Más empresas están utilizando sus registros de seguridad para detectar incidentes maliciosos. Muchos de ellos están recopilando demasiados datos de registro, a menudo miles de millones de eventos. Se jactan del tamaño de sus matrices de unidades de almacenamiento de registros. Se miden en terabytes o petabytes?
Una montaña de datos no les proporciona tanta información útil como les gustaría. A veces menos es más. Si recibe tantas alertas que no puede responder adecuadamente a todas, entonces algo tiene que cambiar. Un sistema de gestión de registros centralizado puede ayudar. Esta introducción rápida a los registros y las recomendaciones de expertos ayudan a los nuevos administradores del sistema a comprender lo que deben hacer para aprovechar al máximo los registros de seguridad.
Conceptos básicos de registro de eventos de seguridad
Una de las mejores guías para el registro de seguridad es la Publicación Especial 800-92 de National Instituted of Standards & Technology (NIST), Guía para la Administración de Registros de seguridad Informática. Aunque es un poco anticuado, escrito en 2006, todavía cubre bien los conceptos básicos de la administración de registros de seguridad.
Coloca los generadores de registros de seguridad en tres categorías: sistema operativo, aplicación o software específico de seguridad (por ejemplo, cortafuegos o sistemas de detección de intrusos ). La mayoría de las computadoras tienen docenas de registros. Las computadoras Microsoft Windows vienen con tres registros de eventos binarios principales: sistema, aplicación y seguridad. Desafortunadamente, los nombres pueden ser engañosos, y las pruebas de eventos de seguridad a menudo se almacenan en los tres registros.
Desde Windows Vista, esos tres archivos de registro principales se dividen en casi un centenar de vistas diferentes para una digestión más enfocada. Al menos una docena son registros de texto o binarios, incluso sin ninguna otra aplicación instalada. Un sistema de estilo Unix generalmente tiene un archivo de registro de sistema centralizado junto con otros archivos de registro basados en texto para todas las diversas aplicaciones y demonios. Muchos administradores redirigen los archivos individuales al archivo syslog principal para centralizar las cosas.
Los smartphones y otros dispositivos informáticos suelen tener también archivos de registro. La mayoría son similares a syslog, pero no se pueden ver ni acceder fácilmente. La mayoría requiere que el dispositivo se ponga en un modo especial de registro de depuración o que descargue software adicional para ver o configurar los archivos de registro. Una excepción son los registros de bloqueo de iPhone, que iTunes sincroniza con el PC host en cada conexión.
Los archivos de registro de seguridad en dispositivos móviles son mucho más difíciles de acceder y mucho menos útiles una vez que lo haces. Es posible que pueda obtener información básica sobre un evento de seguridad, pero con mucho menos detalle del que puede obtener de una computadora personal promedio. Muchos administradores instalan una aplicación de terceros para recopilar datos de registro de seguridad más completos desde un dispositivo móvil.
Windows habilita la mayoría de los archivos de registro de forma predeterminada, aunque es posible que deba definir el nivel de registro que desea. Activar el mayor detalle posible solo debe hacerse durante una necesidad específica o al intentar rastrear un evento de seguridad activo y conocido. De lo contrario, el número de mensajes de eventos puede abrumar rápidamente a un sistema. Muchos sistemas se han bloqueado porque los administradores de sistemas bien intencionados activaron el registro más detallado para ayudar a diagnosticar algo y luego se olvidaron de desactivarlo.
Los sistemas de estilo Unix suelen tener syslog habilitado de forma predeterminada, y puede configurar el nivel de detalle. Muchos otros archivos de registro de aplicaciones y seguridad están deshabilitados de forma predeterminada, pero puede habilitar cada uno individualmente con una sola línea de comandos.
Cada dispositivo de red, aplicación de seguridad y dispositivo generará sus propios registros. En total, un administrador del sistema tendrá cientos de archivos de registro para elegir. Un sistema de usuario final típico puede generar de miles a decenas de miles de eventos por día. Un servidor puede generar fácilmente de cientos de miles a millones de eventos al día.
Tip: A menos que sepa de un evento de seguridad en curso, la configuración de registro predeterminada proporcionará información más que suficiente para la mayoría de las necesidades de seguridad. Comience con los valores predeterminados y agregue archivos de registro y detalles solo según sea necesario. Si activa el registro detallado, haga un recordatorio para desactivar los detalles adicionales más adelante para que no se olvide.
Registro centralizado de eventos de seguridad
Cada administrador desea recopilar los archivos de registro predeterminados más comunes de cada equipo en una ubicación centralizada. El valor de agregar todos los datos a una base de datos centralizada para alertas y análisis simplemente no se puede subestimar. La pregunta es: ¿Cómo se agregan todos esos datos y cuánto?
La mayoría de los sistemas tienen la capacidad de enviar sus archivos de registro principales a una ubicación centralizada. Casi siempre obtendrá mucho más valor y versatilidad al usar un agente de terceros creado exactamente para recopilar y enviar información de registro de eventos. Muchos administradores usan utilidades gratuitas para hacerlo, pero la mayoría de las opciones comerciales son mejores.
