You are on page 1of 16

Predavanje broj 11

ANALIZA RIZIKA

Tematska Predavanja Rezultat – znanja ili veštine


Nedelja Čas
jedinica Lekcija ili aktivnost koje student treba da dobije
11 31 Analiza rizika SIM sistem Definicija i korišćenje SIM
sistema za menadžmet
ranjivosti u osmatranju i
analizi podataka u
realnom vremenu, istrazi
nakon incidenta i forenzici
32 Analiza rizika Integracija sigurnosnih Upoznavanje sa potrebom
podataka korelacije sigurnosnih
događaja i metodama za
pravljenje iste
33 Analiza rizika Ekspertiza nakon Objašnjavanje potrebe da
sigurnosnog događaja se informacije sačuvaju za
buduće korišćenje za
pitanja revidiranja
sigurnosne politike i
procedura ili sprovođenja
kriminalne istrage
SADRŽAJ

UVOD......................................................................................................................................................................3
SISTEM ZA MENADŽMENT BEZBEDNOSNIH INFORMACIJA (SIM)..........................................................................................3
Osmatranje u realnom vremenu........................................................................................................................3
Istraga nakon incidenta i forenzika..................................................................................................................4
Efektivna komunikacija.....................................................................................................................................4
Bezbednosno planiranje....................................................................................................................................4
INTEGRISANJE BEZBEDNOSNIH INFORMACIJA....................................................................................................................4
Dinamički bezbednosni podaci.........................................................................................................................5
Detekcija događaja u različitim zonama..........................................................................................................5
Normalizacija mrežnog saobraćaja..................................................................................................................7
Korelacija događaja.........................................................................................................................................7
Potreba za bazom znanja..................................................................................................................................8
Produkciona pravila.........................................................................................................................................8
Signatura napada..............................................................................................................................................9
Statističko prepoznavanje napada....................................................................................................................9
Zahtevi performansi........................................................................................................................................10
Obezbeđenje integriteta podataka..................................................................................................................11
Baze podataka i digitalni otisak......................................................................................................................12
EKSPERTIZA NAKON SIGURNOSNOG DOGAĐAJA I FORENZIČKA ANALIZA..............................................................................12
Identifikovanje i ublažavanje sistematskih ranjivosti.....................................................................................12
Ranjivosti protokola........................................................................................................................................13
Dvosmislena bezbednosna politika.................................................................................................................13
Nekonzistentno primenjene sigurnosne procedure.........................................................................................13
Sprovođenje kriminalne istrage......................................................................................................................14
Informacije iz normalnog rada mreže.............................................................................................................14
Izveštaji koje traže poslovni zahtevi................................................................................................................15
Efektivna komunikacija i bezbednosno planiranje.........................................................................................15

Naziv predavanja: ANALIZA RIZIKA 2/16


Predavanje br. 11

ANALIZA RIZIKA

Uvod
Proizvodi kao što su mrežne barijere, sistemi za sprečavanje napada, antivirusni programi operativni
sistemi i svi drugi elementi bezbednosne infrastrukture – kontinualno generišu niz podataka o svim
događajima. IT profesionalci pokušavaju da iz takve šume podataka izvuku informaciju o njihovom
stvarnom značenju.
Od samo jednog incidenta može biti generisano na hiljade podataka. Na stotine podataka biće
zapisano u logu mrežne barijere od samo jednog DDoS napada. IT profesionalci pokušavaju da iz
takve šume podataka izvuku informaciju o njihovom stvarnom značenju.
Naizgled odvojeni događaji zabeleženi od strane mrežne barijere, sistema za sprečavanje napada ili
antivirus programa, mogu svi ukazivati na jedinstven napad ili incident. Filtriranje tako velikog
volumena sirovih podataka, povezivanje događaja i dobijanje informacija na osnovu kojih je moguće
preduzeti konkretnu akciju, je zadatak sistema za menadžment bezbednosnih informacija (security
information management (SIM) system).

Sistem za menadžment bezbednosnih informacija (SIM)


SIM je okvir za organizaciju, analizu, skladištenje i korišćenje podataka o sigurnosnom događaju.
Zadatak koji treba obaviti je:
Osmatranje u realnom vremenu
Istraga nakon incidenta i forenzika
Efektivna komunikacija
Bezbednosno planiranje
Usaglašenost sa propisima
Koordinacija različitih bezbednosnih sistema
Za svaku od ovih namena bezbednosne informacije nisu raspoložive unutar jednog jedinstvenog
sistema. Čak i kada su raspoložive unutar datog sistema, nisu raspožive za druge bezbednosne
sisteme iz razloga sigurnosti.

Osmatranje u realnom vremenu


Osmatranje u realnom vremenu jeste sposobnost da bezbednosni događaji identifikuju onoga
momenta kada se dese, proceni se pretnja za organizaciju i da podrška odgovarajućoj kontrameri.
Kada zloćudni softver koji se brzo širi (kao naprimer crv SQL Slamer) napadne mrežu, alarm se
podiže, log se puni sa detaljnim podacima, i alati kao što su antivirusni programi reaguju. Prvi korak
koji treba da naprave IT profesionalci u tom momentu jeste da u mnoštvu raspoloživih informacija
pronađu one koje će im pomoći da brzo procene mogući uticaj pretnje i da identifikuju resurse od
najvećeg prioriteta koji moraju biti zaštićeni.
SIM pomaže u ovom procesu da se podaci organizuju prema logičkoj pripadnosti pojedinim
događajima i da se redukuje poplava informacija. On takođe može pomoći da se odredi prioritet
odgovora dajući sledeće informacije:

Naziv predavanja: ANALIZA RIZIKA 3/16


• Da li neki od alarma dolaze sa mašina koje su već patch-ovane za datu pretnju (što znači da
daju lažnu indikaciju napada)?
• Koji su sistemi među ranjivima od najvećeg značaja?
SIM može takođe integrisati informacije o ranjivostima što je od suštinskog značaja za razumevanje
potencijalnog uticaja pretnje.

