SEGURANÇA EM SISTEMAS INFORMÁTICOS Segregação de Funções e o Combate à Fraude

Transcrição

1 SEGURANÇA EM SISTEMAS INFORMÁTICOS Alunos: Pedro Sousa e Sérgio Cleto Docente: José Manuel de Magalhães Cruz Mestrado em Administração de Redes e Sistemas

2 1 A little knowledge is a dangerous thing. So is a lot. Albert Einstein

3 2 RESUMO Na era Digital e na Sociedade da Informação a preocupação com a segurança informática é cada vez mais uma premissa das organizações. Mesmo para as organizações em que o seu Core Business não está relacionado com informação, a necessidade de proteger os nossos dados é uma realidade. Impõe- se a pergunta: Será que estamos seguros? Sendo que a segurança é um sentimento próprio e de cada um, deixa de existir uma Ilustração 1 - Security Access unidade de medida para a segurança da nossa informação. Assumindo que não existem sistemas 100% seguros e que existe a possibilidade de o nosso sistema estar ou ser comprometido, devemos dotar o nosso sistema de informação da capacidade de rastreio ou rastreamento de atividades. Para que a capacidade de rastreio exista é necessário gerar registos de toda (ou parte) a atividade no sistema e sobre a informação critica. Neste relatório podemos encontrar a descrição do processo de geração de folhas de registo, as várias vertentes e arquiteturas, protótipos, testes e cenários sobre registos para auditoria e rastreio informático. Os sistemas que permitem gerir esta informação são conhecidos como SIEM (Security Information and Event Management). Contudo a implementação dos SIEM esquece a manipulação dos dados do sistema de informação e a componente de organização e desempenho de funções, em particular as politicas de segregação funções, que permitem ao nível organizacional combater fraude.

4 3 Conteúdo RESUMO... 2 NOTAÇÃO E GLOSSÁRIO... 4 Glossário de termos conceptuais... 4 INTRODUÇÃO... 5 Organização do relatório... 6 PROBLEMA... 7 ESTADO DA ARTE... 8 Coleção e Correlação de Registos... 8 SIEM o que é?... 8 Funcionalidades Importantes... 9 Segregação de Funções (SoD)... 9 Tendência de Mercado DESENVOLVIMENTO Cenário de Teste SoD Politicas a validar Cenário tecnológico CONCLUSÕES Dificuldades encontradas Conclusões e resultados obtidos Perspetivas de desenvolvimento Bibliografia... 20

5 4 NOTAÇÃO E GLOSSÁRIO Glossário de termos conceptuais SIEM Security Information and Event Management SNMP Simple Network Management Protocol WMI Windows Management Instrumentation ROI Return on investment IP Internet Protocol SSH Secure Shell HTTP Hypertext Transfer Protocol DNS Domain Name System DHCP Dynamic Host Configuration Protocol VLAN Virtual Local Area Network NTP Network Time Protocol SQL Structured Query Language SoD Segregation of Duties

