Proyecto OWASP Logging
Marc Chisinevski
Metas de esta presentación

Aclarar los objetivos del proyecto OWASP Logging

Examinar la integración de logs y de eventos generados
por una aplicación en un sistema de seguridad.
Demonstración 1.

Discutir sobre problemas típicos de los sistemas de
seguridad y presentar una solución multidimensional.
Demonstración 2.
Metas del proyecto OWASP Logging
1) Proporcionar herramientas que ayuden a los programadores a
generar logs coherentes y completos
2) Proporcionar herramientas de análisis del código fuente para
comprobar que los logs son completos y coherentes
(contenido, formato, sellos de tiempo)
3) Integrar los eventos y logs generados por una aplicación en un
sistema de seguridad
4) Realizar análisis forense
5) Compartir información sobre eventos de seguridad
1) Proporcionar herramientas que ayuden a los
programadores a generar logs coherentes y
completos
Aprovechar funciones de los
entornos de desarrollo integrado:
-
función de autocompletar
-
plantillas de código
-
política de logs
Las plantillas proporcionadas por los entornos de desarrollo integrado pueden proveer:
verificaciones, sugestiones, valores por defecto.
Ejemplos (OWASP Enterprise Security API):
- identificador de sesión, identidad del usuario que causó el evento de seguridad, descripción del evento
- resultado del evento (éxito o fallo), severidad del evento, marca que indica si es un evento de seguridad
- nombre y IP del servidor donde el evento ha ocurrido; IP del usuario
- fecha y hora
2) Proporcionar herramientas de análisis del código
fuente para comprobar que los logs son completos
y coherentes


Herramientas de análisis del código tales como
OWASP yasca pueden fácilmente ser adaptadas
para que:
la política de logs sea respetada
los informes de logs sean coherentes y completos
(contenido, formato, sellos de tiempo)
3) Integrar los logs y los eventos generados por
una aplicación en un sistema de seguridad
OSSIM (http://www.ossim.net/)
provee plugins (añadidos) para analizar los logs de:
servidores web y de aplicaciones, cortafuegos
aplicativos, sistemas de detección y de prevención de
intrusiones
OSSIM genera y almacena eventos en su formato original.
Añadir un plugin para el análisis de logs aplicativos es simple como buscar una
expresión regular pero a condición de que los programadores hayan producido
logs completos y coherentes.
Problemas típicos de los sistemas de
seguridad actuales
Es difícil de obtener vistas agregadas pertinentes
Ejemplos:
Alarmas sobre Cliente1 en diciembre
Alarmas in Datacenter1 en enero

Es difícil calcular indicadores
Ejemplo:
La expectativa de pérdida anual por el Activo1

La expectativa de pérdida simple es la cantidad total de
ingresos que se pierde por una única incidencia del riesgo.
Problemas típicos de los sistemas de
seguridad actuales

Es difícil de comparar los resultados con los datos
históricos

Problemas de rendimiento
Demostración 1 - OSSIM
Máquina virtual preinstalada con OSSIM
Tablero de mando de OSSIM
La información obtenido cliqueando en « Today » dentro del previo tablero de
control no es de mucha utilidad para ejecutivos, con todo el respeto
Ventajas funcionales de una solución
multidimensional

Evaluaciones de riesgo y del rendimiento de las
medidas/acciones de seguridad. Agregación y
presentación para ejecutivos.

Vistas diferentes: Cliente, Activo, Centro de datos,
Tiempo

Indicadores: Expectativas de perdida, Riesgo
Ventajas funcionales de una solución
multidimensional
Niveles de agregación bien definidos:

Datos brutos: Eventos, Servidores

Datos agregados: Alarmas, Activos, Clientes, Centro
de Datos, Tiempo, Geografía
Ventajas técnicas de una solución
multidimensional

Los informes no se lanzan en el entorno de producción
del sistema de seguridad

No se necesita SQL para bajar a un nivel detallado de
la información (« drill-down » o para subir un nivel
agregado de la información (« roll-up”)

Integrar fuentes de datos dispares
Demostración 2
Solución multidimensional
Ejemplo con Essbase
Essbase outlines
(esquemas)
Essbase outlines
Datos de tests
Vista Activos
Vista Cientros de Datos
Vista Clientes
Preguntas y Respuestas
Lista de menciones

Equipo de OSSIM

Wojtek Janeczek, amigo y experto en bases de datos
multidimensionales
Gracias!
Descargar

Presentación IBWAS09