Proyecto OWASP Logging

Marc Chisinevski

Metas de esta presentación

Aclarar los objetivos del proyecto OWASP Logging

Examinar la integración de logs y de eventos generados por una aplicación en un sistema de seguridad.Demonstración 1.

Discutir sobre problemas típicos de los sistemas de

seguridad y presentar una solución multidimensional. Demonstración 2.

Metas del proyecto OWASP Logging

1) Proporcionar herramientas que ayuden a los programadores a generar logs coherentes y completos

2) Proporcionar herramientas de análisis del código fuente para comprobar que los logs son completos y coherentes (contenido, formato, sellos de tiempo)

3) Integrar los eventos y logs generados por una aplicación en un sistema de seguridad

4) Realizar análisis forense

5) Compartir información sobre eventos de seguridad

1) Proporcionar herramientas que ayuden a los programadores a generar logs coherentes y completos

Aprovechar funciones de los entornos de desarrollo integrado:

- función de autocompletar

- plantillas de código

- política de logs

Las plantillas proporcionadas por los entornos de desarrollo integrado pueden proveer:verificaciones, sugestiones, valores por defecto.Ejemplos (OWASP Enterprise Security API):- identificador de sesión, identidad del usuario que causó el evento de seguridad, descripción del evento - resultado del evento (éxito o fallo), severidad del evento, marca que indica si es un evento de seguridad - nombre y IP del servidor donde el evento ha ocurrido; IP del usuario- fecha y hora

2) Proporcionar herramientas de análisis del código fuente para comprobar que los logs son completos y coherentes

Herramientas de análisis del código tales como OWASP yasca pueden fácilmente ser adaptadas para que:

la política de logs sea respetada

los informes de logs sean coherentes y completos (contenido, formato, sellos de tiempo)

3) Integrar los logs y los eventos generados por una aplicación en un sistema de seguridad

OSSIM (http://www.ossim.net/) provee plugins (añadidos) para analizar los logs de: servidores web y de aplicaciones, cortafuegos

aplicativos, sistemas de detección y de prevención de intrusiones

OSSIM genera y almacena eventos en su formato original.

Añadir un plugin para el análisis de logs aplicativos es simple como buscar una expresión regular pero a condición de que los programadores hayan producido logs completos y coherentes.

Problemas típicos de los sistemas de seguridad actuales

Es difícil de obtener vistas agregadas pertinentes Ejemplos:

Alarmas sobre Cliente1 en diciembreAlarmas in Datacenter1 en enero

Es difícil calcular indicadores Ejemplo:

La expectativa de pérdida anual por el Activo1La expectativa de pérdida simple es la cantidad total de ingresos que se pierde por una única incidencia del riesgo.

Problemas típicos de los sistemas de seguridad actuales

Es difícil de comparar los resultados con los datos históricos

Problemas de rendimiento

Demostración 1 - OSSIM

Máquina virtual preinstalada con OSSIM

Tablero de mando de OSSIM

La información obtenido cliqueando en « Today » dentro del previo tablero de control no es de mucha utilidad para ejecutivos, con todo el respeto

Ventajas funcionales de una solución multidimensional

Evaluaciones de riesgo y del rendimiento de las medidas/acciones de seguridad. Agregación y presentación para ejecutivos.

Vistas diferentes: Cliente, Activo, Centro de datos, Tiempo

Indicadores: Expectativas de perdida, Riesgo

Ventajas funcionales de una solución multidimensional

Niveles de agregación bien definidos:

Datos brutos: Eventos, Servidores

Datos agregados: Alarmas, Activos, Clientes, Centro de Datos, Tiempo, Geografía

Ventajas técnicas de una solución multidimensional

Los informes no se lanzan en el entorno de producción del sistema de seguridad

No se necesita SQL para bajar a un nivel detallado de la información (« drill-down » o para subir un nivel agregado de la información (« roll-up”)

Integrar fuentes de datos dispares

Demostración 2 Solución multidimensional

Ejemplo con Essbase

Essbase outlines(esquemas)

Essbase outlines

Datos de tests

Vista Activos

Vista Cientros de Datos

Vista Clientes

Preguntas y Respuestas

Lista de menciones

Equipo de OSSIM

Wojtek Janeczek, amigo y experto en bases de datos multidimensionales

Gracias!