6 5 INTRODUÇÃO A capacidade de análise de registos de auditoria, que é o objetivo pretendido com a geração de registos de atividade sobre a informação é conseguida com base na coleção e correlação de folhas de registos, conhecidos como LOGs. Não interessa a dimensão da rede ou sistema de informação, vai existir geração de registos de auditoria em diversos pontos da infraestrutura, em diversos formatos e sobre os mais variados serviços (base de dados, aplicações, comunicações, autenticação, etc). Na área da segurança existem muitos sistemas ligados às infraestrutura tecnológicas, geralmente aos equipamentos e servidores, Ilustração 2 - Cadeado de Segurança que realizam auditoria à comunicações, tráfego e atividade dos serviços. Contudo estes sistemas terminam sem entrar na abordagem do negocio e da segurança de informação dentro dos ERP. A questão coloca- se em como monitorizar, controlar e validar o uso de informação e criar capacidade de auditar perante as politicas organizacionais definidas. Se ao nível financeiro as politicas de segregação de funções permitem garantir a validação da execução de processos que representam realmente a realidade da organização, através da dupla validação e da separação de funções para cada um dos intervenientes em determinados processos. A questão que se coloca é como obter os dados de manipulação da informação da organização e criar uma visão das politicas implementadas que permita incrementar qualidade na segurança dos sistemas de informação. Esta é a principal pergunta, como validar o modelo de segregação de funções perante um sistema de informação e com isso combater a fraude. Outras questões são levantadas, tais como como obter registos e armazenar de forma segura? Quais os registos a armazenar? Em que medida os registos permitem auditar a atividade sobre a informação crítica da organização e identificar as anomalias ocorridas? Como relacionar as várias fontes e formatos de informação recolhida? Estas são as perguntas respondidas ao longo deste relatório, com o objetivo de perceber as premissas para criar um sistema de informação eficaz e eficiente na auditoria e rastreio de atividades.

7 6 Organização do relatório O presente relatório está organizado em 4 capítulos Problema Este capítulo define o problema que vamos estudar ao longo deste relatório. Esta definição é feita com um enquadramento geral, na sociedade e com um enquadramento específico na abordagem aos conteúdos críticos do tema. Estado da Arte Este capítulo está dividido em 4 subcapítulos: o Coleção e correlação: Descreve os conceitos e processos de coleção e correlação de registos. o SIEM o que é?: Explica o que é um sistema SIEM. o O que é a segregação de funções. o Processos críticos; o Tendência de mercado: Faz uma análise do mercado e das possíveis evoluções futuras. Desenvolvimento Neste capítulo é apresentado o desenvolvimento de uma solução, em ambiente virtual e de simulação, com o ERP da Primavera Software. Conclusões Este capítulo está divido em três partes, Dificuldades encontradas, Conclusões e resultados obtidos e Perspetivas de desenvolvimento. Na primeira parte são apresentadas as principais dificuldades encontradas para desenvolver este trabalho, na segunda são apresentadas conclusões do trabalho desenvolvido e na terceira são abordadas oportunidades de desenvolvimento.

8 PROBLEMA 7 A sociedade atual é baseada em informação e é conhecida por sociedade da informação. A segurança da informação é cada vez mais uma preocupação das organizações, mas sobretudo a capacidade de rastreio em caso de algo acontecer, o incidente de segurança. Todos os sistemas e serviços geram registos de atividades conhecidos como LOG do Serviço ou folhas de registos. São estes registos que permitem rastrear a atividade sobre os serviços. Os sistemas ERP, em particular no mercado nacional, têm fortes lacunas na geração de registos de auditoria, quer permitam alerta e agir em caso de incidente de segurança informática. O atual problema centra- se na questão de como gerar os registos para rastreio, a sua coleção, o armazenamento e a capacidade de análise. Existem várias perguntas que devem ser respondidas para resolver este problema: Que registos gerar? Como colecionar os registos (agentes)? Como armazenar? Como analisar estabelecendo correlações? Com validar o modelo de segregação de funções? Este relatório aborda todas as questões anteriores, os processos, as arquiteturas e o ciclo de gestão dos registos/informação de segurança do nosso sistema de informação.

