 79

28

Experimentos e Resultados:

Publicações:

Luiz A. F. Santos, Rodrigo Campiolo, Marco A. Gerosa e Daniel M. Batista. Análise de mensagens de segurança postadas no Twitter. SBSC, 2012;

Rodrigo Campiolo, Luiz A. F. Santos, Marco A. Gerosa e Daniel M. Batista. Evaluating the utilization of Twitter messages as a source of security alerts. ACM-SAC, 2013;

Luiz A. F. Santos, Rodrigo Campiolo, Marco A. Gerosa e Daniel M. Batista. Detecção de alertas de segurança em redes de computadores usando redes sociais. SBRC, 2013;

Luiz A. F. Santos, Rodrigo Campiolo e Daniel M. Batista. Uma arquitetura autonômica para detecção e reação a ameaças de segurança em redes de computadores. WOSIDA - SBRC, 2014;

●

/ 79

29


Luiz A. F. Santos, Rodrigo Campiolo, Wagner A. Monteverde e Daniel M. Batista. Abordagem autonômica para mitigar ciberataques em LANs. SBRC, 2016;

Daniel M. Batista, Luiz A. F. Santos, Rodrigo Campiolo, Wagner A. Monteverde, Marlon F. Antonio, Thiago L. Vieira, Eder Ferreira, Rafael Silvério e Fausto Vetter. GT-EWS: Building a cybersecurity EWS based on social networks. TNC, 2016.

Projetos de pesquisa:

Fase 1 - GT-EWS: Mecanismos para um Sistema de Alerta Antecipado. Novembro/2014-Outubro/2015. Financiado pela RNP;

Fase 2 - GT-EWS: Mecanismos para um Sistema de Alerta Antecipado. Novembro/2015-Dezembro/2016. Financiado pela RNP.

/ 79

30


Cenário dos experimentos com o Of-IDPS em rede simulada:

/ 79

31


Efetividade e resposta do Of-IDPS a alertas de segurança:

Servidor Iperf:Porta TCP/80Porta TCP/90

Cliente Iperf:Porta TCP/80Fluxo Normal

Cliente Iperf:Porta TCP/90Fluxo Malicioso

/ 79

32



Alertas:30s – Risco baixo;60s – Risco médio;90s – Risco alto.

/ 79

33



Alertas:30s – Risco baixo;60s – Risco médio;90s – Risco alto.

Of-IDPS reage aos alertas.

- Fluxo malicioso é mitigado; - Fluxo normal é favorecido;

/ 79



34 / 79



35 / 79



36 / 79



37 / 79



38 / 79



39 / 79

40


Of-IDPS – DoS em hosts e serviços de redes distintos (exp 2.2):

Host 1 Host 2TCP/80

Host 3 Host 4TCP/90

Fluxo legítimo

Fluxo malicioso

/ 79

41 / 79

42


Of-IDPS – DoS em hosts e serviços de redes distintos (exp 2.2):

/ 79

43


Of-IDPS – DoS mesmo host com serviços diferentes (exp 2.3):

Host 1 Host 2TCP/80TCP/90

Host 3

Fluxo legítimo

Fluxo malicioso

/ 79

44 / 79

45


Of-IDPS – DoS mesmo host com serviços diferentes (exp 2.3):

/ 79

46


Of-IDPS – DoS mesmo host e serviço (exp 2.4):

Host 1 Host 2TCP/80

Host 3

Fluxo legítimo

Fluxo malicioso

/ 79

47 / 79

48


Of-IDPS – DoS mesmo host e serviço (exp 2.4):

/ 79

49


Of-IDPS – DDoS mesmo host e serviço (exp 2.5):

Host 1 Host 2TCP/80

Fluxo legítimo

Fluxo malicioso

/ 79

50 / 79

51


Of-IDPS – DDoS mesmo host e serviço (exp 2.5):

/ 79

52


Of-IDPS – DDoS mesmo host com serviços diferentes (exp 2.6):

Host 1 Host 2TCP/80TCP/90

Fluxo legítimo

Fluxo malicioso

/ 79

53 / 79

54


Of-IDPS – DDoS mesmo host com serviços diferentes (exp 2.6):

/ 79

55


Of-IDPS – DDoS mesmo host e serviço, usando memória longa boa antes da curta (exp 2.7):

Host 1 Host 2TCP/80

Fluxo legítimo

Fluxo malicioso

Sensorial Boa Curta

/ 79

56



/ 79

57



/ 79

58


Of-IDPS – DoS mesmo host e serviço, usando memória longa boa antes da curta (exp 2.8):

