Buenas prácticas de desarrollo seguro: A10 – Registro y monitoreo insuficiente

En el artículo de cierre de nuestra serie de análisis de las vulnerabilidades OWASP top 10, nos referimos al registro y monitoreos insuficientes, y destacamos su importancia para mantener a la casa en orden.

Más de una vez hemos escuchado que “la historia se repite”, que “no hay que tropezar dos veces con la misma piedra”, y frases que nos explican la importancia de aprender de la historia. Pues bien, para aprender de ella, un requisito sine qua non es que haya dicha historia, que haya algún registro de los hechos ocurridos.

En ámbitos científicos y de ingeniería, los errores son un tesoro; su estudio permite perfeccionar los procesos y en las industrias mejor desarrolladas, la documentación es mandatoria e indispensable. Y hoy, factores como la mayor penetración de internet y por ende, la hiperconexión, aumentan el nivel de complejidad de los sistemas existentes. En este estado de hiperentropía, el anticipar las movidas de los cibercriminales sin estudiar continuamente sus pasos es imposible. Y es en este contexto que la décima vulnerabilidad más habitual al momento de desarrollar es la falta de registro y monitoreo.

La vulnerabilidad de registro y supervisión insuficiente se produce cuando los eventos críticos para la seguridad no se registran correctamente y el sistema no está supervisando los acontecimientos actuales. Sin lugar a dudas, la falta de estas funcionalidades puede hacer que las actividades maliciosas sean más difíciles de detectar y afecta el manejo efectivo de incidentes cuando ocurre un ataque. La arquitectura de registro típica debería generar registros de seguridad y operativos, analizar, almacenar y supervisar esos registros. Esto no solo es importante para lidiar con las amenazas resultantes de un registro y monitoreo insuficientes, sino también, hoy en día y cada vez más, para el cumplimiento normativo que industrias más desarrolladas se están preocupando de establecer.

La recopilación de datos de registro generalmente se recomienda como la mejor práctica de la industria de la seguridad, pero para adoptar esta práctica tiene que haber un cambio de mentalidad en la industria. Ya no es suficiente saber quién hizo qué, sino que debemos comprender por qué somos vulnerables, para mitigar estas vulnerabilidades antes de que sean aprovechadas por nuestros atacantes, y para mantenerse adaptados a las condiciones siempre cambiantes del entorno (y para evitar las multas!).

Registros operativos v/s registros de seguridad

Los registros de seguridad son diferentes a los registros operativos. Los registros operativos o del sistema operativo incluyen eventos de rutina del sistema, como inicios de sesión y paradas en estaciones de trabajo, servidores y redes. También incluyen registros de software de seguridad asociado. Los registros de seguridad del software de seguridad incluyen registros de firewalls, enrutadores y dispositivos y servicios de seguridad de host o red. Los registros operativos son indispensables para perfeccionar una actividad cuestionable que puede provocar un ataque a sus datos más importantes y de misión crítica. Sin embargo, los registros de seguridad a menudo se consideran complementarios, según lo que requiera una empresa en particular para investigar una vulnerabilidad o amenaza. De cualquier manera, ambos tipos de registros son invaluables para identificar y resolver el registro insuficiente y monitorear las vulnerabilidades.

Monitoreo

Mientras que los registros proporcionan una visión general de lo que ya ha ocurrido, el monitoreo puede proporcionar una visión general de lo que está sucediendo actualmente, en tiempo real y si bien algunas formas de monitoreo están más involucradas que otras, todas proporcionan información adicional sobre el medio ambiente. El monitoreo adecuado puede contar una historia sobre patrones de tráfico generales o la utilidad del sistema que puede ayudar a descubrir problemas.

La prevención es clave. No todos los registros son claros o legibles. Deben ser monitoreados y validados a un ritmo acorde con su impacto en el negocio.

La falta de monitoreo proactivo influye en el rendimiento de la aplicación. En este entorno de trabajo complejo y dinámico, las herramientas de administración convencionales son incapaces de ofrecer una imagen completa del riesgo y la disponibilidad de la aplicación. A medida que varias empresas se desplazan hacia entornos de computación híbridos y convergentes, parece un desafío ofrecer una visibilidad completa a través de recursos externos e internos. La falta de monitoreo efectiva de extremo a extremo puede impedir que el sistema de TI comprenda la capacidad de las aplicaciones en una situación crítica.

Beneficios de los registros

  • Al responder a un incidente de seguridad, los registros ofrecen pistas sobre las acciones realizadas en el sistema.
  • Habilitar la investigación de delitos cibernéticos
  • Determinar el rendimiento
  • Identificar el origen de los ataques.
  • La revisión y evaluación de registros de rutina puede ayudar a determinar y reducir los incidentes de seguridad, actividades fraudulentas, infracciones de políticas y problemas operativos.

Errores en el proceso de registro y monitoreo frecuentes son:

  • Eventos no registrados, como credenciales de inicio de sesión fallidas
  • Registros almacenados localmente sin copia de seguridad en la nube
  • Configuraciones erróneas en cortafuegos y sistemas de enrutamiento
  • Alertas y respuestas posteriores que no se manejan de manera efectiva.

Alertas de actividad maliciosas no detectadas en tiempo real.Como decíamos anteriormente, es preciso efectuar un cambio de mentalidad en torno al logging o registro y monitoreo. Para esto es ideal implementar una política de registro y monitoreo. Esto nos ayudaría a:

·Reducir el riesgo de incumplimiento mediante la creación de pistas de auditoría claras

·Ayudar a establecer objetivos de registro y cumplimiento

·Establecer una estandarización interna para los procedimientos, incluyendo quién administra esos procedimientos

·Proteger datos sensibles y de misión crítica.