9 ESTADO DA ARTE 8 Coleção e Correlação de Registos Uma das principais linhas de defesa contra violações dos sistemas informáticos é a geração de registos de auditoria, conhecidos como LOG. LOG significa folha de registos e é um ficheiro ou conjunto de ficheiros onde todas as operações sobre um determinado serviço são registadas para posterior análise. Contudo as folhas de registo são armazenadas localmente e estão relacionadas com os serviços que as originam. SIEM o que é? SIEM é o acrónimo para Security Information and Event Management e especifica as características para um sistema de informação de gestão para a informação sobre segurança. Este sistema tem como objetivo concentrar, ou seja, colecionar as folhas de registo dos vários sistemas ou serviços para auditoria e implementar capacidade de correlação de dados/informação para detetar anomalias de segurança. Contudo os SIEM pretendem ir mais longe do que a simples coleção e correlação de folhas de registos, mas criar mecanismos de análise de vulnerabilidades e avaliação de perigos, com sistemas de alertas e notificações. A capacidade de coleção de registos é um dos fatores importantes para o SIEM, este deverá suportar vários sistemas operativos e os vários protocolos referência do mercado: SYSLOG, SNMP, WMI e folhas de registo tradicionais. O principal objetivo do SIEM é monitorizar e ajudar a gestão dos utilizadores, serviços, privilégios e alterações das configurações de sistema. Para esse objetivo o SIEM deve disponibilizar funcionalidades de auditoria aos registos e resposta a incidentes de segurança. É com base nas características destes sistemas que a nossa solução será desenhada de forma a garantir a capacidade de auditoria e alarmistica. A solução que produzimos pode ser parte integrante de um SIEM.

10 Funcionalidades Importantes 9 Para que os sistemas auditores sejam uteis e utilizáveis deverão implementar os seguintes conceitos: Agregação de dados (coleção): Este é o primeiro processo/passo para a criação de um sistema auditor, ou seja, serão desenhados agentes responsáveis pela monitorização das transações e pela extração dos dados para o nosso sistema central, para tal existem 2 métodos: o Intrusiva: Este método é o menos aconselhado e consiste num processo em que o agente vai entrar no sistema ou serviço para recolher os dados necessários, com determinada periodicidade. o Não intrusiva: Este é o método mais usado e aconselhado, em que o agente é passivo, apenas monitoriza e é transparente para a utilização do sistema, colecionando os dados, mas deixando executar todas as operações. Correlação: Esta é uma das capacidades mais importantes para as plataformas de auditoria, ou seja, a correlação consiste no processo de procura de atributos comuns para relação entre os vários registos recolhidos, com o objetivo de transformar os dados de diferentes origens em informação relevante. Alertas: Consiste no processo de automatização de análise sobre informação existente para notificação dos administradores de sistema, sempre que as condições do alerta sejam satisfeitas. Painel de trabalho ou vistas: Esta funcionalidade tem particular importância pois permite personalizar determinado ambiente de trabalho com a filtragem de informação, permitindo assim trabalhar com um volume inferior de informação mas mais focalizado. Retenção: Apesar de não ser uma funcionalidade crítica é uma funcionalidade de núcleo, ou seja, existe um crescimento exponencial do armazenamento de dados devido ao volume envolvido. A capacidade de retenção define a metodologia de armazenamento a longo prazo dos dados e o seu tempo de preservação. Segregação de Funções (SoD) De acordo com (Wolf & Gehrke, 2009) o SoD ( segregação de funções) ou a segregação de funções é um primeiro passo para a criação de uma estrutura que permite a monitorização constante da atividade e desempenho de funções, particularmente em ambientes ERP complexos. Este método permite identificar conflitos de privilégios de vários utilizadores sobre o desempenho de funções. Com este método, podemos entender: A criação de um sistema de regras sob o princípio da segregação de funções é fundamental para o sucesso do processo e para uma compreensão correta do sistema;

