Resilient event collection in SIEM systems

Tese de mestrado em Segurança Informática, apresentada à Universidade de Lisboa, através da Faculdade de Ciências, 2013A importância da Segurança da Informação tem crescido rapidamente nos últimos anos, com uma maior consciencialização da sociedade civil e das empresas para o problema. As notícias recorrentes de ataques direcionados e roubo de informação em larga escala que resultam em grandes prejuízos financeiros, por vezes tendo como consequência o encerramento das organizações envolvidas, justificam o investimento em mecanismos de proteção da informação. No âmago da capacidade para monitorização da segurança em tempo-real está o Security Operations Center (SOC), o conjunto de pessoas, processos e sistemas onde se concentram as capacidades de análise e resposta a incidentes de Segurança da Informação. A base tecnológica do SOC é construída sobre o sistema de Gestão de Informação e Eventos de Segurança, vulgo SIEM. Este sistema permite recolher eventos de segurança de diversas fontes e encontrar padrões de ataque analisando relações entre eles. No entanto, tal como acontece com todos os sistemas informáticos, um atacante que tenha conhecimento da sua existência irá procurar ultrapassar as proteções implementadas, prevenindo que a equipa do SOC seja alertada para o ataque em curso. A relevância dos sistemas SIEM tem vindo a aumentar no contexto da maior importância atribuída a questões de segurança da informação. Considerando um número cada vez mais elevado de eventos e as múltiplas origens onde estes são gerados, as equipas de monitorização estão cada vez mais dependentes de consolas únicas onde a informação é centralizada e processada. Como consequência existe também uma maior dependência dos sistemas centrais, tornando-os pontos únicos de falha. Os sistemas SIEM são intrinsecamente complexos devido à necessidade de recolha de eventos de segurança a partir de fontes com tecnologias muito diversas, com localizações dispersas. O facto de desempenharem diversas funções aumenta esta complexidade, necessitando de módulos para recolha, consolidação, processamento e armazenamento de eventos. Para além destes módulos, que podem ou não traduzir-se em componentes fisicamente distintos, os sistemas SIEM estão fortemente dependentes dos sensores colocados junto às fontes de eventos, bem como da rede de comunicações que permite o envio desses eventos entre os diversos componentes, até à consola central. A inexistência de investigação diretamente focada no aumento da resiliência dos sistemas SIEM resulta na implementação de soluções pouco adaptadas aos riscos e desafios associados a infraestruturas de segurança. Estando maioritariamente focada na proteção de segurança ao nível da rede, muitos dos desenvolvimentos recentes centram-se na capacidade de identificar padrões de tráfego maliciosos. Esta abordagem reflete-se em publicações direcionadas aos sistemas de detecção e prevenção de intrusões (IDS/IPS), com menos enfoque na implementação resiliente de sistemas SIEM. A nossa percepção, corroborada por uma pesquisa alargada de trabalhos desenvolvidos nesta área, aponta para um elevado número de implementações padrão, assumindo cenários teóricos e sem tomar em linha de conta o efeito de ataques contra o próprio sistema SIEM. Neste trabalho começamos por efetuar uma análise às falhas de segurança que podem afectar o desempenho do processo de recolha de eventos de segurança, incluindo falhas acidentais mas também possíveis ataques deliberados ao sistema SIEM que possibilitem a uma entidade maliciosa ultrapassar os mecanismos de segurança implementados. Com base nessa análise endereçamos os problemas de fiabilidade que afetam qualquer sistema informático, apontando soluções que permitam lidar com falhas acidentais e, dessa forma, aumentar a disponibilidade do sistema. Ao reduzir a probabilidade de falhas que impeçam a recolha de eventos de segurança, estamos a contribuir diretamente para diminuir a janela de oportunidade disponível para que ataques à infraestrutura não sejam detectados. Focando o risco de falhas maliciosas, propomos soluções que impeçam os atacantes de explorar com sucesso vulnerabilidades no processo de recolha de eventos de segurança. Este processo envolve sistemas heterogéneos, desde a fonte dos eventos até à consola central, passando pela rede de comunicação responsável por interligar toda a infraestrutura. Consideramos fundamental atingir um nível de robustez elevado, mesmo na presença de infraestrutura parcialmente comprometida. O principal objectivo deste trabalho passa por definir um método sistemático de recolha e correlação resiliente de eventos de segurança num sistema SIEM, mesmo na presença de componentes maliciosos sob controlo de atacantes. Para atingir este objectivo centramo-nos na robustez das regras de correlação, desde a sua concepção e desenho até à implementação final no sistema SIEM. Os sistemas SIEM contêm um conjunto alargado de regras padrão que, como demonstramos, partem de premissas demasiado optimistas relativamente ao processo de recolha de eventos. Descrevemos, ao longo do trabalho, de