Desarrollo de una estrategia híbrida para la gestión de alarmas en sistemas detectores de intrusos basados en firmas

Abstract

RESUMEN : El incremento de los ataques por parte de asociaciones criminales a la infraestructura crítica cibernética ha hecho que se haya volcado un interés masivo en desarrollar herramientas y estrategias que contribuyan al objetivo de reducir y neutralizar el impacto de estos. Uno de los principales bloques de construcción de estas estrategias de defensa ante ciberataques son los sistemas detectores de intrusos (IDS). Dentro de los diferentes tipos de IDS están los IDS de red (NIDS) basados en firmas que son los más usados comercialmente. Los sistemas de detección de intrusos basados en firmas usan una base de datos de firmas de ataques conocidos y generan una alarma cuando el tráfico de la red coincide con cualquier regla. Entiéndase firmas como un conjunto de reglas que un IDS usa para detectar actividades intrusivas. Las reglas que se cargan en la base de datos del IDS son frecuentemente lo más general posible, tal que una actividad indicando una remota posibilidad de ataque dispare una alerta. Normalmente, cuando un IDS se activa con un conjunto de reglas predeterminado, se generan grandes cantidades de alertas y registros. Estos registros ocupan espacio en el disco, las consultas a la base de datos de alarmas se vuelven lentas y a parte el análisis se torna complejo debido a la gran cantidad de alarmas no relevantes. Por lo tanto, se convierte en una responsabilidad para el equipo analista de seguridad monitorear las alarmas generadas por el IDS para identificar aquellas que conducen a un ataque real del enorme número de falsas alarmas. El analista deberá utilizar su experiencia para encontrar los eventos que son de interés. En algunos casos, si se puede identificar un patrón de falsos positivos o una fuente de falsos positivos, se podrán efectuar cambios en las políticas del IDS. Uno de los grandes problemas, y que resulta ser factor decisivo para la línea de ruta marcada con este trabajo, es que derivado de la gran cantidad de falsas alarmas se hace totalmente complejo utilizar los eventos generados en tiempo real por el IDS para impulsar sistemas de respuesta automatizados, como lo sería la reconfiguración de un firewall, enrutador o cualquier otro dispositivo de red. El uso de este tipo de enfoque exigiría de un filtrado extremadamente intenso para limitar interrupciones no deseadas en la red.Como se mencionó recién, uno de los mecanismos usualmente más usados por los analistas de seguridad para limitar el número de falsos positivos consiste en sintonizar de manera inteligente las firmas de la base de datos del IDS entendiendo el ambiente que están protegiendo, es decir, la red subyacente. Una vez se limita el número de falsos positivos mediante esta sintonización, la organización debe determinar un proceso para tomar acciones en las alertas restantes basado en el riesgo que estas representan. Lo anterior involucra la determinación de indicadores de compromiso que puedan ser usados para identificar aquellas alertas que representan el mayor riesgo y abordarlas de manera oportuna. Estos indicadores de compromiso permiten determinar la importancia de una alerta mediante la asignación de un puntaje. Las técnicas de priorización de alarmas califican las alarmas con base en una post evaluación según el interés de la alarma basado en la amenaza que representen a los activos críticos de la red. En la literatura se han propuesto diversas técnicas de priorización de alarmas donde se propone la generación de un puntaje para cada alarma de acuerdo a diferentes parámetros definidos por usuario como criticidad de las aplicaciones, cantidad de interés en un tipo de ataque, severidad del ataque, importancia del activo objetivo etc. Adicional a las técnicas de priorización, las técnicas de minería de alarmas se han convertido en una herramienta principal para evaluar la calidad de las alertas y tratar con el problema de falsos positivos en sistemas de detección de intrusos [7]. Estas técnicas usan atributos como direcciones IP, número de puertos, información de protocolos y demás, para minar un conjunto de alarmas y clasificarlas como alarmas de interés o falsas alarmas. Dentro de las diferentes técnicas de minería de datos, las técnicas de clustering han mostrado reducciones de hasta el 90% de falsas alarmas. Dado que el ambiente de red es cambiante, se requiere de una estrategia que no solo sea eficiente en la reducción de las falsas alarmas y en la priorización de las alarmas de interés, sino también que persiga el carácter dinámico de la red y se adapte a estos cambios. Esta capacidad se puede conseguir buscando una combinación entre las técnicas de priorización, las técnicas de minería de alarmas y cualquier otra técnica de gestión de alarmas. Justamente las técnicas híbridas resultan de la combinación de las características de las técnicas mencionadas y esto hace que se perfilen como la solución central al problema de gestión de alarmas de IDS. Teniendo en cuenta la necesidad que existe de tener una estrategia que capture el carácter dinámico de los eventos y amenazas de seguridad en la red y permita la gestión de alarmas en tiempo real, en esta tesis se presenta una estrategia escalable a ambientes de grandes volúmenes de datos para la identificación de alarmas asociadas con amenazas reales que contribuye a la disminución de los falsos positivos sin deterioros excesivos en la precisión y exactitud, que además presenta la característica de habilitar la correlación de eventos provenientes de sensores heterogéneos a través de la incorporación de Prelude SIEM como gestor y normalizador de eventos, y que además incorpora información del contexto de la red proveniente del análisis de vulnerabilidades para tomar mejores decisiones. La estrategia usa estándares abiertos para correlacionar las alarmas del NIDS y la información proveniente del análisis de vulnerabilidades (VA).