Istraga nakon incidenta i forenzika


Isti podaci koji se koriste u osmatranju u realnom vremenu, takođe su potrebni i nakon napada. Istraga
nakon incidenta i forenzika zavisne su od podataka iz audita ili drugih izvora, koji su potrebni da bi se:
analizirala detaljna priroda napada i da se prikupljaju podaci za legalno gonjenje prekršioca.
Nasuprot osmatranju u realnom vremenu čiji je cilj da se zaustavi napad čim se pojavi, forenzička
analiza nakon incidenta može kontrolisano da se odvija vodeći računa o sledećem:
• Da sačuvani podaci nakon incidenta sadrže sve bitne događaje
• Da se sačuva integritet (spreči fasifikovanje) audit podataka
• Da se napravi korelacija podataka iz različitih sistema kako bi se razumela prava priroda
napada
Forenzičke informacije mogu da se koriste za privatne ili kriminalne procedure. U ovom drugom
slučaju moraju biti zadovoljeni i legalni standardi za obezbeđenje evidencije o incidentu.

Efektivna komunikacija
Bezbednosni menadžment zavisi od angažovanja i bliske saradnje kako tehničkih tako i poslovnih
profesionalaca. Svaki od njih treba da razume prirodu pretnje i njen potencijalni uticaj na organizaciju
koji se tiču njihove uloge i delovanja. U ekstremnim slučajevima može doći do situacije da tehnički
direktor treba da odluči da zatvori ključne IT servise. Zato su SIM sistemi potrebni da obezbede
integralnu sliku događaja, da bi oni koji donose odluke mogli brzo da odgovore kako iz tehničke tako i
iz poslovne perspektive.
SIM podržava takođe i dugoročnu komunikaciju. Svi zaposleni, od onih koji unose podatke do izvršnih
direktora moraju biti upoznati sa osnovnom bezbednosnom politikom i procedurama. Kada su na
odgovarajući način prezentirane, informacije koje obezbeđuju SIM sistemi mogu pomoći korisnicima
da razumeju brzinu sa kojom se neka pretnja širi, njen potencijalni uticaj i na koji način joj se može
suprostaviti.

Bezbednosno planiranje
Organizacije definišu uloge i odgovornosti, protokole za reakciju i procedure oporavka od sigurnosnih
incidenata. Funkcionalnost SIM-a u okviru korporacije kreće se u okviru ovih odgovornosti, protokola i
procedura. Alarmi i izveštaji moraju biti poslati na odgovarajuća mesta, drugi tip izveštaja obezbeđuje
integrisanje povezanih mrežnih informacija koje su neophodne da da se odgovori na napad a zapis
audita i forenzički izveštaj tačno specificiraju resurse koji su napadnuti.
Za razliki od drugih bezbednosnih sistema koji podržavaju preventivne mere SIM se fokusira na
upravljanje bezbednosnim rizikom tako da se zaštiti poslovanje i cilj mu je neutralizacija napada –
suprostavljanje napadu kada se desi i sakupljanje odgovarajućih informacija za kasniju podršku
analize događaja. Ove naknadne analize omogućavaju organizaciji da unapredi svoje bezbednosno
stanje.

Integrisanje bezbednosnih informacija


Kao i drugi poslovni sistemi SIM sistem dobija srove informacije od drugih aplikacija. Kao što slika
prikazuje SIM sabira podatke od velikog broja sistema različitih tipova kao što su:

Naziv predavanja: ANALIZA RIZIKA 4/16


• Servisi za ocenu ranjivosti i evidentiranje resursa (Asset and Vulnerability Management
Services)
• Aplikacioni server
• Sistem za prevenciju napada (Intrusion Prevention Sistem)
• File server i antivirusni softver
• Mrežni server
• Servisi za autorizaciju i autentikaciju
• Mrežna barijera

Dinamički bezbednosni podaci


Dinamički podaci se sakupljaju sa bezbednosnih sistema kao što je sprečavanje napada, filtriranje
sadržaja i antivirus servisi. Ovaj tip podataka se tipično dobija u realnom vremenu za vreme dok se
paketi podataka prenose kroz mrežu ili program izvršava na serveru.
Operativni sistemi, mrežne barijere i aplikacije zapisuju u log datotekama podatke o specifičnim
događajima. Naprimer, mrežna barijera može beležiti podatke o odbijenim paketima (zapisivanje
prihvaćenih paketa davalo bi previše podataka), servisi za autentikaciju i autorizaciju beleže podatke o
kontroli pristupa, a aplikacioni log sadrži podatke o izvršavanju programa.

Detekcija događaja u različitim zonama


Sensori su uređaji koji se postavljaju širom mreže da posmatraju mrežni saobraćaj i identifikuju
sumnjive događaje. Na slici je prikazana pojednostavljena šema postavljanja senzora u različitim
zonama mreže. Ovi senzori mogu biti u različitim vremenskim zonama tako da je od sištinskog
značaja da SIM sistemi čuvaju vremensku oznaku senzora (time stamp) i da označavaju vreme na
standardan način.

