Threat detection in SIEM considering risk assessment

Osório, Ana Mafalda Silva

Threat detection in SIEM considering risk assessment

Bibliographic Details
Main Author:	Osório, Ana Mafalda Silva
Publication Date:	2018
Format:	Master thesis
Language:	eng
Source:	Repositórios Científicos de Acesso Aberto de Portugal (RCAAP)
Download full:	http://hdl.handle.net/10451/35434
Summary:	Tese de mestrado, Engenharia Informática (Sistemas de Informação)Universidade de Lisboa, Faculdade de Ciências, 2018

Item metadata

id	RCAP_d71447a947d9cd2a9c0983c3ffe0f0eb
oai_identifier_str	oai:repositorio.ulisboa.pt:10451/35434
network_acronym_str	RCAP
network_name_str	Repositórios Científicos de Acesso Aberto de Portugal (RCAAP)
repository_id_str	https://opendoar.ac.uk/repository/7160
spelling	Threat detection in SIEM considering risk assessmentAvaliação de RiscoGestão de RiscoSIEMTeses de mestrado - 2018Departamento de InformáticaTese de mestrado, Engenharia Informática (Sistemas de Informação)Universidade de Lisboa, Faculdade de Ciências, 2018Nos dias de hoje, a segurança informática é cada vez mais um assunto fundamental. Os sistemas informáticos são indispensáveis para o funcionamento das organizações e um dos seus maiores problemas é que estão sujeitos a ficar comprometidos, podendo assim afetar o desempenho e a reputação de toda a organização. As ameaças contra a segurança e a confiabilidade de infraestruturas críticas, nomeadamente redes elétricas, podem resultar em ocorrências fatais para a normal atividade tanto das organizações como da sociedade. Um ciberataque a uma infraestrutura crítica pode afetar a vida de milhares de pessoas, visto que pode ser fruto de um ataque terrorista. Desta forma, as empresas têm investido em processos de gestão de risco de segurança de informação. Estes processos tornam possível proteger os diversos ativos, monitorizar os serviços, processos e projetos, de forma a conseguir reduzir tanto quanto possível a perda de tempo, esforço e custos com a recuperação de incidentes de segurança. A gestão de risco tem como objetivo minimizar ou até mesmo eliminar o impacto negativo que os riscos possam ter numa determinada organização. O processo de gestão de risco é habitualmente composto por cinco etapas interligadas entre si: a comunicação e consulta, que ocorre ao longo de todas as etapas deve ser feita em conjunto com as partes interessadas e que deve abordar questões relativas ao risco, tais como as suas causas, consequências e medidas que devem ser usadas para tratar o risco; o estabelecimento de contexto, onde são definidos os critérios utilizados durante o processo de gestão de risco; o processo de avaliação de risco, constituído por fases de identificação, análise e avaliação do risco; o tratamento do risco, onde são selecionadas medidas que podem ser aplicadas com o objetivo de reduzir o risco anteriormente identificado; e por último a etapa de monitorização e revisão de risco, que garante que todo o processo de gestão de risco funciona corretamente, assegurando que as medidas aplicadas são as mais corretas, obtendo mais informações para melhoria do risco, detetando mudanças no contexto e identificando riscos emergentes. No final de todo este processo a organização conseguirá obter o conhecimento do risco a que está sujeita, podendo assim ter um processo de tomada de decisões ajustado às suas necessidades. Uma das tecnologias mais usadas pelas empresas para realizar a monitorização de eventos de cibersegurança são os sistemas de gestão e correlação de eventos Security Information and Event Management (SIEM). Estes sistemas fazem a coleção de informação proveniente de várias fontes. Depois de recolhidos os dados, como os mesmos são provenientes de diversas fontes, são todos colocados na mesma estrutura, ou seja, são normalizados. Depois de normalizados, através da utilização de filtros e regras para a deteção de padrões de comportamentos maliciosos, é feita a deteção de possíveis anomalias nos sistemas da organização e são gerados alertas. Cabe à equipa responsável pela gestão dos incidentes de cibersegurança analisar e reagir a estes alertas gerados pelo SIEM. Atualmente estes sistemas têm algumas limitações, nomeadamente não conseguem comunicar o risco de uma forma simples e eficaz para os gestores das organizações. Assim, é necessário adicionar a esta tecnologia outros indicadores relevantes, com o objetivo de melhorar a eficiência das equipas de segurança. Os processos de gestão de risco são, regra geral, básicos e não contemplam caraterísticas inatas das infraestruturas, tais como as dependências e diferenças entre os tipos de ativos monitorizados. O projeto DiSIEM propõe colmatar este problema, através do desenvolvimento de extensões que são instaladas como componentes externas e integradas com os SIEM. No âmbito do projeto já foi desenvolvido um modelo e uma ferramenta, no entanto a ferramenta desenvolvida não foi integrada num ambiente real. A ferramenta consistia num modelo multinível para apreciação de risco, de forma a que fosse possível transmitir uma noção de risco às partes interessadas, utilizando as informações provenientes do