La importancia de los registros de sistema
Habitualmente, todos los profesionales que nos dedicamos en mayor o
menor medida a la seguridad nos vemos en la necesidad de gestionar
incidentes de seguridad; para ello, nuestra mayor fuente de información
suelen ser los registros o logs de los sistemas implicados, tanto a
nivel de comunicaciones (routers, cortafuegos, IDS, etc) como a nivel de
sistema (Unix, Windows, Linux, etc.) y de aplicación (servidor web,
servidor de correo, etc.). Desgraciadamente, es habitual que cuando el
potencial cliente ha contactado con nosotros, su personal técnico,
siempre con buena intención, haya realizado acciones que invalidan
parcial o incluso totalmente los registros y con ello cualquier vía de
investigación: formateo de servidores, borrado de logs, limpieza manual
de entradas, etc. Como es natural, esto limita sensiblemente la
información del incidente que se puede obtener, por lo que es
imprescindible que no se lleven a cabo acciones que puedan modificar “la
escena del crimen”, casi de la misma manera que puede verse en una
película policíaca. No obstante, dejemos eso para una entrada sobre
análisis forense y pasemos al análisis de los registros.
A la hora de analizar estos logs nos encontramos principalmente dos problemas. El primero es su fiabilidad ya que ante un sistema comprometido, es inevitable preguntarse: ¿cómo de fiables son nuestros registros?, puesto que probablemente hayan sido alterados o borrados. El segundo problema tiene mucho que ver con la correlación temporal de la información contenida en los registros implicados en el incidente, generando preguntas del tipo: ¿las fechas de los diferentes sistemas se encuentran sincronizadas? ¿Qué sucedió antes y qué después? ¿De qué volumen de logs del incidente dispongo? ¿Hasta cuándo puedo retroceder?
Contenido completo en Security Art Work
A la hora de analizar estos logs nos encontramos principalmente dos problemas. El primero es su fiabilidad ya que ante un sistema comprometido, es inevitable preguntarse: ¿cómo de fiables son nuestros registros?, puesto que probablemente hayan sido alterados o borrados. El segundo problema tiene mucho que ver con la correlación temporal de la información contenida en los registros implicados en el incidente, generando preguntas del tipo: ¿las fechas de los diferentes sistemas se encuentran sincronizadas? ¿Qué sucedió antes y qué después? ¿De qué volumen de logs del incidente dispongo? ¿Hasta cuándo puedo retroceder?
Contenido completo en Security Art Work
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!