Naziv predavanja: ANALIZA RIZIKA 5/16


Sensor 1 izvan spoljašnje mrežne barijere osmatra perimetar mreže. Ovaj senzor ima pristup celom
saobraćaju pre nego što se on filtrira firewall-om, tako da taj senzor može detektovati sva isprobavanja
i testiranja hakera upućena mreži pre nego što se primene bezbednosne mere.
Senzor 2 se nalazi u demilitarizovanoj zoni (DMZ) odnosno zoni između unutrašnjeg i spoljašnjeg
firewall-a. DMZ se koristi za aplikacione servere kojima se može pristupati sa Interneta, kao što su
Web serveri. Senzori u DMZ zoni mogu uhvatiti pretnje upućene ovim serverima. Kombinovano sa
senzorom na perimetru ovi podaci mogu poslužiti za procenu efikasnosti firewall-a u blokiranju
pretećeg saobraćaja.
Sensor 3 je unutar interne mreže i posmatra saobraćaj koji se obavlja u sigurnom deli mreže. U
idealnom slučaju u ovoj zoni ne bi smelo da bude pretećeg saobraćaja; u stvarnosti ranjivosti postoje u
bilo kojoj tački mreže. Efektivno kontrolisanje ranjivosti i patch-ovanje kritičnih servera i aplikacija
može redukovati verovatnoću proboja u internu zonu.
Rangiranje servera u skladu sa vrednostima resursa može pomoći da se fokusira odgovor na
maliciozne aktivnosti. Mada će inicijalni naglasak biti na zaštiti resursa visokog prioriteta, manje kritični
serveri mogu biti kompromitovani i korišćeni kao polazna osnova za lansiranje sledećeg napada. U
takvim slučajevima, korelacija između svakodnevnih i tekućih događanja na mreži može otkriti
neuobičajenu i sumnjivu mrežnu komunikaciju. Same po sebi, ove informacije ne bi bile dovoljne da se
oceni uticaj aktivne pretnje – neophodne su takođe i informacije o infrastrukturi organizacije.

Informacije o infrastrukturi organizacije


Informacije o infrastrukturi organizacije opisuju IT infrastrukturu. One uključuju resurs, patch i
informacije o autorizaciji. Kombinacija dinamičkih i organizacionih informacija obezbeđuje
informacionu osnovu o aktivnim pretnjama, nivou ranjivosti na resursima i relativni značaj različitih
resursa. SIM sistemi se susreću sa nekoliko prepreka u integraciji ovih izvora podataka.
Ključni izazovi integracije podataka su:
• Normalizacija mrežnog saobraćaja
• Korelacija događaja
• Obezbeženje zahteva performanse
• Osiguranje integriteta podataka
• Dobitijanje korisnih poslovnih informacija iz sirovih podataka

Naziv predavanja: ANALIZA RIZIKA 6/16


Normalizacija mrežnog saobraćaja
Dovoljno sofisticirani napadači mogu izbeći detekciju od strane mrežnog sistema za detekciju i
sprečavanje napada zahvaljujući raznovrsnosti i složenosti mrežnih protokola. Prečišćavanje mrežnih
paketa radi filtriranja ili korekcija problematičnih paketa se zove normalizacija. Potreba za
normalizacijom podataka je rezultat ograničenih mogućnosti sistema za osmatranje mreže.
Fragmentirani IP paketi se resekvenciraju kada dostignu ciljni sistem, ali sistemi za osmatranje mreže
mogu ispustiti iz vida fragmentaciju i ne detektovati anomalije u mrežnom saobraćaju.
Mrežni monitor ne može uvek odrediti koji su paketi stigli do ciljnog sistema. Naprimer, paketi sa
malim vremenom života, (TTL – time to live), odnosno dozvoljenim brojem servera kroz koje paket
može proći dok ne dostigne destinaciju, mogu nikada ne stići do ciljnog uređaja. Napadači koristeći
ovu činjenicu, mogu poslati niz paketa prema ciljnom uređaju, a u stvari će samo deo njih dospeti do
ciljnog uređaja. Tako napad može ostati sakriven u naizgled uobičajenom nizu paketa. Detekcija
anomalija u saobraćaja mreže zahteva kontekstualno znanje koje nije raspoloživo samo jednom
mrežnom monitoru.
Prečišćavanje mrežnih podataka može unaprediti mogućnosti analize SIM sistema. Čistiji podaci daju
bolje rezultate. Međutim, ovaj proces košta, između ostalog i zbog umanjenja performanse mreže a i
potencijalne izmene semantike podataka.
Postoji pored toga i određena šansa da i sam normalizator bude cilj napada, mada su šanse za to
male jer je cena proboja normalizatora velika u odnosu na korist koju bi hacker dobio. Da bi se to
uradilo potrebno je:
Znanje u kojoj se tački beleže podaci
Poznavanje kako SIM koristi podatke
Razumevanje kako eksploatisati oba ova elementa jedan za drugim

Korelacija događaja
Kada su sirovi podaci sa različitih bezbednosnih uređaja raspoloživi za zajedničku analizu, sledeći
korak je identifikacija međusobne zavisnosti tih podataka. Neke od tipičnih relacija za upoređivanje su:
• Vreme događanja
• Uzročnost
• Ekvivalencija
• Uzrok pojave događaja
Vremenski odnos je na više načina najlakše utvrditi; prati se vremenska oznaka paketa (time stamp)
uporedo sa ostalim podacima sistema kroz koje prolaze. Jedan problem koji može zakomplikovati
stvari jeste sinhronizacija vremena na različitim serverima.
Za većinu IT procesa mala razlika kod praćenja vremena nema materijalnog efekta na operacije. Kod
SIM-a je drugačije. Crvi i virusi mogu da se šire brzo i posedovanje preciznih i tačnih vremenskih
oznaka kada se pojavljuju na određenim serverima je od suštinskog značaja za razumevanje njihovog
širenja. Naprimer, pretpostavomo da je crv inficirao servere A i da se proširio na servere B i C . Ako su
vremenske oznake alarma 12:00:01.01, 12:03.02.01, i 12:00.01.80, respektivno, može se zaključiti da
je napad počeo sa servera A, proširio se potom na server C a zatim na server B.
Problem sa sinhronizacijom vremena će biti do određenog stepena izbegnut kada se posmatraju veće
grupe podataka. Objedinjavanje većeg broja podataka, naprimer 1000 individualnih skeniranja porta, u
jedan događaj u određenom periodu vremena, redukuje potrebu za preciznom vremenskom oznakom.
Skeniranje može da indicira fazu prepoznavanja resursa u mreži. Ako se nakon tog skeniranja pojavio
pokušaj prepoznavanja operativnog sistema to je još jedna evidencija da je po sredi napad koji sledi
tipičnu sekvencu događaja, bez obzira na njihove egzatne vremenske oznake.
Sekvencijalne međuzavisnosti događaja su korisne u definisanju pravila za identifikaciju uzorka
napada. Naprimer, baza znanja SIM sistema može imati pravilo u smislu: Ako nakon skeniranja
portova servera dolazi fingerprint operacija, tada podići alarm sa porukom da je u toku napad u fazi
prepoznavanja.