que forma estas regras padrão podem ser melhoradas para lidar com as diversas possibilidades de falhas e ataques maliciosos, aumentando desta forma a resiliência total do sistema SIEM e o nível de confiança que a equipa do SOC pode depositar nesta ferramenta essencial. Utilizando casos de uso reais, demonstramos a metodologia proposta para aumentar a resiliência das regras de correlação. Tendo como ponto de partida uma regra base, aplicamos passo a passo a metodologia, detalhando e avaliando cada evolução da regra, até ser atingido um nível de robustez elevado. Com o propósito de sistematizar a metodologia proposta para o aumento de qualidade das regras de correlação, desenvolvemos uma aplicação denominada AutoRule. Esta ferramenta recebe como entrada uma ou mais regras de correlação e efetua uma análise automática, detectando possíveis lacunas e sugerindo correções. Apesar de não suprir a necessidade de análise com base na experiência prática na definição de regras de correlação, a aplicação AutoRule permite à equipa de configuração do sistema SIEM atuar de forma precisa e direcionada, corrigindo as regras de correlação e, dessa forma, tornando-as mais resilientes. Finalmente, para demonstrar e medir a eficácia da nossa proposta, foi posta em prática a metodologia através de uma implementação em cenário real, recorrendo ao sistema SIEM utilizado para monitorizar os eventos de segurança na rede corporativa da EDP – Energias de Portugal, S.A. Tratando-se de um grupo multinacional com mais de 12000 colaboradores ativos, a rede informática monitorizada por este sistema SIEM fornece a possibilidade de analisar em larga escala os efeitos das melhorias propostas. A metodologia proposta para aumentar a resiliência das regras de correlação traduziu-se num acréscimo da eficácia das mesmas, resultando num sistema mais fiável. A consequência mais direta é uma melhoria operacional do SOC, que passa a dispor de informação mais precisa e mais adequada ao seu contexto de operação. Para além da proposta teórica, a implementação permitiu também validar a operação num cenário real da aplicação AutoRule, desenvolvida para automatizar a análise das regras de correlação. As melhorias introduzidas nas regras de correlação desenvolvidas no contexto da operação do SOC EDP, seguindo os passos da metodologia, foram sendo testadas com recurso à aplicação. Os resultados demonstram que a eficácia medida das regras correspondeu também a um melhor resultado obtido através da análise automática, existindo por isso motivos para confiar nesta análise. A aplicação AutoRule possibilitou ainda uma comparação entre as regras predefinidas, instaladas de forma automática com a solução ArcSight, e as regras que seguiram o processo de melhoria preconizado pela metodologia proposta. As avaliações finais que fazemos da implementação num cenário real são francamente positivas, ratificando a nossa proposta teórica e conferindo-lhe um elevado grau de confiança quanto à possibilidade de aplicação em larga escala, de forma independente da tecnologia de sistema SIEM escolhida.Information Security has become a relevant subject in recent years, with greater awareness to the topic from major companies and general public. The frequent news regarding targeted attacks and large-scale information thefts resulting in major financial losses, sometimes even resulting in company bankruptcy, justify investments in protection mechanisms. At the heart of real-time security monitoring is the Security Information and Event Management system, commonly known as SIEM. These systems allow for security event collection and pattern discovery, by analyzing relationships between those events in real-time. However, as with all computer systems, an attacker who is aware of its existence will seek to overcome the protection mechanisms in place, preventing the security experts from being alerted to the ongoing attacks. We present an analysis of possible attacks to a SIEM system and seek solutions to prevent successful exploitation of those attacks, even if the attackers are able to take control over part of the infrastructure. Instead of suggesting massive changes throughout the multiple systems and network components, we propose an approach based on the capabilities of the SIEM system to collect and correlate security events from multiple sources. We advocate that it is possible to detect faults, malicious or accidental, though real time analysis of the collected events using carefully crafted and resilient correlation rules. Our goal is to define a systematic method to resiliently collect and correlate security events in a SIEM system, despite the presence of components already under the control of attackers. The effectiveness of the proposed methodology is evaluated in a real production environment, simulating attacks and accidental failures and observing their effects in the capability of the SIEM system to identify abnormal behavior. We also develop and demonstrate an application capable of automatically analyzing correlation rules, identifying vulnerabilities and proposing improvements to increase heir overall resilience