11 O mapeamento de regras de negócios para as regras do sistema de controle requer uma análise madura e um conhecimento profundo do sistema, exigindo utilizadores- chave e experientes ; Quando o sistema de privilégios, os ERPs, baseiam- se em regras estáticas e pode ser necessário considerar modelos intermédios de tradução de privilégios a implementar; O modelo de privilégios que saem da implementação de um modelo SoD, pode levar à negação de acesso aos utilizadores. Este factor é muito importante porque pode influenciar o trabalho realizado, prejudicando o funcionamento normal dos sistemas; 10 Tendência de Mercado Após uma breve análise de mercado, com base numa pesquisa na Internet (motores de busca) e sobre o que os grandes players de mercado têm como roadmap para a área, percebe- se que as soluções ou infraestruturas de segurança são uma aposta clara destes players. Após visitar as soluções de HP, IBM, Symantec, CheckPoint, Novell, etc encontra- se uma clara aposta neste mercado, quer pela existência de soluções no portfólio quer pela compra de empresas dedicadas a este setor, com o objetivo de criar competências e conhecimento interno. Segundo Tim Wilson o mercado tem um crescimento lento (Wilson, 2011), contudo existe uma aposta clara nestes sistemas, o exemplo disto são as empresas da lista Fortune 500 onde a grande maioria já implementou sistemas auditores para garantir a sua informação. A grande dificuldade de implementação destes sistemas é o custo associado, quer em equipamentos quer em licenciamento de soluções informáticas, para sistemas que não têm relação direta com o núcleo de negócio das empresas, tornando o ROI difícil de atingir.

12 DESENVOLVIMENTO Cenário de Teste 11 Para este projeto vamos usar um sistema ERP bastante popular no mercado Português, o Primavera Software, fazendo uso da versão gratuita da solução. Com esta solução vamos simular processos de uma determinada organização e validar a coleção de informação e a aplicação de modelos de segregação de funções sobre a atividade executada no sistema. Todo o cenário será validado num ambiente simulado, pois devido ao tempo e ao âmbito do projeto apenas é endereçada uma pequena parte da temática, com o objetivo de provar o conceito e fazer a ponte para trabalhos futuros. SoD Politicas a validar Método de fronteira de aplicações: Esta política tem como objetivo validar que aplicações podem consumir os dados que estão no ERP, limitando o uso de aplicações de terceiros, com o objetivo de validar sempre que uma aplicação estranha ao sistema esteja a manipular dados do nosso ERP. Estas regras serão estendidas ao par aplicação/computador. As regras a validar são as descritas de seguida: A aplicação base do ERP não tem limite de fronteira, pode consumir os dados a partir de qualquer localização. A aplicação de gestão da base de dados está limitada ao computador de administração definido na rede. Todas as outras aplicações não podem consumir os dados. Método de fronteira de utilizadores: Esta política tem como objetivo limitar a fronteira de manipulação de tabelas mediante as funções do departamento onde está inserido. O exemplo claro é o departamento de recursos humanos e o financeiro, ou seja, na maioria do tempo as tabelas manipuladas são as mesmas e os recursos humanos de um departamento não devem manipular dados de outros. Quando esta situação acontecer estamos perante a violação do método de fronteira de funções do utilizador. As regras a validar são as descritas de seguida: O utilizador A apenas poderá manipular um determinado conjunto de tabelas, no caso a tabela de artigos. O utilizador B apenas poderá manipular um determinado conjunto de tabelas, no caso a tabela de clientes. Método de validação de processos e da separação de poderes: Este é um dos métodos mais complexos, ou seja, vamos criar fases para um determinado processo e separar funções

13 limitando as ações do utilizador A e B. O utilizador A apenas poderá executar o lançamento da fatura e o utilizador B é que tem a responsabilidade de emitir o pagamento. 12 Cenário tecnológico O cenário tecnológico é composto pelos seguintes elementos: Servidor de base de dados com Microsoft SQL Server e é o local onde estará armazenada a informação. Posto de operador onde estará instalada a aplicação de gestão, no caso o ERP; Posto de administração que simula funções de administrador do sistema e de um segundo operador. Servidor de base de dados da plataforma auditora. Servidor Web para o interface de gestão da plataforma auditora. Agentes de coleção de informação, instalados em cada fonte de dados. Funcionamento: Fase 1: Configuração da base de dados Esta etapa consiste numa análise da base de dados a monitorizar e configurar os respetivos acessos; Fase 2: Criação dos dicionários Esta etapa consiste numa pesquisa e obtenção das fontes de dados dentro da base de dados a monitorizar e na criação de um dicionário que representa o conhecimento dessa base de dados para o nosso sistema auditor. Fase 3: Instalação dos agentes de monitorização Dos dicionários criados vamos definir quais as fontes de dados que vamos monitorizar e por consequência vamos instalar um agente em cada fonte definida. Fase 4: Configurações do sistema Nesta fase são configuradas as politicas, utilizadores, regras, etc para o nosso sistema auditor validar os dados recolhidos e agir em conformidade. Fas3 5: Coleção dos dados A partir deste ponde podemos iniciar a coleção dos dados e a monitorização do nosso sistema.