Host 1 Host 2TCP/80

Host 3

Fluxo legítimo

Fluxo malicioso

Sensorial Boa Curta

/ 79

59



/ 79

60



/ 79

61


Of-IDPS – DoS mesmo host e serviço, usando memória longa boa e ruim (exp 2.9):

Host 1 Host 2TCP/80

Host 3

Fluxo legítimo

Fluxo malicioso

Sensorial Curta Boa Ruim

/ 79

62



/ 79

63



/ 79

64


Cenário dos experimentos com o Of-IDPS em rede real:

/ 79

65


O Of-IDPS ficou em execução nessa rede durante 6 meses;

Foram identificados 44 tipos de ciberameaças, representados por 15.098 alertas de segurança. Tais ameaças/ataques basicamente são contra:

Vulnerabilidades DNS;

Pacotes ICMP suspeitos;

Vulnerabilidades de pacotes de rede ou dispositivos;

Ataques Directory Transversal;

Vulnerabilidades SNMP;

Ataques contra servidores ou aplicações Web.

Foram instalados mais de 10 milhões de fluxos de rede considerados idôneos (não relacionados com ataques).

/ 79

66


Interface do Of-IDPS no site do GT-EWS:

Análise da memória longa ruim.

/ 79

67


Interface do Of-IDPS no site do GT-EWS:

Análise da memória longa boa.

/ 79

68


Experimentos com ciberalertas extraídos de redes sociais:

Postagens entre: 28/04/2012 – 05/12/2012 (222 dias);

Total de postagens: 155.631 tweets;

Total de usuários: 74.809;

84,9% com URL;

37% com hashtags (#);

43% com menções a usuários do Twitter (@).

/ 79

69



/ 79

70



InfoSec -Informações aRespeito de

cibersegurança

InfoSec -Informações aRespeito de

cibersegurança

/ 79

71



Ciberalertas maiscontundentes...

Ciberalertas maiscontundentes...

/ 79

72



Análise manual dos alertas gerados pela metodologia dos meses de junho e setembro (selecionados aleatoriamente).

junho setembro0

10

20

30

40

50

60

70

não alertasalertas

%

65,7%65,7%

56,9%56,9%

/ 79

73



GT-EWS – exemplos de resultados:

/ 79

74



/79

75

Conclusões:

A arquitetura proposta consegue identificar desequilíbrios causados por problemas de segurança e reagir evitando a degradação massiva nos recursos da rede. Isso com o mínimo possível de interação humana, pois:

A metodologia das memórias sensorial e curta conseguiu mitigar até 97,5% dos pacotes maliciosos destinados à vítima nos ataques DDoS;

Memória longa ruim mitigou até 99,95% dos pacotes relacionados com ataques DoS;

Memória longa boa conseguiu proteger os fluxos legítimos, aumentando em 752,42% a quantidade de pacotes enviados/recebidos durante os ataques DoS;

Durante 6 meses a arquitetura protegeu uma rede real de 44 tipos de ciberameaças, sem causar distúrbios nos serviços da rede;

/ 79

76

Conclusões:

A criação de um sistema de segurança autonômico que integra sistemas legados com novas tecnologias (IDS e SDN) mostra-se uma solução efetiva e prática para detectar e reagir contra ciberameaças em redes locais, pois:

Em média demorou-se 7 segundos entre a identificação do problema e o inicio da reação contra o mesmo.

Há alertas de segurança postados em redes sociais e tais mensagens podem ser exploradas para auxiliar na identificação de problemas de segurança em redes:

Constatou-se que mais de 50% das mensagens extraídas pela metodologia proposta, são realmente alertas de cibersegurança.

/ 79

77

Trabalhos Futuros:

Implementação e integração de novos sensores:

NIDS baseados em comportamento;

HIDS;

Outros métodos de análise de ameaças com dados OpenFlow.

Adição de novos sensores:

Firewalls;

Proxys;

Roteadores;

Softwares agentes.

/ 79

78

Trabalhos Futuros:

Novos métodos para o módulo Análise e Planejamento;

Expandir a arquitetura de centralizada/local para distribuída, permitindo integrar informações de várias redes;

Explorar melhor os alertas extraídos de fontes abertas e não estruturadas:

Reduzir a quantidade de falsos positivos e spams;

Agregar outras fontes, que não só o Twitter;

Correlacionar alertas de baixo nível com alertas de alto nível.

/ 79

Obrigado...

Perguntas?

Luiz Arthur F. [email protected]

Slides - Uma abordagem autonômica para mitigar ciberataques em redes de computadores

Technology