Análise de Desempenho do Sistema Único de Saúde (SUS) dos Municípios das Regiões Brasileiras

Este estudo traçou como objetivo geral analisar o desempenho do sistema único de saúde dos municípios nas regiões brasileiras. Para isso, realizou-se pesquisa descritiva, conduzida por meio de análise documental e abordagem quantitativa dos dados, em uma amostra composta por 5.563 municípios de todas as cinco regiões brasileiras. Para analisar o desempenho do sistema único de saúde, foram verificados 24 indicadores, cujos dados foram coletados no portal do Ministério da Saúde. Os resultados apontaram que os municípios da região Sul e Sudeste destacam-se positivamente com os melhores desempenhos e a região Norte destacou-se negativamente. De modo geral, concluiu-se que alguns indicadores apresentavam índices abaixo da expectativa em diversos municípios e, portanto, carecem de cuidados e atenção especial, principalmente nos municípios da região Norte. Ao final, concluiu-se que o desempenho do SUS ainda é bastante irregular ao longo de todo o território brasileiro e precisa de melhorias perenes para que tenham seus números alavancados positivamente, além de situação regular em todo o território brasileiro

Índices biofísicos e o saldo de radiação à superfície via sensoriamento remoto no semiárido pernambucano

O semiárido pernambucano vem sofrendo com diversos processos de degradação ambiental, devido ao avanço das atividades agrícolas, além da atenuante seca que assola o semiárido brasileiro e o bioma Caatinga. O uso do geoprocessamento diante das técnicas de sensoriamento remoto se destaca pela alta aplicabilidade no monitoramento ambiental, na estimativa de parâmetros biofísicos do balanço de radiação da superfície terrestre. Assim, objetivou-se monitorar e investigar as mudanças ambientais através da modelagem espaço-temporal via sensoriamento remoto com o uso de imagens de satélite, referentes à área de estudo, o município de Arcoverde, localizado no sertão de Pernambuco, semiárido brasileiro. O estudo foi desenvolvido por meio de seis imagens do satélite Landsat, entre o período de 2008 e 2017. Através das imagens foram processados mapas temáticos da superfície, mediante o algoritmo SEBAL (Surface Energy Balance Algorithms for Land), que determinou parâmetros biofísicos como albedo e temperatura da superfície, e saldo de radiação. Os resultados destacaram que os maiores valores do albedo foram verificados em anos climaticamente secos (14/11/2015 e 29/09/2016), com valores médios de 0,22 e 0,20, respectivamente. O dia 14/11/2015 também apresentou o maior valor médio da temperatura, de 47°C, épocas que o saldo de radiação foi menor. O dia 13/11/2009 (ano chuvoso) apresentou o maior valor médio do saldo, de 800 W m-2, tendo maior energia disponível a ser repartida pelos processos do balanço de energia. O aumento do albedo e temperatura da superfície e diminuição do saldo de radiação destacaram mudanças nos usos do solo da região semiárida

Streptococcal bacteraemia in patients submitted to hematopoietic stem cell transplantation : the role of tooth brushing and use of chlorhexidine

