<img src="https://certify.alexametrics.com/atrk.gif?account=CJF3n1a4KM10N8" style="display:none" height="1" width="1" alt="">
Monitoreo de logs
enero 31, 2019

Escoge las herramientas de gestión de logs correctas con estos tips

Las herramientas de monitoreo de logs son fundamentales para la seguridad informática de cualquier entidad. De hecho, se han convertido en una necesidad que ha propiciado el desarrollo de otras herramientas que  sirven para la gestión de eventos y seguridad de información (más conocidos como SEM).

En este artículo te invitamos a conocer un poco más sobre cómo funcionan y en qué consisten este tipo de herramientas.

Una torre de vigilancia pierde su sentido si no hay un vigilante dentro, y esto es algo que ha venido sucediendo a lo largo de la historia en diferentes escenarios; por ejemplo, en los siglos XVIII y XIX, los fuertes militares ubicaban centinelas para vigilar el área circundante. Si ocurría una actividad extraña tocaban las campanas, para alertar a los residentes de un peligro inminente.

Si cambiamos de contexto, podemos notar que incluso hoy se mantiene el concepto; en un barco por ejemplo, la cofa es el lugar importante donde una persona está a cargo de la observación de los peligros del mar, de las naves que se avecinan, las costas, animales marinos, etc., y es responsabilidad de este vigía alertar al capitán y demás tripulantes de la nave en caso de que exista un peligro.

 

Situándonos en un contexto organizacional, las empresas tienen un centinela electrónico dentro de la mayoría de sus sistemas, encargado del monitoreo de registros, eventos o logs, como lo llamamos nosotros.

Esta metáfora podemos llevarla a nuestras empresas bajo la figura del monitoreo de logs, lo que vendría siendo nuestra torre de vigilancia.

 

Monitoreo de logs desde el punto de vista de la empresa

Estos programas de monitoreo de logs supervisan la actividad de la red, inspeccionan los eventos del sistema y almacenan diferentes acciones (por ejemplo, cambiar el nombre de un archivo o abrir una aplicación) que ocurren dentro de los sistemas vigilados, contando con la capacidad de consolidar aquellos datos que podrían alertarte sobre una violación de políticas de seguridad.

Los archivos de registro sin formato también se conocen como registros de auditoría o registros de eventos que a fin de cuentas se relacionan con la gestión de logs.

La mayoría de los sistemas y herramientas para análisis de logs generan registros que incluyen sistemas operativos, navegadores de Internet, sistemas de punto de venta, estaciones de trabajo, eventos de logueo, antimalware, firewalls y sistemas de detección de intrusos (IDS).

Algunos sistemas no habilitan automáticamente el registro, por lo que es importante validar que éstos se encuentren activados.

Algunas herramientas aún cuando generan reportes, no proporcionan soluciones de administración de registros de eventos, tampoco permiten correlacionar la información obtenida o almacenarla en el tiempo. Por ello es muy importante conocer las capacidades de tus sistemas, las políticas de seguridad y, de ser necesario, instalar un software de gestión y supervisión de registros de terceros.

Es crucial que las empresas estén muy conscientes de lo que está sucediendo en sus sistemas a través de la revisión periódica de los registros de seguridad.

Las revisiones de registros de seguridad muestran aquellas actividades sospechosas en los sistemas y permiten actuar en consecuencia.

Las compañías deben revisar sus registros diariamente para buscar errores, anomalías o actividades sospechosas que infrinjan las políticas de seguridad o estándares establecidos.

 

No mirar los registros, el gran error de las organizaciones

Desde el punto de vista de seguridad, el propósito de las herramientas de gestión y monitoreo de logs es permitir la trazabilidad de los acontecimientos en la infraestructura de TI, para así poder mitigar amenazas o prevenir inconvenientes.

Revisar los logs regularmente, puede ayudarte a identificar ataques maliciosos en los sistemas de tu organización. Dada la gran cantidad de datos de registro generados por los sistemas, puede resultar muy engorroso revisarlos de forma manual o asignar a un recurso en el área de TI para la realización de esta tarea de forma exclusiva.

El software de monitoreo de registros facilita esta tarea mediante la aplicación de reglas que automatizan la revisión de estos registros, para generar alertas solo para aquellos eventos que puedan representar problemas, violación de políticas, incumplimiento de estándares o amenazas. Estas alertas se generan en tiempo real y pueden ser enviadas por diferentes medios como SMS, correo electrónico o incluso, gráficamente.

Los diseños, componentes y tamaños de las redes son propios y diferentes para cada organización, por lo que configurar las reglas que filtrarán la vasta cantidad de logs generados es fundamental y, a menudo, requiere algo de tiempo y análisis previos para hacerlo de la mejor manera. Esta parte de la supervisión de logs es la fase que podríamos denominar como "artística" en la que se ajustan las configuraciones a tu entorno y necesidades en materia de TI.

 

Tipos de eventos a considerar cuando configuras tu administrador de registros:

No importa cuáles sean los tipos de logs o las herramientas para análisis de logs que trabajes en la empresa, siempre has de tener presente:

  • Cambios de contraseña.
  • Inicios de sesión no autorizados.
  • Fallos de inicio de sesión.
  • Nuevos eventos de inicio de sesión.
  • Detección de malware.
  • Ataques de malware vistos por IDS u otra evidencia.
  • Escaneo en firewalls de puertos abiertos y cerrados.
  • Ataques de denegación de servicio.
  • Errores en dispositivos de red.
  • Cambios de nombre de archivo.
  • Cambios en la integridad del archivo.
  • Datos exportados.
  • Nuevos procesos iniciados o procesos en ejecución detenidos.
  • Eventos de acceso compartido.
  • Eventos desconectados.
  • Instalación de nuevos servicios.
  • Auditoría de archivos.
  • Nuevas cuentas de usuario.
  • Valores de registro modificados.
  • Eventos de logueo fuera del horario laboral.
  • Intento de acceso a sistemas por parte de perfiles no autorizados.

5 tips para una buena gestión de logs:

Para aprovechar las ventajas de la administración de registros y eliminar rápidamente los ataques, comprueba tu estrategia de seguridad y asegúrate de que estos pasos están siendo atendidos.

  1. Decidir cómo y cuándo generar registros.
  2. Asegurar tus registros almacenados para que no sean alterados maliciosamente por los cibercriminales o accidentalmente alterados por empleados bien intencionados.
  3. Asignar a una persona de confianza la responsabilidad de revisar los registros periódicamente.
  4. Conformar un equipo idóneo y empoderado para actuar frente a alertas sospechosas.
  5. Configurar reglas para la generación de alertas (por ejemplo, intentos de inicio de sesión fallidos por minuto, adición de nuevas cuentas de usuario, valores de registro modificados, etc.). Tómate tu tiempo en esta tarea,  no es recomendable aplicar al 100% las plantillas proporcionadas por el fabricante.

Estar al tanto de los registros significa un tiempo de respuesta más rápido a los eventos de seguridad y mayor proactividad frente a los mismos.

Estos análisis y los reportes generados por la herramienta te ayudarán a demostrar el cumplimiento de normas como PCI, HIPAA, SOX e incluso, normas locales, como aquellas definidas en la  Circular 007 , y te permitirán actuar oportunamente para eliminar los inconvenientes de seguridad encontrados y así mitigar amenazas internas y/o externas.

¿Necesitas apoyo? Lee aquí cómo optimizar el desempeño de tu infraestructura TI

infraestructura-ti-empresa

Deja un comentario

¡Mantente informado! Te invitamos a suscribirte a nuestro blog