Naziv predavanja: ANALIZA RIZIKA 7/16


Jedna jedina kombinovana pretnja (blended threat) može uzrokovati različiti broj događaja u
nepredvidivom redosledu (videti sliku).
• Zloćudni softver pokušava da presnimi podatke ili instrukcije sa poznatog malicioznog sajta i
biva zaustavljen sa softverom za filtriranje sadržaja (content filtering)
• IDS prepoznaje signaturu zloćudnog softvera i beleži je u logu
• Antivirus softver detektuje prisustvo crva u email-u
• Firewall beleži pokušaj za korišćenje nekog od Internet Relay Chat (IRC) portova (6665-6669)
• Windows Server beleži promenu u setovanju registara
Korelacija ovih događaja zahteva da SIM sistem ima bazu podatak koja opisuje pretnje i uzorke
događaja. Ovakva baza je potrebna i kod još jednog izazova integracije podataka – ekvivalencije
događaja.

Potreba za bazom znanja


Okupljanje bezbednosnih podataka u logično povezane grupe događaja zahteva posedovanje
informacija izvan onih koje su raspoložive u mrežnom saobraćaju i bezbednosnom logu. SIM baza
bodataka uključuje informacije u uzorcima napada, u kakvoj su vezi alarmi jedan sa drugim, i
heuristiku za interpretiranje događaja.
Relacije između alarma i heuristike za interpretiranje događaja su obično opisane pomoću if/then
pravila, poznatih kao produkciona pravila. Uzorak napada je definisan i sa statističkim uzorkom i sa
produkcionim pravilima.

Produkciona pravila
Produkciona pravila su u osnovi if/then klauzule koje opisuju skup uslova ili događaja i skup uslova ili
stanja koja slede prethodne uslove ili događaje. Na sledećem primeru je pokazano kako izgleda
produkciono pravilo za detekciju FTP (file transfer protokol) napada:
FTP Delete Rule:
If there is an ftpevent AND
The ftp user is ‘anonymous’ AND
The ftp command is ‘DELETE’ AND
The ftp reply is ‘success’
Then
Issue an alert—ftp attack
Postoji nekoliko prednosti kod korišćenja produkcionih pravila u bazi znanja.

Naziv predavanja: ANALIZA RIZIKA 8/16


Prvo produkciona pravila su korisna u donošenju zaključaka i na taj način spajanja podataka. U
prethodnom FTP primeru kombinacija nekoliko programskih stanja i događaja je redukovana na jedan
događaj: FTP napad.
Drugo, produkciona pravila mogu aktivirati odgovore na anomalije u događajima kao što je zatvaranje
mrežne sesije ili blokiranje porta. Pored toga nova produkciona pravila mogu biti dodata u bazu znanja
bez potrebe da se menjaju prethodna pravila. Najzad, produkciona pravila mogu opisati činjenice koje
su nezavisne od mrežnih aktivnosti kao što je “tftp is a udp service” (Trivial File Transfer Protocol, is a
User Datagram Protocol (UDP) service). Ove činjenice su korisne za pisanje pravila i mogu se
primeniti na grupu servisa ili događaja, naprimer sve UDP servise, bez potrebe da se kreiraju
individualna pravila za svakog člana grupe.
Postoji nekoliko nedostataka u korišćenju produkcionih pravila:
• Produkciona pravila, originalno razvijena za korišćenje u veštačkoj inteligenciji su suviše spora
za osmatranje mrežnog saobraćaja u realnom vremenu.
• Veliki je izazov identifikovati sva produkciona pravila koja su neophodna u tako širokoj oblasti
kao što je bezbednost podataka.
• Moguće je postojanje različitih pravila za isti skup događaja i algoritmi za razrešenje konflikta
moraju da izaberu koje pravilo treba primeniti. Kod razvoja i kreiranja produkcionih pravila
mora se imati u vidu algoritam za razrešenje konflikta.
• Produkciona pravila i slične šeme mogu opisati komplikovane kombinacije i uslove. Međutim,
u izvesnim uslovima to isto je jednostavnije uraditi metodom prostog prepoznavanja uzorka.

Signatura napada
Signature su uzorci koji opisuju pakete u nizu podataka neke sesije. Sigurnosni događaj se dešava
kada se neka sekvenca paketa podudari sa uzorkom. Ovaj metod je popularan u sistemima za
detekciju i sistemima za sprečavanje napada. Prednosti ovog metoda prepoznavanja napada su
sledeće:
• Brzina
• Mali broj lažnih alarma (ukoliko su pravila dovoljno detaljna)
• Fleksibilnost – nova pravila mogu biti dodata kada se nove pretnje otkriju
• Glavni nedostatak detekcije napada pomoću prepoznavanja signature je u tome što se
detekcija ograničava na poznate napade i nije ga moguće automatski primeniti na nove
pretnje. Metod statističke analize podataka može prevazići neke od nedostataka koje ima
metod prepoznavanja signature.