A retrospective evaluation of 73 consecutive recipients of hematopoietic stem cell transplantation (HSCT) was conducted to investigated the role of oral care and incidence of streptococcal bacteremia in patients submitted to hematopoietic stem cell transplantation. Patients were retrospectively evaluated and divided into group A (GA=38) and group B (GB=35). During hospitalization patients from GA performed oral hygiene daily with extra soft toothbrush and toothpaste besides performing mouth cleaning with an ethanol-free 0.12% chlorhexidine solution tree times a day. In contrast GB patients performed mouth cleaning with extra soft toothbrush and toothpaste, but no chlorhexidine was used. Using the Chi square test it was observed that all patients from GA presented negative blood culture for alpha-hemolytic Streptococcus viridans and Candida albicans and only 1 patient without oral mucositis from GB presented positive blood cultures for Streptococcus intermedius (p=0.48). The results indicate that methodology used for oral care before the HSCT and the practice of tooth brushing during the period were effective in preventing streptococcal bacteremia. Moreover, our data suggest that the mouth cleaning with chlorhexidine during HSCT may be not mandatory

Antifibrotic effect of Pluchea sagitallis (Lam.) cabrera aqueous extract in grx cell lineage

Liver fibrosis is a complex disease that is caused by inappropriate tissue repair due to the deposition of connective tissue. When a chronic lesion affects the liver, regenerative response fails and hepatocytes are replaced with abundant extracellular matrix (ECM). The imbalance between production and degradation of ECM will result in the accumulation of proteins that change normal liver architecture, and thus its functionality. The main source of ECM is the activated hepatic stellate cell (HSC). In order, to clarify possible therapeutic approaches to the disease, this work aimed to evaluate the possible antifibrotic action of Pluchea sagitallis (Lam.) Cabrera on an activated HSC immortalized lineage (GRX).Our results demonstrated that the P. sagittalis aqueous extract at 0.039 and 0.078 mg/mL concentrations was able to reduce cell growth and proliferation. Regarding to oxidative stress evaluation, there was no statistically significant difference between the treated group and the control. Staining with OilRed-O (ORO) showed a statistically significant increase in intracellular lipid content after 5 days of treatment, exerting in vitro effect on the GRX phenotypic change of activated towards the quiescent state. These results were confirmed by colorimetric quantification of lipid content. Regarding the TGF-β1 and collagen production, there were no statistically significant differences observed between the groups.In conclusion, the P. sagittalis aqueous extract reduces the growth and proliferation of GRX cells and induces the reversal of activated towards a quiescent phenotype. There was no decrease in cell proliferation either by necrosis or by apoptosis via activation of the senescence. Thus, our data suggest that the extract showed an antifibrotic effect, possibly by activating phenotype reversal

Sintomas osteomusculares e desempenho ocupacional: um estudo entre músicos instrumentistas no contexto do Distrito Federal, Brasil.

Objetivo: Determinar a prevalência de sintomatologia osteomuscular entre músicos de uma universidade federal, verificando seu impacto sobre a participação em atividades de vidadiária e o desempenho de atividades laborais. Método: 26 músicos foram avaliados por meio do Questionário de Disfunção do Ombro, Braço e Mão e Questionário Nórdico de Sintomas Osteomusculares. A relação entre sintomatologia musculoesquelética e desempenho ocupacional foi avaliada por meio dos testes de Mann-Whitney, Teste de Correlação de Spearman e Teste de Chi-Quadrado. Resultados: Foi observado predomínio de queixas osteomusculares nas regiões dos membros superiores e tronco, com baixa procura dos músicos por tratamentos de saúde. Observaram-se diferenças significativas no desempenho de atividades de vida diária e realização de atividades relacionadas à prática musical entre participantes que apresentavam queixas osteomusculares em membros superiores. Conclusão: O desempenho da atividade musical pode levar a processos de adoecimento, influenciando as atividades laborais, e outras áreas do desempenho ocupacional.Ações voltadas para a prevenção e tratamento de queixas osteomusculares são importantes para a elaboração de estratégias que visam preservar e promover a saúde desta população.Objective: To determine the prevalence of musculoskeletal symptomatology among musicians from a federal university, verifying its impact on daily activities and work performance. Methods: 26 musicians have been assessed using the Disabilities of the Arm, Shoulder, and Hand Questionnaire and the Nordic Musculoskeletal Questionnaire. Relation between musculoskeletal symptomatology and occupational performance was evaluated by Mann-Whitney test, Spearman’s rank correlation coefficient, and Chi-square test. Results: We observed preponderance of musculoskeletal complaints in the upper limbs and torso regions, with low demand for medical services by musicians. There was significant difference in the performance of daily activities and music practice among participants who had musculoskeletalcomplaints in upper limbs. Conclusion: Playing-related musculoskeletal disorders may affect work activities and other areas of occupational performance. Initiatives on prevention and treatment of musculoskeletal disorders are important to the development of strategies aiming at preserving and promoting this population health

