En el artículo de cierre de nuestra serie de análisis de las vulnerabilidades OWASP top 10, nos referimos al registro y monitoreos insuficientes, y destacamos su importancia para mantener a la casa en orden. Más de una vez hemos escuchado que “la historia se repite”, que “no hay que tropezar dos veces con la misma […]
En el artículo de cierre de nuestra serie de análisis de las vulnerabilidades OWASP top 10, nos referimos al registro y monitoreos insuficientes, y destacamos su importancia para mantener a la casa en orden.
Más de una vez hemos escuchado que “la historia se repite”, que “no hay que tropezar dos veces con la misma piedra”, y frases que nos explican la importancia de aprender de la historia. Pues bien, para aprender de ella, un requisito sine qua non es que haya dicha historia, que haya algún registro de los hechos ocurridos.
En ámbitos científicos y de ingeniería, los errores son un tesoro; su estudio permite perfeccionar los procesos y en las industrias mejor desarrolladas, la documentación es mandatoria e indispensable. Y hoy, factores como la mayor penetración de internet y por ende, la hiperconexión, aumentan el nivel de complejidad de los sistemas existentes. En este estado de hiperentropía, el anticipar las movidas de los cibercriminales sin estudiar continuamente sus pasos es imposible. Y es en este contexto que la décima vulnerabilidad más habitual al momento de desarrollar es la falta de registro y monitoreo.
La vulnerabilidad de registro y supervisión insuficiente se produce cuando los eventos críticos para la seguridad no se registran correctamente y el sistema no está supervisando los acontecimientos actuales. Sin lugar a dudas, la falta de estas funcionalidades puede hacer que las actividades maliciosas sean más difíciles de detectar y afecta el manejo efectivo de incidentes cuando ocurre un ataque. La arquitectura de registro típica debería generar registros de seguridad y operativos, analizar, almacenar y supervisar esos registros. Esto no solo es importante para lidiar con las amenazas resultantes de un registro y monitoreo insuficientes, sino también, hoy en día y cada vez más, para el cumplimiento normativo que industrias más desarrolladas se están preocupando de establecer.
La recopilación de datos de registro generalmente se recomienda como la mejor práctica de la industria de la seguridad, pero para adoptar esta práctica tiene que haber un cambio de mentalidad en la industria. Ya no es suficiente saber quién hizo qué, sino que debemos comprender por qué somos vulnerables, para mitigar estas vulnerabilidades antes de que sean aprovechadas por nuestros atacantes, y para mantenerse adaptados a las condiciones siempre cambiantes del entorno (y para evitar las multas!).
Los registros de seguridad son diferentes a los registros operativos. Los registros operativos o del sistema operativo incluyen eventos de rutina del sistema, como inicios de sesión y paradas en estaciones de trabajo, servidores y redes. También incluyen registros de software de seguridad asociado. Los registros de seguridad del software de seguridad incluyen registros de firewalls, enrutadores y dispositivos y servicios de seguridad de host o red. Los registros operativos son indispensables para perfeccionar una actividad cuestionable que puede provocar un ataque a sus datos más importantes y de misión crítica. Sin embargo, los registros de seguridad a menudo se consideran complementarios, según lo que requiera una empresa en particular para investigar una vulnerabilidad o amenaza. De cualquier manera, ambos tipos de registros son invaluables para identificar y resolver el registro insuficiente y monitorear las vulnerabilidades.
Mientras que los registros proporcionan una visión general de lo que ya ha ocurrido, el monitoreo puede proporcionar una visión general de lo que está sucediendo actualmente, en tiempo real y si bien algunas formas de monitoreo están más involucradas que otras, todas proporcionan información adicional sobre el medio ambiente. El monitoreo adecuado puede contar una historia sobre patrones de tráfico generales o la utilidad del sistema que puede ayudar a descubrir problemas.
La prevención es clave. No todos los registros son claros o legibles. Deben ser monitoreados y validados a un ritmo acorde con su impacto en el negocio.
La falta de monitoreo proactivo influye en el rendimiento de la aplicación. En este entorno de trabajo complejo y dinámico, las herramientas de administración convencionales son incapaces de ofrecer una imagen completa del riesgo y la disponibilidad de la aplicación. A medida que varias empresas se desplazan hacia entornos de computación híbridos y convergentes, parece un desafío ofrecer una visibilidad completa a través de recursos externos e internos. La falta de monitoreo efectiva de extremo a extremo puede impedir que el sistema de TI comprenda la capacidad de las aplicaciones en una situación crítica.
Alertas de actividad maliciosas no detectadas en tiempo real.Como decíamos anteriormente, es preciso efectuar un cambio de mentalidad en torno al logging o registro y monitoreo. Para esto es ideal implementar una política de registro y monitoreo. Esto nos ayudaría a:
·Reducir el riesgo de incumplimiento mediante la creación de pistas de auditoría claras
·Ayudar a establecer objetivos de registro y cumplimiento
·Establecer una estandarización interna para los procedimientos, incluyendo quién administra esos procedimientos
·Proteger datos sensibles y de misión crítica.
Se acerca el término del 2018, y si lo comparamos con el 2017, este año no fue tan terrible en términos de seguridad informática. Vimos algunos avances en materia de ciberseguridad y protección de datos personales, tanto a nivel nacional como global. Analizamos las -posibles- tendencias para el próximo año, y te las contamos a continuación.
Como es de costumbre, este año nuevamente se realizará el evento de seguridad 8.8 Solidario, en apoyo a la teletón 2018. El encuentro será hoy 30 de noviembre y las actividades comienzan desde las 2PM. A los asistentes se le pedirá un aporte voluntario para la teletón.