Statističko prepoznavanje napada


Slično pristupu prepoznavanja uzoraka napada, statističko prepoznavanje uzoraka napada je
zasnovano na ispitivanju niza podataka mrežnog saobraćaja i traženju anomalija u paketima.
Nasuprot prepoznavanju uzoraka, statistiko prepoznavanje napada je bazirano na ispitivanju mrežnog
saobraćaja ali nije programirano da traži fiksni uzorak nego da prikuplja informacije o normalnom
korišćenju.
Analizom dovoljno velike količine uzoraka ovakve metode mogu izvesti statističke zaključke koji
pokazuju koji su uzorci saobraćaja prihvatljivi.
Anomalije u saobraćaju se detektuju kada se uzorci saobraćaja značajno razlikuju od “normalnih”
statističkih mera (tipična, standardna devijacija). Naprimer, ako je broj detektovanih SYN paketa veći
od uobičajenog, moguće da je u pitanju DoS napad. Prosti uzorci napada mogu biti opisani i
produkcionim pravilima ili signaturom napada, ali kod statističkog sistema prepoznavanja uzoraka oni
ne moraju biti eksplicitno definisani. Ključna prednost ovakvog pristupa jeste da novi tipovi napada
mogu biti detektovani bez potrebe da se dodaju nova pravila ili signatrure.
Pošto je ovaj pristup baziran na opisu “normalnog” uzorka saobraćaja, on funkcioniše najbolje kada je
opseg koji se smatra normalnim razumne veličine. Naprimer, ako SIM sistem zavisi od samo jednog
statističkog uzorka da bi identifikovao saobraćaj unutar cele korporacije, onda bi bilo teško
identifikovati abnormalan saobraćaj. Posmatrajmo tipično mrežno okruženje:

Naziv predavanja: ANALIZA RIZIKA 9/16


• Uzorci i aktivnost variraju od segmenta do segmenta mreže – Internet, DMZ, i različiti
segmenti mreže imaju različite uzorke saobraćaja
• Uzorci takođe variraju u zavisnosti od protokola (IP, IPX, AppleTalk, itd.) i od korišćenog
servisa
• Desktop klijenti imaju potpuno različit uzorak, sa povremenim saobraćajem do mrežnih
servera, mail servera i drugih resursa
Statističko prepoznavanje uzoraka zahteva određeni stepens specijalizacije da bi bilo efektivno. SIM
sistemi kojima je moguće kao parametar dati tip resursa mreže, naprimer server ili klijent, mogu
preciznije odrediti šta je normalan saobraćaj i prema tome biti bolji u prosuđivanju šta su neuobičajeni
događaji (videti sliku).

Pravljenje korelacije događaja zahteva informacije o saobraćaju iz cele mreže. Senzori, serveri i
klijenti obezbeđuju sirove podatke koji moraju biti normalizovani da bi se napravila korelacija. Baze
znanja tada interpretiraju dobijene informacije da bi se odredilo da li ima potrebe za bezbednosnim
alarmom. Nijedan od opisanih metoda odlučivanja, produkciona pravila, signatura napada, ili statistički
uzorci, ne mogu samostalno dati tačan i sveobuhvatan zaključak u svim slučajevima. Kombinacija svih
ovih tehnika pruža priliku da se svaka od njih pojedinačno ojača. SIM sistem, pored tačne identifikacije
pretnji, mora obraditi i velike količine informacija veoma brzo.

Zahtevi performansi
Za vreme napada napadnuti sistemi će generisati veliki broj alarma. Korelacija ovih alarma je, kao što
smo videli, komplikovani proces koji se sastoj od razvoja produkcionih pravila, planiranja i efektivnog
korišćenja statističke analize, upoređivanja signatura napada i normalizacije sirovih podataka.
Korelacija u bazi nasuprot korelaciji u memoriji
SIM sistemi koriste nekoliko karakteristika koje im obezbeđuju baze podataka:
• Pouzdano, trajno skladištenje informacija baze znanja
• Robustan jezik za upite iz baze i izveštaje
• Konzistentan pregled podataka od strane jednog korisnika dok drugi u isto vreme ažurira
podatke
Glavni nedostatak korelacije podataka u bazi je brzina. Baze podataka su projektovane sa ciljem da se
dobije velika raspooživost podataka i pouzdanost skladištenja. U mnogim aplikacijama ove
karakteristike su važnije od proste brzine izvršavanja transakcija. Sim sistemi imaju potrebe za
ovakvim karakteristikama baza podataka ali se u nečemu i razlikuju od drugih, tipičnih aplikacionih

Naziv predavanja: ANALIZA RIZIKA 10/16


rešenja. (U slučaju forenzičke analize, pouzdanost je od vitalnog značaja u tu baze podataka imaju
ključnu ulogu. Sledeća diskusija će biti, međutim, prvenstveno fokusirana na ulogu baza u korelaciji
podataka u realnom vremenu).
Korelacija u bazi
Da bi bil zadovoljeni zahtevi forenzike projektanti baza podataka su razvili tehnike koje omogućavaju
bazama da se oporave u slučaju neuspele transakcije i da ponovo odrade promene koje su bile
napravljene. Naprimer, ako korisnik banke želi da prenese izvesnu svotu novca sa jednog svog računa
na drugi i desi se da nakon skidanja novca sa prvog računa a pre nego se novac prebaci na drugi,
server baze ispadne iz rada, korisnik bi mogao izgubiti novac. Međutim, baze podataka po pravilu
čuvaju u logu ekstra informacije o svim obavljenim transakcijama koje im omogućavaju da nakon
oporavka servera odrade iznova celokupnu prethodno ne završenu transakciju. Mada je postojanje
ovakvih logova od suštinke potrebe u većini poslovnih transakcija, oni, kao i ostali servisi koje baze
pružaju imaju značajnog uticaja na performanse.
Korelacija podataka u realnom vremenu se po pravilu radi u memoriji. Pristupanje i ažuriranje
podataka u RAM memoriji je za red veličine brže nego ekvivalentne operacije na disku. Pored toga
korelacija u memoriji ne zahteva pristupe disku radi čitanja ideksa, pravljenja logova ili drugih
sistemskih datoteka. Ali, kada je u pitanju statistička analiza nakon nekog događaja, ona po pravilu
zahteva intezivan rad sa bazom.