SIEM. Esta ferramenta tal como este trabalho, foram desenvolvidos no contexto do projeto DiSIEM através de uma colaboração entre a Faculdade de Ciências da Universidade de Lisboa e a EDP - Energias de Portugal, SA. O modelo desenvolvido faz uma apreciação de risco em três níveis diferentes: máquinas, aplicações e serviços. Esta apreciação é realizada com base em três versões diferentes do modelo, sendo sempre consideradas três componentes para o cálculo do risco: vulnerabilidades, dependências e incidentes. Assim, o propósito deste trabalho consistiu em tornar a ferramenta operacional num ambiente empresarial, fazer novos desenvolvimentos na mesma e integrá-la com o SIEM existente na EDP, o Micro Focus ArcSight. Isto irá permitir aumentar a capacidade de comunicação de risco aos gestores da organização por parte das equipas de segurança; auxiliar o processo de tomada de decisão; e atribuir uma maior ou menor relevância aos eventos detetados pelo SIEM, devido à monitorização mais eficaz considerando os resultados da avaliação de risco. A ferramenta conta com várias informações recolhidas no universo EDP, nomeadamente os ativos, as vulnerabilidades e os incidentes da empresa. A informação acerca dos ativos foi obtida através de uma extração à base de dados da organização que, dada a grande escala e diversidade de operação, tem uma quantidade de ativos muito grande, na ordem dos milhares. No processo de identificação dos ativos da empresa foram identificadas algumas incoerências nos dados, o que levou à necessidade de cruzar as informações recolhidas com outras fontes de informação do universo EDP. As vulnerabilidades são obtidas através da junção de informação de duas fontes diferentes: uma empresa responsável por realizar pen-testing e uma fonte adicional de dados, um detetor de vulnerabilidades de infraestrutura, o Nessus Vulnerability Scanner. Este software é responsável por detetar as vulnerabilidades existentes nas infraestruturas da EDP e, apesar de o mesmo já estar presente no universo EDP antes do desenvolvimento desta ferramenta, as vulnerabilidades detetadas não eram ainda tidas em conta pela equipa de segurança. Ao integrarmos as vulnerabilidades detetadas pelo Nessus com todas as detetadas através de pen-testing e já existentes no nosso modelo, conseguimos assim avaliar o risco de forma mais rigorosa por termos em conta todas as vulnerabilidades conhecidas no ambiente EDP. Os incidentes tanto podem ser detetados por utilizadores ou podem surgir da monitorização de eventos por parte da equipa do SOC. Porém, os incidentes que se encontram incluídos na base de dados são apenas os provenientes do SIEM em uso na EDP. Todos os dados recolhidos, depois de uniformizados e estruturados, são então importados para uma base de dados global, através de um módulo feito para esse propósito. Esta base de dados foi contruída com o objetivo de aglomerar todas as informações recolhidas e a mesma encontra-se adaptada ao ambiente EDP. Depois de os dados estarem na base de dados, é possível aplicar o processo de avaliação de risco para cada um dos ativos identificados. Dado que o processo tem em conta as dependências entre ativos, inicia-se com o cálculo do risco ao nível das máquinas, passando depois ao nível das aplicações e por fim para o nível dos serviços. Todos os dados relevantes são depois apresentados num dashboard que providencia capacidade para fazer risk analytics. Isto é, é possível analisar detalhadamente as componentes associadas ao risco de cada ativo. Este dashboard possibilita também que haja uma interação direta com a base de dados na interface, permitindo que as vulnerabilidades e os incidentes abertos possam ser fechados, permitindo inclusive que haja a inserção de novas vulnerabilidades ou incidentes pela equipa de cibersegurança. É ainda possível gerar relatórios pdf com os valores de risco para um determinado período de tempo, de forma a que seja possível auxiliar os decisores nas tomadas de decisão. Todas estas funcionalidades foram melhorias ao dashboard desenvolvido na etapa anterior do projeto. A ferramenta encontra-se ainda interligada com o SIEM, o que forneceu à equipa de cibersegurança a possibilidade de priorizar os eventos que são detetados pelo SIEM. Esta priorização é feita com base nos resultados do cálculo do risco e permite que a equipa possa analisar e dar prioridade aos ativos que têm um maior nível de risco. Os dados relativos ao risco são importados para o SIEM através de um connector que realiza uma query à base de dados. Esta query faz uma ordenação dos ativos pelo valor do risco, permitindo assim ao SIEM considerar os ativos que têm um valor de risco não aceitável e, como tal, que devem ter especial atenção por parte da equipa de cibersegurança. No final deste trabalho são ainda apresentados os resultados preliminares obtidos pela integração da ferramenta no universo EDP.Nowadays, security information is fundamental, as computer systems are indispensable to the functioning of organisations and one of their biggest problems is that they may be compromised, which can affect the performance and reputation of the organisations. Therefore, companies