Logs, testigos y guardianes de la organización

Imagine que usted es culé, se encuentra en la oficina y ha de ausentarse de su puesto de trabajo para meterse en una reunión. Cuando regresa, encuentra que la imagen de su fondo de escritorio ha sido sustituida por una foto de Cristiano Ronaldo, vestido de blanco, marcando un gol. ¿Qué es lo primero que pregunta?: “¿Quién ha estado tocando mi ordenador?”

Ahora imagine eso mismo en una empresa. En lugar de la anécdota de la foto de fútbol, lo que sucede es que se han copiado todos los datos de las tarjetas de crédito de los clientes. Se han cometido delitos, se ha robado a los clientes, éstos han interpuesto denuncias a su empresa y han perdido toda confianza en usted… de nuevo la pregunta: “¿Quién ha estado tocando en el servidor?”

En el ejemplo de la oficina es posible que algún compañero haya visto al autor de la tropelía y se lo cuente a usted pero, ¿qué sucede en la empresa? ¿Dónde se encuentran los testigos? Es precisamente aquí donde una buena gestión de logs no sólo puede convertirse en el mejor de los testigos sino, además, en el mejor de los guardianes.

Estos ficheros, que recogen todos los sucesos del sistema, proporcionan toda la información necesaria para conocer con todo lujo de detalle las incidencias en los servidores corporativos. Cortafuegos, sistemas de prevención y detección de intrusiones, antimalware, sistemas operativos, conmutadores, enrutadores, aplicaciones, servidores… todos ellos nutren los ficheros de logs, con lo que la fotografía de procesos de todo el entorno corporativo alcanza un elevado grado de exactitud.

Sin embargo, dado el elevado volumen de transacciones de información que se produce, se acumula una ingente cantidad de información que queda almacenada en los servidores como meros datos; si éstos no son monitorizados no se transforman en información útil para el negocio. En cambio, si se les hace el debido seguimiento, los logs se convierten en la principal fuente de información de toda la actividad que se registra en la red y sistemas corporativos.

No obstante, este es precisamente uno de los puntos en los que suelen fallar muchas empresas puesto que, si bien se ha ido superando la reticencia a implantar sistemas de gestión de logs, lo que aún no se ha desterrado es esa pereza ilógica hacia la revisión continua, al menos una vez al día. ¿Por qué renunciar a detectar con antelación los posibles ataques o intrusiones? ¿Por qué obviar la información detallada que podemos obtener tras un incidente en nuestra red?

Análisis forense
Las herramientas de gestión de logs se han convertido en la mejor garantía que tienen a día de hoy las empresas para eliminar el anonimato de los ciber delincuentes que tratan de infringir daño de alguna manera a la organización. Gracias al tratamiento de la información se pueden establecer ciertos niveles de alerta que, en el pasado, no se contemplaban, pero no por ello dejaban de existir y suponer un riesgo para la integridad de la información corporativa.

El hackeo de contraseñas, los ataques de malware, los escaneos de puertos, los ataques de denegación de servicios, incidencias de errores de acceso en dispositivos, violaciones de políticas de seguridad, etc. forman parte del día a día de la red corporativa de casi cualquier organización y no por ignorarlos dejan de acontecer.

La información que proporcionan los ficheros de logs se enlazan directamente con aplicaciones de cuadros de mando que permiten establecer con relativa facilidad las medidas correctivas necesarias para reducir riesgos a la mínima expresión.  Esta información puede ser, además, almacenados con datos cifrados o, incluso, aplicando firma digital para incorporar un nuevo nivel de seguridad.

Los beneficios de la gestión de logs no sólo vienen de la mano de la prevención, sino que resultan especialmente decisivos en los análisis forenses tras una incidencia informática. Sólo a través de los logs se podrá bajar al nivel de detalle necesario para poder averiguar e identificar dónde se ha producido la brecha de seguridad, quién ha sido el responsable de abrirla y en qué máquinas específicas se ha desarrollado.

Por este motivo, las herramientas de gestión de logs han de ser altamente flexibles y, sobre todo, vivas, dinámicas y muy escalables. No se trata sólo de almacenar todos los logs sino, además, de poder introducir los agentes necesario para realizar los correspondientes filtrados y tratar con más precisión toda la información. De ello dependerá la reducción en los tiempos de respuesta que, en procesos de análisis forense, puede ser determinante.

Por otro lado, no sólo las empresas han de ver en este tipo de soluciones un salvavidas para sus negocios, sino también las Administraciones Públicas. De hecho y en cierto modo, contar con una correcta gestión de logs por parte de la Administración debería formar parte de los niveles de calidad del servicio público en el sentido de que, dado que cada veza se vuelcan más trámites electrónicos en las webs oficiales, es preciso salvaguardar toda la información que el ciudadano pone a disposición de los organismos.

Complejidad sencilla
La implantación de una herramienta requiere, por lo general, del asesoramiento de un profesional, puesto que ha de manejar un extraordinario volumen de protocolos de comunicación, procedentes tanto de aplicaciones propietarias como comerciales. Sin embargo, su administración y mantenimiento ha de ser lo más sencillo posible y, a ser posible, si necesidad tener que contar con expertos de seguridad internos para construir reglas e informes de detección de amenazas de los clientes. El grado de simplificación en este sentido es tal, que es posible recibir las alertas vía e-mail, SNMP o interfaz web.

Afortunadamente, ya existen en el mercado este tipo de herramientas con capacidades de almacenamiento de más de 30 TB, pudiendo ser implantadas de un modo progresivo, comenzando por ciertas áreas o departamentos de la organización e, incluso, haciéndolas trabajar de un modo integrado con el resto de soluciones o por separado, en función de las necesidades específicas y del tamaño de la red corporativa.

Ya es posible no sólo contar con los testigos –logs- de nuestra red corporativa sino, además, hacerlos funcionar como auténticos guardianes de nuestra organización, salvaguardando nuestros propios recursos y, además, los que nuestros clientes nos confían.

Autor: Susana Heras Aznar, Product Manager ArcSight &Tipping Point (MAMBO TECHNOLOGY)
Fuente: CSO España