Korelacija u memoriji
Ključna prednost korelacije u memoriji, brzina, zbog nepostojanja dupliranja oprecija u logu, jeste u
isto vreme i njen najveći nedostatak. Ako SIM server ispadne iz rada zbog bilo kog razloga, sadržaj
memorije biće izgubljen. Nakon toga, sirovi podaci koji su bili prikupljeni od bezbednosnih sistema
moraju ponovo biti prikupljani, normalizovani i ceo proces mora da se startuje iz početka.
Ipak u većini slučajeva potreba za analizom u realnom vremenu nadvladava rizik gubljenja
korelacionih podataka. Kada se korelacija završi i budu dobijeni rezultati, potreba za čuvanjem
informacija postaje više naglašena.

Obezbeđenje integriteta podataka


Prva tri koraka integracije podataka o kojima je bilo reč na prethodnom času – normalizacija podataka,
korelacija podataka i zadovoljavanje performansi – moraju biti ispunjena u realnom vremenu. Zadnji
korak se odnosi na potrebu da se informacije sačuvaju za buduće korišćenje. Postoji više razloga za
čuvanje podataka o sigurnosnim događajima, čak i ako je problem uspešno rešen, među kojima su:
• Pravljenje audita radi usklađenosti sa propisima
• Izvođenje istrage nakon incidenta i forenzika
• Revidiranje sigurnosne politike i procedura
• Sprovođenje kriminalne istrage
• Obuke i edjukacije

Naziv predavanja: ANALIZA RIZIKA 11/16


Čuvanje integriteta podataka iziskuje:
• Skladištenje kompletnih informacija o napadu, uključujući sirove podatke, normalizovane
podatke, podatke nakon izvršene korelacije i izvedene zaključke.
• Obezbeđenje da podaci nisu krivotvoreni nakon događaja

Baze podataka i digitalni otisak


Baze podataka kombinovane sa digitalnim otiskom zadovoljavaju ove zahteve za čuvanje integriteta
podataka. Međutim kada se koriste tehnike prikupljanja podataka pa potom izvrši njihova redukcija
neki podaci se izgube. Karakteristike sirovih podataka nisu iste kao onih u redukovanoj formi.
Kao što je ranije navedeno baze podataka su projektovane tako da imaju pouzdan smeštaj za veliki
volumen podataka i onemogućavaju logički nekonzistentne promene na podacima. One takođe imaju i
robustan jezik za vršenje upita u bazu, filtriranje i skladištenje podataka.

Otisak poruke, o čemu je detaljno govoreno na prethodnim predavanjima, se koristi da osigura


integritet podataka.
Funkcija koja računa digitalni otisak poruke je projektovana da za svaku različitu poruku daje različiti
otisak. Naprimer, ako imamo dve vremenske oznake paketa njihovi otisci su:
Timestamp: 12:00:00 i Message Digest: BE538A2EB38C182CDEE14975807CA554
Timestamp: 12:00:01 i Message Digest: DB9A4A8AA210B2024C19D3A923113EE6
Naravno, digitalni otisak takođe mora da se čuva na siguran način da bi se onemogućio neko ko
prepravi podatke prepravi i otisak. Računanje ovih funkcija je u kompjutacionom smislu intezivno i
utiče na performanse sistema. Sa pouzdanim dugoročnim skladištenjem u bazi, i metodom zaštite
integriteta, SIM sistemi su sposobni da udovolje zahtevima istrage nakon incidenta i fornzičke analize.

Ekspertiza nakon sigurnosnog događaja i forenzička analiza


O forenzici su već dati osnovni pojmovu u uvodnim predavanjima. Sada će biti dato još detajla u
kontekstu menadžmenta rizika.
Forenzika je proces prikupljanja i analize podataka o sigurnosnom događaju nakon što se proboj
dogodi. Po svojoj prirodi forenzička analiza je fokusirana na traženje tragova o informacijama koje su
ostale raspoložive nakon napada. Ove informacije se koriste za nekoliko različitih namena:
• Identifikovanje i ublaživanje sistematskih ranjivosti
• Otkrivanje uzoraka i drugih značajnih podataka koji nisu vidljivi iz posmatranog
komunikacionog niza
• Sprovođenje kriminalne istrage
• Analize trendova i uzoraka u bezbednosnim pretnjama
Ove namene imaju i međusobno različite zahteve a imaju i neke koji se preklapaju.

Identifikovanje i ublažavanje sistematskih ranjivosti


Sistematske ranjivosti su one koje postoje na više različitih mesta u mreži. To može biti:
Ne patch-ovani softver

Naziv predavanja: ANALIZA RIZIKA 12/16


Ranjivosti protokola
Dvosmislena ili nekonzistentna bezbednosna politika
Nekonzistentno primenjene sigurnosne procedure.
Identifikovanje ne patch-ovanih sistema
Prethodno predavanje dalo je detaljan opis metodologije primene patch-a kao dela menadžmenta
ranjivosti. Analiza nakon sigurnosnog incidenta može da pomogne da se identifikuje ranjivost koja je
eksploatisana napadom i odredi odgovarajući nivo i vrsta patch-a koja se zahteva za kontrolu te
ranjivosti. Ona takođe pomaže da se gradira proces patch-ovanja i proces menadžmenta ranjivosti
kao i da se sugeriraju koraci da se ovi procesi u budućnosti unaprede.