invested in risk management processes to monitor their services, processes, and projects, allowing them to avoid cybersecurity incidents. One of the most used tools to monitor and detect security anomalies is the security information and event management system (SIEM). These systems support a team responsible for managing cybersecurity incidents to analyse and react to the alarms generated by the SIEM. However, these systems are expensive and have limitations, especially while assessing security risk in a simple and effective way. The DiSIEM project aims to address this problem by developing a new model to assess risk hierarchically. A model and a framework have been developed however it was necessary to integrate it in a real environment. This work consists in integrating the developed framework in the EDP environment so that it is possible to assess risk and communicate a notion of risk between IT managers and C-Level managers. The framework uses information coming from the SIEM and adds the results of the risk assessment it. Our model has a risk assessment process based on assessing the vulnerabilities, incidents, and dependencies of the assets identified in the organisation. After the risk assessment process, all the relevant data are imported to the SIEM through a connector, so that the cybersecurity team can prioritize events. This will allow to improve the effectiveness of SIEM threat detection considering assets’ risk. This dissertation is part of the H2020 DiSIEM project and results from a collaboration between Faculdade de Ciências da Universidade de Lisboa and EDP - Energias de Portugal, SA.Respício, Ana Luísa do Carmo Correia, 1965-Rodrigues, Pedro da Silva Dias, 1984-Repositório da Universidade de LisboaOsório, Ana Mafalda Silva2018-11-23T11:17:52Z201820182018-01-01T00:00:00Zinfo:eu-repo/semantics/publishedVersioninfo:eu-repo/semantics/masterThesisapplication/pdfhttp://hdl.handle.net/10451/35434TID:202011178enginfo:eu-repo/semantics/openAccessreponame:Repositórios Científicos de Acesso Aberto de Portugal (RCAAP)instname:FCCN, serviços digitais da FCT – Fundação para a Ciência e a Tecnologiainstacron:RCAAP2025-03-17T13:59:01Zoai:repositorio.ulisboa.pt:10451/35434Portal AgregadorONGhttps://www.rcaap.pt/oai/openaireinfo@rcaap.ptopendoar:https://opendoar.ac.uk/repository/71602025-05-29T02:59:54.969934Repositórios Científicos de Acesso Aberto de Portugal (RCAAP) - FCCN, serviços digitais da FCT – Fundação para a Ciência e a Tecnologiafalse
dc.title.none.fl_str_mv	Threat detection in SIEM considering risk assessment
title	Threat detection in SIEM considering risk assessment
spellingShingle	Threat detection in SIEM considering risk assessment Osório, Ana Mafalda Silva Avaliação de Risco Gestão de Risco SIEM Teses de mestrado - 2018 Departamento de Informática
title_short	Threat detection in SIEM considering risk assessment
title_full	Threat detection in SIEM considering risk assessment
title_fullStr	Threat detection in SIEM considering risk assessment
title_full_unstemmed	Threat detection in SIEM considering risk assessment
title_sort	Threat detection in SIEM considering risk assessment
author	Osório, Ana Mafalda Silva
author_facet	Osório, Ana Mafalda Silva
author_role	author
dc.contributor.none.fl_str_mv	Respício, Ana Luísa do Carmo Correia, 1965- Rodrigues, Pedro da Silva Dias, 1984- Repositório da Universidade de Lisboa
dc.contributor.author.fl_str_mv	Osório, Ana Mafalda Silva
dc.subject.por.fl_str_mv	Avaliação de Risco Gestão de Risco SIEM Teses de mestrado - 2018 Departamento de Informática
topic	Avaliação de Risco Gestão de Risco SIEM Teses de mestrado - 2018 Departamento de Informática
description	Tese de mestrado, Engenharia Informática (Sistemas de Informação)Universidade de Lisboa, Faculdade de Ciências, 2018
publishDate	2018
dc.date.none.fl_str_mv	2018-11-23T11:17:52Z 2018 2018 2018-01-01T00:00:00Z
dc.type.status.fl_str_mv	info:eu-repo/semantics/publishedVersion
dc.type.driver.fl_str_mv	info:eu-repo/semantics/masterThesis
format	masterThesis
status_str	publishedVersion
dc.identifier.uri.fl_str_mv	http://hdl.handle.net/10451/35434 TID:202011178
url	http://hdl.handle.net/10451/35434
identifier_str_mv	TID:202011178
dc.language.iso.fl_str_mv	eng
language	eng
dc.rights.driver.fl_str_mv	info:eu-repo/semantics/openAccess
eu_rights_str_mv	openAccess
dc.format.none.fl_str_mv	application/pdf
dc.source.none.fl_str_mv	reponame:Repositórios Científicos de Acesso Aberto de Portugal (RCAAP) instname:FCCN, serviços digitais da FCT – Fundação para a Ciência e a Tecnologia instacron:RCAAP
instname_str	FCCN, serviços digitais da FCT – Fundação para a Ciência e a Tecnologia
instacron_str	RCAAP
institution	RCAAP
reponame_str	Repositórios Científicos de Acesso Aberto de Portugal (RCAAP)
collection	Repositórios Científicos de Acesso Aberto de Portugal (RCAAP)
repository.name.fl_str_mv	Repositórios Científicos de Acesso Aberto de Portugal (RCAAP) - FCCN, serviços digitais da FCT – Fundação para a Ciência e a Tecnologia
repository.mail.fl_str_mv	info@rcaap.pt
_version_	1833601556468989952

Threat detection in SIEM considering risk assessment

Similar Items