Association between Pre-Pregnancy BMI and Inflammatory Profile Trajectories during Pregnancy and Postpartum in Brazilian Women with Periodontitis:The IMPROVE Trial

This study aimed to explore the association between pre-pregnancy BMI and longitudinal changes in inflammatory markers from the second trimester of pregnancy to 6–8 weeks postpartum in women with periodontitis. This is a secondary exploratory analysis of 68 women who took part in a feasibility clinical trial in Rio de Janeiro, Brazil. Inflammatory markers included C-reactive protein (CRP), interleukin-6 (IL-6), interleukin-10 (IL-10), and matrix metalloproteinase-9 (MMP-9) blood concentrations at 11–22 (T0) and 30–36 gestational weeks (T1), and 6–8 weeks postpartum (T3). Longitudinal generalised linear mixed-effects models were used to identify possible associations between pre-pregnancy BMI and changes in concentrations of inflammatory markers. Pre-pregnancy excess weight (β = 4.39; 95% CI, 2.12–6.65) was significantly associated with increased CRP levels from pregnancy to postpartum. There were no significant associations between pre-pregnancy BMI and longitudinal changes in IL-6, IL-10 and MMP-9. Our findings provide evidence that a higher pre-pregnancy BMI may lead to increases in CRP levels during pregnancy in women with periodontitis, irrespective of the severity of clinical periodontal parameters. Further studies need to investigate if predictors of changes in inflammatory markers can be used as prognostic factors for gestational outcomes

Spurious infection by Calodium hepaticum (Bancroft, 1983) Moravec, 1982 and intestinal parasites in forest reserve dwellers in Western Brazilian Amazon

Subsistence hunting is the main source of protein for forest reserve dwellers, contributing to the development of spurious infections by Calodium hepaticum, frequently associated with the consumption of the liver from wild mammals. The prevalence of infections by soil-transmitted helminths (STHs) and intestinal protozoa is considered an indicator of the social vulnerability of a country, besides providing information on habits, customs and quality of life of a given population. Intestinal parasites mostly affect poor rural communities with limited access to clean water and adequate sanitation. This study reports the results of a parasitological survey carried out in 2017 and 2019, in two municipalities (Xapuri and Sena Madureira) in Acre State. Stool samples were collected from 276 inhabitants. Upon receipt, each sample was divided into two aliquots. Fresh samples without preservative were processed and examined by the Kato-Katz technique. Samples fixed in 10% formalin were processed by the spontaneous sedimentation and the centrifugal sedimentation techniques. Calodium hepaticum eggs were found in three stool samples. The overall STH prevalence was 44.9%. The hookworm prevalence (19.2%) was higher than that of Ascaris lumbricoides (2.5%) and Trichuris trichiura (0.7%), an unexpected finding for municipalities belonging to the Western Brazilian Amazon. When considering parasites transmitted via the fecal-oral route, Endolimax nana and Entamoeba coli showed the highest positivity rates, of 13% and 10.9%, respectively. This study is the first report of spurious infection by C. hepaticum among forest reserve dwellers that consume undercooked liver of lowland pacas. Additionally, this is the first report of Blastocystis sp. in Acre State