Ranjivosti protokola
Ranjivosti protokola su obično one koje su ugrađene u procesu projektovanja protokola. TCP protokol,
naprimer, oslanja se na sekvence rukovanja (eng handshake sequences) da ustanovi i potvrdi
komunikacionu sesiju između dva čvora mreže. Ovaj protokol se eksploatiše u DoS napadima tako što
se žrtva zasipa poplavom SYN – sinhronizacionih- paketa. Žrtva koja želi da završi protokol rukovanja
odgovara ne bezbroj lažnih SYN paketa i na taj način praktično sebe onemogućava za bilo koji drugi
servis, zbog ograničenja u resursima.
Drugi primer je protokol za email - Simple Mail Transport Protocol (SMTP). Ovaj protokol ne vrši
autentikaciju pošiljaoca tako da napadač može da popuni podatke sa lažnom adresom pošiljaoca. Ova
ranjivost neće izazvati probleme kod neke posebne implementacije SMTP protokola, već kod
protokola samog. Analiza nakon bezbednosnog incidenta može pomoći da se identifikuju ranjivosti
protokola koje pre nisu bile poznate. Analizom detalja napada bezbednosni profesionalci mogu steći
detaljnije znanje o slabostima koje su vezane za mrežne protokole.
Razumevanje ranjivosti protokola je samo jedan primer šta se može saznati analizom napada i
hakerskog ponašanja. Obećavajuću oblast u ovoj oblasti je poznata pod imenom “honey pot”
istraživanje. Honey pots, kao slatku zamku, predstavljaju serveri postavljeni isključivo sa ciljem da
navuku na sebe hakere da bi se otkrili njihovi metodi napada i međusobne komunikacije između
hakerskih grupa.
Za više informacija o ovo temi pogledati web site na http://www.honeynet.org/.

Dvosmislena bezbednosna politika


Informacije sačuvane za forenzičku analizu mogu takođe baciti svetlo i na dvosmislenu, nejasnu ili
nekompletnu bezbednosnu politiku. Naprimer, bezbednosna politika za kontrolu pristupa može
zahtevati da se korisnički identifikacioni broj (user ID) opoziva onog dana kada korisniku prestane
zaposlenje u kompaniji.
Da li ista politika važi i za one koji rade po ugovoru? Šta je sa onima koji su završili jedan projekat i
očekuje se da se vrate kroz nekoliko meseci da rade drugu fazu?
Hakeri mogu doći do identifikacionih informacija osoba koje rade po ugovoru koristeći tehnike
socijalnog inžinjeringa. Da li takav korisnički nalog treba biti opozvan? Da sa stanovišta bezbednosti
ali ne i sa stanovišta bezbednosne politike.

Nekonzistentno primenjene sigurnosne procedure


Bez korišćenja automatskih alata je lako upasti u probleme koji se javljaju usled nekonzistentno
primenjenih sigurnosnih procedura. Čak i ako je bezbednosna politika dobro definisana, jasna i
pregledna, IT zaposleni možda neće biti u mogućnosti da obrati pažnju na sve sigurnosne procedure.
Razmotrimo, naprimer situaciju u kojoj vendor operativnog sistema objavi sigurnosnu zakrpu (patch)
za svoje široko primenjivane operativne sisteme. Kritični, produkcioni serveri će možda biti patch-ovani
odmah a drugi planirani za vreme rutinskog održavanja. Lako je zamisliti situaciju da jedan ili dva

Naziv predavanja: ANALIZA RIZIKA 13/16


servera budu kasnije zaboravljena i ostanu ne ažurirana sa sigurnosnim patch-om. Ovi serveri, posle
toga mogu poslužiti napadaču kao odskočna tačka za upad u mrežu i napad na kritične servere.
Postoji takođe problem zbog priključenja neodobrenih uređaja na mrežu da bi se rešio trenutni
problem. Naprimer, instalacija nepatch-ovanih servera baze radi testiranja i u razvojnog koncepta, a
da se ne bi uznemiravali administratori baze. Isto tako je česta pojava da se izvrši privremena
instalacija mrežnog pristupa za bežične uređaje dok tim radi u sali za sastanke. Analiza nakon
incidenta može pomoći da se identifikuju ovakvi propusti u procedurama i da se edjukuju oni koji nisu
uvek svesni značaja pridržavanja sigurnosnih mera.

Sprovođenje kriminalne istrage


Radi usaglašenosti sa propisima, radi zaštite privatnosti od neovlašćenog otkrivanja, ili kada se
prekršaj sigurnosti prijavi pravosudnim organima, postoji potreba da se sačuva evidencija o događaju,
odnosno dokazi. Sledeći bezbednosni događaji mogu, između ostalih, zahtevati kriminalnu istragu:
• Uništenje podataka
• Krađa ili objavljivanje privatnih podataka
• Prevara
• Krađa identiteta
Ova istraga zavisi od digitalnih dokaza prikupljenih na individualnim mašinama - host bazirana
forenzika, ili sa mrežnog saobraćaja – mrežno bazirana forenzika. Digitalni dokazi uključuju sistemski
log, email, log poruka, oporavljene datoteke, i mrežnu analizu.
Kod host bazirane forenzike bezbednosni specijalisti čuvaju podatke o bezbednosnom incidentu tako
što ih dupliciraju ili kreiraju imidž diska, oporavljaju pobrisane datoteke, dekriptuju kriptovane fajlove, ili
dolaze do podataka korišćenjem njihovih lokacija privremenog skladištenja. U slučaju mrežne
forenzike od suštinskog je značaja čuvanje niza podataka mrežnog saobraćaja koji može pomoći
specijalistima da ponovo simuliraju napad. Analitičari treba takođe da izvrše korelaciju događaja u
mreži, i dopune sirove podatke sa dodatnim informacijama kao što je:
• Dodavanje napomena istrage
• Dokumentovanje procedura osmatranja saobraćaja i izveštavanja
• Isticanje ključnih podataka kao što su sesije između servera i korišćenje portova
U idealnim slučaju jedan SIM sistem podržava čuvanje, zaštitu i analizu forenzičkih podataka svih
tipova, u zavisnosti od izvora tih podataka.
Za više podataka o kriminalnoj forenzici videti sajt: International Organization on Criminal Evidence na:
http://www.ioce.org/.
Analiza trendova i uzoraka. SIM sistemi mogu ponekad i da čuvaju velike količine podataka i da
kasnije analiziraju sirove podatke. Umesto da prepuste probleme specijalistima koji bi bili preplavljeni
količinom podataka, SIM sistemi mogu analizirati trendove i uzorke saobraćaja u okviru određenih
intervala vremena.

