Abordagem Autonômica Para Mitigar Ciberataques em LANs

Transcrição

1 Abordagem Autonômica Para Mitigar Ciberataques em LANs Autores: Rodrigo Campiolo (USP/UTFPR); Wagner A. Monteverde (UTFPR); Daniel Macêdo Batista (USP); Lui Arthur F. Santos (USP/UTFPR Apresentador). Salvador, 01 de junho de 2016.

2 Introdução Problemas de pesquisa: Crescimento do número de ataques contra redes locais; Surgimento de novos desafios, tal como, BYOD; Aumento na complexidade dos ataques à segurança; Ineficácia das ferramentas/administradores em deter ataques. Possíveis soluções para nossa proposta: Computação Autonômica CA, interagindo/combinada com: Novas tecnologias, tal como Redes Definidas por Software (SDN); Tecnologias legadas (ex. iptables, PF, IDS, etc); Uso de fontes de informações distribuídas e heterogêneas. 2

3 Objetivos Unir métodos de CA com os conceitos de SDN para desenvolver uma arquitetura de rede local capa de detectar e reagir dinamicamente a problemas de segurança que afetem redes de computadores. Isso com o mínimo de intervenção humana! 3

4 Contribuições Desenvolvimento de método que emprega algoritmos de análise de associação para processar históricos de uso da rede e alertas de segurança, para gerar regras de segurança que são aplicadas na rede via SDN; Criação de método inspirado na estrutura da memória humana, que permite gerar regras de segurança que: Mitigam problemas de segurança em redes; Previnem contra ameaças futuras; Evitam que hosts e/ou serviços de redes sejam prejudicados por ataques e pela defesa autonômica. 4

5 5

6 Of-IDPS Implementação da arquitetura. 6

7 Of-IDPS Monitoramento e Detecção. 7

8 Of-IDPS Análise e Planejamento. 8

9 N Alertas a serem analisados: Endereço IP Origem Destino Protocolo UDP UDP UDP ICMP Portas de Rede Origem Destino Alertas de segurança Identificação Prioridade SSH01 SSH02 SSH03 SSH01 SSH01 SSH01 DNS01 Alta DNS01 Alta DNS01 Alta ICMP01 Baixa 9

10 Analisar histórico da rede e gerar regras de segurança: Algoritmo gerarregrasdesegurançaautonômicas() Entrada: listaalertassegurança Saída: Lista com regras de segurança listaconjuntoregras listaregrassegurança listaconjuntoregras processaalertascomfpgrowth(listaalertassegurança) listaconjuntoregras removerregrasinvalidas(listaconjuntoregras) para cada regra em listaconjuntoregras faça suporte regra.obtersuporte() NumeroItens regra.obternumeroitensdaregra() PercentualSuporte numeroitens Se suporte percentualsuporte então listaregrassegurança.adiciona(regra) retorna listaregrassegurança 10

11 Endereço IP Origem Destino N N Alertas analisados pelo algoritmo: Protocolo UDP UDP UDP ICMP Portas de Rede Origem Destino Alertas de segurança Identificação Prioridade SSH01 SSH02 SSH03 SSH01 SSH01 SSH01 DNS01 Alta DNS01 Alta DNS01 Alta ICMP01 Baixa Regras de segurança: Endereço IP Origem Destino Protocolo Portas de Rede Origem Destino Alertas de segurança Identificação Prioridade Suporte Exigido Atingido

12 Então, o algoritmo anterior permite: Analisar o histórico da rede; Gerar um padrão de problemas Criar regras de segurança para mitigar ataques à rede. 12

13 Então, o algoritmo anterior permite: Analisar o histórico da rede; Gerar um padrão de problemas Criar regras de segurança para mitigar ataques à rede. Mas ainda há um problema!!! (Quantidade de Alertas x Tempo) 13

14 Considere as cores/letras como problemas de segurança que ocorreram na rede! Qual é o problema mais comum? Linha de Tempo x Agora Recente w x Alertas de segurança Passado 14

15 Considere as cores/letras como problemas de segurança que ocorreram na rede! Qual é o problema mais comum? Linha de Tempo x Agora Recente w x Alertas de segurança Passado OOvermelho vermelhoééooque que mais maisocorre! ocorre! 15

16 Analisando o tempo recente! Linha de Tempo x Agora Recente w x Alertas de segurança Passado Há Hámais maisauis auis() () do doque quevermelhos vermelhos() () 16

17 Analisando o tempo agora! Linha de Tempo x Agora Recente w x Alertas de segurança Passado Neste Nesteexato exatomomento momento está estáocorrendo ocorrendoum umataque ataque verde verde(x) (x) 17

18 Possível solução! Processar tal como na memória humana: Linha de Tempo x Agora Recente w x Alertas de segurança Passado Sensorial Curta Longa 18

19 Possível solução! Processar tal como na memória humana: Linha de Tempo x Agora Recente w x Alertas de segurança Passado Sensorial Curta Longa Subdividida em Longa boa e Longa ruim 19

20 Of-IDPS Colocando em prática as regras geradas. 20

21 Experimentos e Resultados LAN simulada Experimento com DDoS: 21

22 Experimentos e Resultados Ataques DDoS :

23 Experimentos e Resultados Ataques DDoS: 23

24 Experimentos e Resultados Ataques DDoS: LAN com Of-IDPS Comparação vítimas Atacante Vítima Atacante Vítima com/sem (%) , , ,3 # Pacotes Maliciosos LAN Controle 24

25 Experimentos e Resultados Experimento com LAN real em produção GT-EWS: 25

26 Experimentos e Resultados Interface do Of-IDPS no site do GT-EWS: Análise da memória longa ruim. 26

27 Experimentos e Resultados Interface do Of-IDPS no site do GT-EWS: Análise da memória longa boa. 27

28 Considerações Finais Conclusões: Os experimentos nas LANs simulada e real demonstram a efetividade da abordagem proposta em mitigar problemas de segurança. A reação autonômica proposta não influencia negativamente os serviços legítimos de rede, principalmente devido ao uso da memória longa boa. Trabalhos Futuros: Pretende-se correlacionar o histórico de LANs com informações externas a respeito de ciberameaças. 28

29 Abordagem Autonômica Para Mitigar Ciberataques em LANs Obrigado pela presença e atenção. Rodrigo Campiolo rcampiolo@utfpr.edu.br Lui Arthur Feitosa dos Santos luisantos@utfpr.edu.br Daniel Macêdo Batista batista@ime.usp.br Wagner Aparecido Monteverde wagner.ap.monteverde@gmail.com