14 Dados colecionados Exemplos 13 O sistema é composto por 2 grandes repositórios de dados, que dizem respeito às transações e aos dados recolhidos. Repositório para transações: [id_transaction] [uniqueidentifier] NOT NULL, [session_id] [bigint] NOT NULL, [net_transport] [nvarchar](255) NOT NULL, [encrypt_option] [nvarchar](255) NOT NULL, [auth_scheme] [nvarchar](255) NOT NULL, [host_name] [nvarchar](255) NOT NULL, [program_name] [nvarchar](255) NOT NULL, [client_interface_name] [nvarchar](255) NOT NULL, [login_name] [nvarchar](255) NOT NULL, [nt_domain] [nvarchar](255) NOT NULL, [nt_user_name] [nvarchar](255) NOT NULL, [original_login_name] [nvarchar](255) NOT NULL, [connect_time] [datetime] NOT NULL, [login_time] [datetime] NOT NULL, [audit_table] [nvarchar](255) NOT NULL, [audit_command] [nvarchar](255) NOT NULL, [audit_trigger] [nvarchar](255) NOT NULL, [audit_process] [nvarchar](255) NOT NULL, [op_time] [datetime] NOT NULL, [db_name] [nvarchar](50) NOT NULL, Os campos em cima apresentados tem como objetivo recolher dados sobre a origem transação e o sistema que está a usar, para garantir o rastreio até à origem da operação. Repositório de dados: [op_id] [bigint] IDENTITY(1,1) NOT NULL, [table_name] [nvarchar](255) NOT NULL, [field_name] [nvarchar](255) NOT NULL, [value_new] [nvarchar](4000) NULL, [value_old] [nvarchar](4000) NULL, [operation] [nvarchar](255) NOT NULL, [op_time] [datetime] NOT NULL, [transaction_id] [uniqueidentifier] NOT NULL, Os campos em cima apresentados recolhem a informação de todas as transações.

15 14 A solução de auditoria JANELA DE AUTENTICAÇÃO A imagem em cima apresentada representa a janela de autenticação da nossa plataforma auditora dos registos do ERP.

16 15 JANELA DE CONSULTA DE TRANSAÇÕES A imagem em cima apresentada representa a janela de consulta das transações executadas sobre as base de dados a monitorizar. As imagens apresentadas neste capitula servem apenas para ilustrar os interfaces de consulta aos dados recolhidos e descritos nos capítulos anteriores. Para compreender na totalidade e em detalhe os interfaces e possibilidades, deverá ser efetuada uma apresentação, pois o foco deste relatório não é o desenvolvimento de software mas as possibilidades dos mecanismos de auditoria e os sistemas de combate à fraude.

17 16 JANELA DE CONSULTA DE OPERAÇÕES A imagem em cima apresentada representa a janela de consulta das operações executadas sobre as tabelas monitorizadas JANELA DE CONSULTA DE VIOLAÇÕES A imagem em cima apresentada representa a janela de consulta das violações das regras configuradas.