Informacije iz normalnog rada mreže


Informacije prikupljene iz normalnog rada mreže mogu predstavljati osnovu za buduća upoređivanja u
pogledu ključnih indikatora kao što su:
Broj i procenat SYN paketa po serveru
Broj i procenat odbijenih paketa na mrežnoj barijeri
Broj i učestalost skeniranja portova po serveru
Broj i odnos uspešnih ili neuspešnih pokušaja pristupa po danu, času ili tipu (fizički pristup, pristup
hostu ili mreži)
Broj i srazmera virusa detektovanih u email-u na perimetru mreže i na hostovima

Naziv predavanja: ANALIZA RIZIKA 14/16


Broj i odnos WEB stranica (ili bilo kog drugog servisa kao što su SMTP, POP, Telenet) blokiranih sa
sistemom za filtriranje sadržaja po URL ili IP adresi izvora ili odredišta poruke.
Poznavanje statistike i standardnih devijacija značajnih indikatora, može pomoći u određivanju gde
treba angažovati resurse. Naprimer, povećani broj skeniranja portova opravdava promenu
konfiguracije mrežne barijere. Ili, ako sistemi za filtriranje saobraćaja detektuju nedozvoljeni saobraćaj
putem HTTP protokola, to može opravdati potrebu za promenu pravila za sprečavanje napada. Pored
toga na ovaj način, sigurnosne mere koje se detektuju na nižem nivou mogu biti i osnova za pravljenje
izveštaja na osnovu kojih se donose krupne poslovne odluke.

Izveštaji koje traže poslovni zahtevi


Bezbednosni izveštaji moraju biti bazirani na relevantnim poslovnim zahtevima. Krupne poslovne
odluke se mogu donositi na osnovu različitih tipova izveštaja koji se, zavisno od vrste organizacije,
mogu zasnivati na sledećim podacima:
• Obezbeđenju privatnosti korisnika
• Obezbeđenju integriteta finansijskih sistema i transakcija
• Zaštiti od otkrivanja informacija koje su vlasništvo organizacije
• Usaglašenosti sa standardima
• Sprovođenju bezbednosne politike i procedura

Efektivna komunikacija i bezbednosno planiranje


U praksi, SIM izveštaje koriste izvršni direktori, zaposleni u personalnim službama, auditori i drugi
rukovodeći kadrovi. Svi oni pojedinačno zahtevaju informacije koje se tiču strateških ciljeva
organizacije, a da se pri tom sačuva privatnost korisničkih podataka i bude u skladu sa zakonskom
regulativom.
Korisni izveštaji sadrže:
• Demonstraciju usaglašenosti
• Identifikaciju slabosti u informacionom sistemu
• Vizuelnu predstavu kompleksnih odnosa
Uloga SIM izveštaja je značajna jer mogu da demonstriraju da se operacije prate, bezbednosni
događaji detektuju, primenjuju procesi ublažavanja ranjivosti, kao i da su ovi rezultati merljivi. Ovi
izveštaji takođe mogu doneti rezultate u otkrivanju slabih tačaka u IT operacijama, naprimer,
nedovoljnoj obučenosti osoblja. Naprimer, ako posmatranje sobraćaja pokazuje povećavanje emal
poruka prema vani, koje eventualno sadrže informacije koje su vlasništvo firme, personalna služba
treba da organizuje obuku koja ima za cilj da se adresira konkretno baš taj problem.
Vizuelna predstava kompleksnih mreža i procesa može takođe pomoći da se komplikovana IT
problematika razjasni mendžerima koji sa stručnim detaljima nisu familijarni.
Vizuelni prikazi i podrška bezbednosnim informacijama je aktivna oblast istraživanja. Ona pomaže u
donošenju poslovnih odluka i analizi bezbednosnih trendova.
Podaci prikupljeni od strane SIM - Security Information Management sistema, pružaju šansu da se
koordiniraju napori i maksimizira efikasnost bezbednosnih resursa.

Pitanja uz predavanje 11
Od kojih bezbednosnih proizvoda prikuplja podatke sistem za menadžment bezbednosnih informacija
(SIM)?
Koji su zadaci sistema za menadžment bezbednosnih informacija (SIM-a)?
Navesti neke od tipičnih relacija za upoređivanje podataka o napadu.

Naziv predavanja: ANALIZA RIZIKA 15/16


Šte je nedostatak korišćenja produkcionih pravila u korelaciji podataka o napadu?
Šta je prednost statističkog prepoznavanja napada?
Navesti neke od razloga za čuvanje podataka o sigurnosnim događajima.
Koja je uloga i značaj SIM (Security Information Management) izveštaja?

Naziv predavanja: ANALIZA RIZIKA 16/16