Querrá un sistema de gestión de registros centralizado para recopilar, almacenar y analizar todos los datos. Hay cientos de opciones y proveedores para elegir. Tiene opciones de solo software y dispositivos, y estas últimas proporcionan un mejor rendimiento con mayor facilidad en la mayoría de los casos. Elija una opción que le permita recopilar datos de eventos de manera eficiente y segura de la mayoría de sus fuentes. No desea enviar datos de registro de eventos por cable en texto claro. El software de gestión de registros de eventos debe agregar los datos, normalizarlos (convertirlos a un formato común), alertar sobre eventos anómalos y permitirle ejecutar consultas.
Antes de elegir cualquier solución, pruebe antes de comprar. Desea poder escribir cualquier consulta y obtener una respuesta en un tiempo razonable. Si esperas de 10 a 15 segundos para obtener una respuesta, usarás menos el análisis del registro de eventos y comenzará a perder su valor.
La mayoría de las empresas recopilan todos los datos de los principales archivos de registro predeterminados, y puede resultar abrumador, tanto desde el punto de vista del rendimiento de utilización de la red como del almacenamiento. Lo digo literalmente, no en sentido figurado. La mayoría de los administradores experimentados tienen una historia de cómo la agregación de sus registros de eventos afectó el rendimiento de su red hasta que optimizaron su registro de eventos.
Haga lo que haga, no solo recopile información de los servidores. Hoy en día, la mayoría de los compromisos comienzan en las estaciones de trabajo del usuario final. Si no recopila los archivos de registro de los equipos cliente, perderá la mayoría de los datos valiosos.
Tip: Genere tantos detalles como necesite en el sistema local, pero filtre y envíe solo los eventos más valiosos y críticos a su sistema de administración de registros centralizado. Envíe lo que sea necesario para generar alertas para todos sus eventos de seguridad más importantes, pero deje el resto en el sistema local. Siempre puede recuperar el detalle agregado cuando sea necesario. Con este método, puede obtener los datos que necesita para recibir alertas e iniciar investigaciones forenses, pero sin sobrecargar su red y dispositivos de almacenamiento. Siempre existe la posibilidad de que un chico malo pueda eliminar los datos de registro de eventos locales antes de que pueda recuperarlos, pero en la práctica casi nunca he visto que eso suceda.
Obtener información de registro útil
La parte más difícil de cualquier sistema de administración de registros de eventos es obtener suficiente información para poder detectar todos los eventos de seguridad necesarios, sin sobrecargar su sistema con demasiado ruido. Incluso en los sistemas de gestión más eficientes, la mayoría de los datos de registro de eventos recopilados serán ruido. Es la forma en que funciona la gestión del registro de eventos.
Consejo: Asegúrese de que la fecha y la hora estén configuradas correctamente en todos sus sistemas. Al tratar de correlacionar eventos, debe tener la hora exacta.
Donde los sistemas de gestión de registros de eventos muestran su valor real en qué tan bien filtran el ruido innecesario y alertan sobre eventos útiles y procesables. Los eventos críticos siempre deben llevar a una alerta inmediata y a una investigación receptiva. Un registro de eventos debe definirse como procesable cuando el registro de eventos indica una gran probabilidad de actividad maliciosa, actividad excesiva (sostenida) del sistema, caída inesperada (sostenida) de la actividad del sistema o problemas o fallos de rendimiento de aplicaciones de misión crítica.
Un buen sistema de gestión de registros de eventos viene con alertas comunes predefinidas (por ejemplo, bloqueos excesivos de cuentas) y permite a los administradores crear sus propios eventos (desviaciones de las líneas de base esperadas que exceden un cierto umbral). Es posible que se necesiten varios eventos correlacionados de varios sistemas para generar una alerta. Dependiendo de la rareza del evento, un solo evento (por ejemplo, iniciar sesión en una cuenta falsa de «trampa») es suficiente para generar una alerta. Un buen sistema viene con los eventos sobre los que la mayoría de los administradores quieren alertar y con suficientes filtros para eliminar la basura.
Sugerencia: Comience por definir todos los eventos relacionados con los ataques exitosos más recientes y más probables en el futuro de su empresa, y luego averigüe qué mensajes y alertas de eventos necesita definir para detectar y detener esos ataques. Tiene muchos, muchos eventos de seguridad de los que preocuparse, pero los más importantes para monitorear y alertar sobre los que probablemente se usarán en el futuro contra su empresa.
Un buen registro de eventos consiste en extraer los eventos críticos y alertas necesarios de una cantidad de información abrumadora. El problema para la mayoría de los administradores no es obtener suficiente información, sino obtener la información verdaderamente útil de un abrumador tsunami de eventos. Un buen sistema de gestión de registros de eventos lo ayuda a hacerlo.