Grupo de Trabalho BIS:Mecanismos para Análise de BigData em Segurança da Informação

Daniel Macêdo Batista

USP

2

Grupo de Trabalho BIS: Mecanismos para Análise de BigData em Segurança da Informação

Proposta do Protótipo: início de 2017...

● Boom de projetos relacionados com cidades inteligentes

○ Web services como base○ Muitos dispositivos, acessos, muitos computadores com

serviços de rede ativos● Expectativas de redes 5G

○ Dezenas de Gbps em uma célula● Ainda na sombra dos efeitos do Mirai (DDoS)

3

Grupo de Trabalho BIS: Mecanismos para Análise de BigData em Segurança da Informação

Proposta do Protótipo: como melhorar a detecção de incidentes?

● Muitos dados trafegando (Volume)● Curtos intervalos de tempo (Velocidade)● Dados de diversas aplicações diferentes (Variedade)

3 V's que remetem a Big Data

Não vamos reinventar a roda

4

Grupo de Trabalho BIS: Mecanismos para Análise de BigData em Segurança da Informação

Proposta do Protótipo: nossa ideia

Processamento Alertas

Garantiade entrega

Filtrar Enfileirar

Escalar

5

Grupo de Trabalho BIS: Mecanismos para Análise de BigData em Segurança da Informação

Proposta do Protótipo: é relevante para a RNP?

● Com base na palestra "Rede de Sensores Distribuidos" do CAIS no SCI de 2015:

● 3 pontos de presença, com uma amostragem de 1/19 pacotes● 1.819 eventos relevantes para cibersegurança em 1 dia● 85.000 pacotes por segundo sendo analisados

● Extrapolando para os 27 PoPs: 1,3TB por dia de dados para serem analisados (De fato: 750GB por dia)

Parece que uma solução para lidar com big data em segurança seria relevante

6

Grupo de Trabalho BIS: Mecanismos para Análise de BigData em Segurança da Informação

Proposta do Protótipo: GT-BIS

● GT-BIS: "Mecanismos para Análise de Big Data em Segurança da Informação"

● 3.2 Programa de P&D em Internet Avançada nos tópicos de:● B1 Serviços/produtos de rede● B2 Aplicações de análise de monitoramento● Cibersegurança

7

Grupo de Trabalho BIS: Mecanismos para Análise de BigData em Segurança da Informação

Proposta do Protótipo: objetivos

● Arquitetura capaz de escalar horizontal e verticalmente de forma automática, que analise quantidades massivas de dados coletados por sensores distribuidos heterogeneos ( logs de aplicaçoes e SOs)

● Análise de desempenho, e de falsos positivos e negativos, de diversas técnicas de correlação de dados

● Implementação de um protótipo de mecanismo de aprendizado de ataques

● Implementação de uma interface web para o sistema (configuração e visualização dos resultados das análises)

8

Grupo de Trabalho BIS: Mecanismos para Análise de BigData em Segurança da Informação

Arquitetura do Protótipo: estado atual

9

Grupo de Trabalho BIS: Mecanismos para Análise de BigData em Segurança da Informação

Arquitetura do Protótipo: estado atual

● Sistema baseado em software livre● Monitoramento de logs (fluxos de dados)

● servidores HTTP nginx e apache● firewall iptables● SGBD MySQL● honeypots Kippo e Honeywrt● IDS Bro, Suricata e Snort

● Detecção de● injeção de SQL● XSS refletido● XSS persistido● cryptojacking

Quem usaria?

10

Grupo de Trabalho BIS: Mecanismos para Análise de BigData em Segurança da Informação

Resultados do Protótipo: jubarte

*Baleia Jubarte consome em média 2 toneladas de alimento por dia e pesa em média de 25 a 40 toneladas.

11

Grupo de Trabalho BIS: Mecanismos para Análise de BigData em Segurança da Informação

Resultados do Protótipo: inteligência

● Árvore de decisão: 98% de taxa de acerto

12

Grupo de Trabalho BIS: Mecanismos para Análise de BigData em Segurança da Informação

Resultados do Protótipo: interface

13

Grupo de Trabalho BIS: Mecanismos para Análise de BigData em Segurança da Informação

Resultados do Protótipo: aproveitamento dos resultados pela RNP● Serviço disponivel na nuvem da RNP para as instituições

usuárias● Cadastro da instituição● Correta instalação dos softwares agentes

● Serviço instalado diretamente nas instituições usuárias● Ideal no caso de instituições com equipes de segurança● Ideal no caso de instituições com uma nuvem privada

● Comercialização para outras organizações externas à RNP seguindo o modelo de sustentabilidade proposto

14

Grupo de Trabalho BIS: Mecanismos para Análise de BigData em Segurança da Informação

Trabalhos futuros: objetivos e evoluções

● Evolução direta no código da Fase 1 - nuvem● Avaliação do impacto dos agentes locais● Automatização dos módulos para implementação em nuvem

(Ansible)● Estudos de tolerância a falhas e rastreio de problemas● Interface web● Novos ataques● Compartilhamento de conhecimento (novo módulo)● Correlação de informações (novo módulo)● Análise de escalabilidade em nuvem● Documentação com foco em modelos de exemplo para facilitar

a extensão do sistema

15

Grupo de Trabalho BIS: Mecanismos para Análise de BigData em Segurança da Informação

Visão de sustentabilidade: Business Model Canvas (Proposta de valor)

16

Grupo de Trabalho BIS: Mecanismos para Análise de BigData em Segurança da Informação

Visão de sustentabilidade: Business Model Canvas (Estrutura de custos e fontes de renda)

17

Grupo de Trabalho BIS: Mecanismos para Análise de BigData em Segurança da Informação

Equipe

18

Grupo de Trabalho BIS: Mecanismos para Análise de BigData em Segurança da Informação

Equipe

19

Grupo de Trabalho BIS: Mecanismos para Análise de BigData em Segurança da Informação

Equipe

Daniel Macêdo Batista

batista@ime.usp.brhttp://gtbis.ime.usp.br/

Obrigado