SENSIBILIDADE DE MUDAS PRÉ-BROTADAS E MINIRREBOLOS DE CANA-DE-AÇÚCAR A HERBICIDAS PRÉ-EMERGENTES

A cana-de-açúcar, cultivada através de minirrebolos e mudas pré-brotadas, podem apresentar maior sensibilidade a herbicidas em comparação ao convencional. Objetivou-se avaliar a seletividade inicial de tratamentos herbicidas aplicados em pré-emergência em variedades de cana-de-açúcar cultivadas nos sistemas de mudas pré-brotadas e de minirrebolos. Em casa de vegetação foram realizados dois experimentos, um com MPBs (RB966928 e IAC 5000) e outro com minirrebolos (RB92579 e RB966928). O delineamento foi inteiramente casualizado, com quatro repetições em esquema fatorial 8 x 5, sendo oito tratamentos (amicarbazone (980,0 g ha-1); metribuzin (921,6 g ha-1); indaziflam (50,0 g ha-1); isoxaflutole (78,8 g ha-1); amicarbazone + indaziflam (703,5 + 37,5 g ha-1); metribuzin + indaziflam (460,8 + 37,5 g ha-1), isoxaflutole + indaziflam (56,3 + 37,5 g ha-1) e  testemunha (sem herbicidas) e cinco épocas de avaliação (7, 14, 21 28 e 35 dias após aplicação dos tratamentos e emergência,  para MPBs e minirrebolos, respectivamente). Em MPBs, os herbicidas amicarbazone e metribuzin, resultaram em 0,00% de fitotoxicidade nas duas variedades. Nos minirrebolos, o isoxaflutole isolado e associado com indaziflam resultaram em alta fitotoxicidade independentemente da variedade. Logo o sistema de plantio e as variedades, influenciam na seletividade de herbicidas na cultura da cana-de-açúcar.Palavras-chave: cana-planta; fitotoxicidade; aplicação; sistemas de plantio. SENSITIVITY OF PRE-BUDDED SEEDLINGS AND SUGAR CANE MULTIBUD SETTS TO PRE-EMERGENT HERBICIDES ABSTRACT: The sugarcane, grown through pre-budded seedlings and multibud setts, may have more sensitive to herbicides compared to conventional. The objective of this study was to evaluate the initial selectivity of pre-emergent herbicide treatment in sugarcane varieties cultivated in the pre-budded seedlings and multibud setts systems. Two experiments were carried out in the greenhouse, one with MPBs (RB966928 and IAC 5000) and the other with multibud setts (RB92579 and RB966928).The design was completely randomized, with four replications in an 8 x 5 factorial scheme, with eight treatments: amicarbazone (1400 g ha-1); metribuzin (1920 g ha-1); indaziflam (100 g ha-1); isoxaflutole (105 g ha-1); amicarbazone + indaziflam (1005 +75 g ha-1); metribuzin + indaziflam (960 + 75 g ha-1), isoxaflutole + indaziflam (75 + 75 g ha-1) and control (without herbicides) and five evaluation periods (7, 14, 21, 28 and 35 days after application of the DAT and emergency treatments, for MPBs and multibud setts, respectively). In MPBs, the herbicides amicarbazone and metribuzin, resulted in 0.00% phytotoxicity in both varieties. In multibud setts, isoxaflutole alone and associated with indaziflam resulted in high phytotoxicity regardless of variety. Soon the planting system and the varieties, influence the selectivity of herbicides in the culture of sugarcane.Keywords: sugarcane-plant; phytotoxicity; application; planting systems

A combined stochastic model for seasonal prediction of precipitation in Brazil

Este artigo discute um modelo de previsão combinada para a realização de prognósticos climáticos na escala sazonal. Nele, previsões pontuais de modelos estocásticos são agregadas para obter as melhores projeções no tempo. Utilizam-se modelos estocásticos autoregressivos integrados a médias móveis, de suavização exponencial e previsões por análise de correlações canônicas. O controle de qualidade das previsões é feito através da análise dos resíduos e da avaliação do percentual de redução da variância não-explicada da modelagem combinada em relação às previsões dos modelos individuais. Exemplos da aplicação desses conceitos em modelos desenvolvidos no Instituto Nacional de Meteorologia (INMET) mostram bons resultados e ilustram que as previsões do modelo combinado, superam na maior parte dos casos a de cada modelo componente, quando comparadas aos dados observados.This article discusses a combined model to perform climate forecast in a seasonal scale. In it, forecasts of specific stochastic models are aggregated to obtain the best forecasts in time. Stochastic models are used in the auto regressive integrated moving average, exponential smoothing and the analysis of forecasts by canonical correlation. The quality control of the forecast is based on the residual analysis and the evaluation of the percentage of reduction of the unexplained variance of the combined model with respect to the individual ones. Examples of application of those concepts to models developed at the Brazilian National Institute of Meteorology (INMET) show good results and illustrate that the forecast of the combined model exceeds in most cases each component model, when compared to observed data