18 CONCLUSÕES 17 Dificuldades encontradas As dificuldades encontradas para a realização deste trabalho podem ser divididas em dois grandes grupos: Âmbito do trabalho: O interesse pela área em questão e a quantidade de plataformas/soluções de mercado torna complexo o processo de escolha e validação, ou seja, as soluções do mercado não endereçam este problema na sua dimensão concreta e muitas vezes esta dimensão é descorada, contudo encontramos investigadores e organizações preocupados com estas dimensões. Tempo disponível: O fator tempo é crítico, e sendo este um trabalho no âmbito de uma unidade curricular de mestrado, conciliar com as outras unidades, trabalho e a vida no aspeto geral é complexo gerir o tempo necessário para realizar testes exaustivos.

19 18 Conclusões e resultados obtidos Da análise de mercado percebe- se que esta área é uma área de clara aposta dos tubarões das tecnologias de informação, podemos ver isso claramente no documento do IDC sobre o futuro da gestão de segurança e vulnerabilidades (Kolodgy, 2010). Da implementação do protótipo e do ambiente de produção concluímos que não chega escolher uma plataforma, implementamos o nosso SIEM e temos os nossos problemas resolvidos. Este é um erro comum. A definição da arquitetura, o controlo de variáveis da nossa infraestrutura e análise dos pontos críticos que respondem às nossas necessidades, é um trabalho estruturante e fundamental para o sucesso da nossa implementação e do funcionamento do SIEM. Outro elemento importante é a definição dos atributos de relação, ou seja, não chega colecionar as folhas de registos dos vários serviços, é necessário definir o que pretendemos monitorizar e controlar colecionar registos que tenham atributos de relação entre as várias fontes de dados. O volume de dados e a capacidade de retenção são fatores relevantes para a nossa escolha, pois influenciam a performance da solução e montante monetário necessário para o financiamento da solução. A dificuldade na justificação para aquisição e implementação de soluções desta natureza é elevada, pois estas não fazem parte dos processos de núcleo do negócio e tornam o ROI difícil de calcular.

20 19 Perspetivas de desenvolvimento Este é um mercado em claro crescimento e ficam muitas perspetivas de desenvolvimento, contudo existem várias perspetivas de desenvolvimento diretas e com relações concretas a este trabalho. Em primeiro lugar o fecho de funcionalidades e o teste num cenário real de trabalho, numa organização geral. Em segundo lugar validar as questões de performance em sistemas de grande porte onde a coleção destes dados pode ser superior ao próprio ERP. Em terceiro lugar generalizar funções e procedimentos para tentar criar um sistema capaz de abranger várias soluções e correlacionar dados de várias plataformas. Em quarto lugar a adição de capacidade de inteligência e não apenas baseado num modelo de regras estáticas, em particular no processo de detecção de utilizações fora de padrão. Por último uma análise mais detalhada de algumas soluções Open Source e Freeware que estão no mercado, com a implementação de desenvolvimentos próprios para arquiteturas mais pequenas e com menor volume de informação.

21 20 Bibliografia Butler, J. M. (2009). Benchmarking Security Information Event Management (SIEM). SANS. Kent, K., & Souppaya, M. (2006). Guide to Computer Security Log Management. National Institute of Standards and Technology. Kolodgy, C. J. (2010). Wold wide Security and Vulnerability Management USA: IDC. Lane, A. (2010, Abril 30). Understanding and Selecting SIEM/LM: Use Cases. Retrieved 12 10, 2011, from Securosis Blog: and- selecting- siem- lm- use- cases- part- 1 Wikipedia. (2011, 7 11). Security information and event management. Retrieved 12 13, 2011, from Wikipedia: Williams, A. (2007, Janeiro 1). The Future of SIEM - The market will begin to diverge. Retrieved 12 1, 2011, from Amrit Williams Blog: future- of- siem- - the- market- will- begin- to- diverge/ Wilson, T. (2011, 03 21). Dark Reading Security. Retrieved 12 13, 2011, from SIEM Market To Double B 2015, Report Sa s: monitoring/ /security/security- management/ /siem- market- to- double- by