Con el registro de actividades, registras las actividades de cada usuario que accede a tu red o nube.
Hay muchos usos para el registro de actividades, desde confirmar que los trabajadores siguen siendo productivos y centrados en sus tareas hasta mitigar las amenazas de ciberseguridad.
En el caso de una violación de seguridad, puedes volver y mirar los registros de actividad para ver cómo ocurrió la violación y si parece ser intencional.
Alternativamente, puedes usar los registros de actividad para confirmar que no hay amenazas de seguridad que puedan plantear un problema potencial en el futuro.
Si encuentras una potencial de amenaza a través de los registros de actividad, serás capaz de actuar con rapidez para evitar que el ciberataque. Para aprovechar al máximo el registro de actividades, asegúrate de seguir las mejores prácticas para esta técnica de seguridad.
Indice
¿Qué es un registro de actividad?
Es un registro de los hechos que suceden dentro de los sistemas y redes de una empresa. Los registros están compuesto de entradas de registro. En cada entrada se incluye información relativa al hecho específico ocurrido dentro de un sistema o red.
En un principio, los registros se usaban principalmente para solucionar problemas, pero ahora cumplen muchas funciones dentro de la mayoría de las organizaciones, como la optimización del sistema y la red rendimiento, registrar las acciones de los usuarios y proporcionar datos útiles para investigar actividades maliciosas.
Los registros han evolucionado para contener información relacionada con muchos tipos diferentes de eventos que ocurren dentro de redes y sistemas. Dentro de una organización, muchos registros contienen registros relacionados con la seguridad informática.
Ejemplos comunes de estos registros de seguridad informática son los registros de auditoría que rastrean los intentos de autenticación del usuario
y registros de dispositivos de seguridad que registran posibles ataques.
Debido al despliegue generalizado de servidores en red, estaciones de trabajo y otros dispositivos informáticos, y el número cada vez mayor de amenazas contra redes y sistemas, el número, el volumen y la variedad de los registros de seguridad informática ha aumentado considerablemente.
Esto ha creado la necesidad de un registro de gestión de seguridad informática, que es el proceso para generar, transmitir, almacenar, analizar y eliminar datos de registro de seguridad informática.
Fundamentos de los registros de seguridad informática
Los registros pueden contener una amplia variedad de información sobre los eventos que ocurren dentro de los sistemas y redes.
Las principales categorías de registros son:
- Registros de software de seguridad contienen principalmente información relacionada con la seguridad informática.
- Registros del sistema operativo y registros de aplicaciones normalmente contienen una variedad de información, incluidos datos relacionados con la seguridad informática.
Bajo diferentes conjuntos de circunstancias, muchos registros creados dentro de una organización podrían tener alguna relevancia para la seguridad informática.
Por ejemplo, los registros de dispositivos de red como conmutadores e inalámbricos, los puntos de acceso, y de programas como el software de monitoreo de red, pueden registrar datos que podrían ser de utilizar en seguridad informática u otras iniciativas de tecnología de la información (TI), como operaciones y auditorías, y para demostrar el cumplimiento de la normativa.
Las organizaciones deben considerar el valor de cada fuente potencial de datos de registro de seguridad informática al diseñar e implementar una infraestructura de gestión de registros.
La mayoría de las fuentes de las entradas de registro se ejecutan continuamente, por lo que generan entradas de forma continua. Sin embargo, algunas fuentes se ejecutan periódicamente, por lo que generan entradas en lotes, a menudo a intervalos regulares.
Categorías de registros de actividad
Software de seguridad
La mayoría de las organizaciones utilizan varios tipos de software de seguridad basado en red y host para detectar actividad maliciosa, proteger sistemas y datos, y apoyar los esfuerzos de respuesta a incidentes.
En consecuencia, el software de seguridad es una fuente importante de datos de registro de seguridad informática. Los tipos comunes de software de seguridad basado en red y en host incluyen los siguientes:
- Software antimalware
- Detección de intrusos y sistemas de prevención de intrusos
- Software de acceso remoto
- Proxies web
- Software de gestión de vulnerabilidades
- Servidores de autenticación
- Enrutadores
- Cortafuegos
- Servidores de cuarentena de red
Sistemas operativos
Los sistemas operativos (SO) para servidores, estaciones de trabajo y dispositivos de red (por ejemplo, enrutadores, conmutadores) generalmente
registrar una variedad de información relacionada con la seguridad.
Los tipos más comunes de datos del sistema operativo relacionados con la seguridad son los siguientes:
- Eventos del sistema
- Registros de auditoria
Los registros del sistema operativo son más beneficiosos para identificar o investigar actividades sospechosas que involucren a un host en particular.
Después de que el software de seguridad identifica una actividad sospechosa, a menudo se consultan los registros del sistema operativo para obtener más información sobre la actividad.
Por ejemplo, un dispositivo de seguridad de red podría detectar un ataque contra un objetivo particular; los registros del sistema operativo de ese host pueden indicar si un usuario inició sesión en el host en el momento del ataque y si el ataque fue exitoso.
Aplicaciones
Los sistemas operativos y el software de seguridad proporcionan la base y la protección para las aplicaciones, que son utilizadas para almacenar, acceder y manipular los datos utilizados para los procesos comerciales de la organización. Cada vez más, las organizaciones confían en una variedad de aplicaciones comerciales estándar, como servidores de correo electrónico, servidores web y navegadores, servidores de archivos para compartir archivos y servidores de bases de datos.
La mayoría de las organizaciones también utilizan aplicaciones desarrolladas a medida y adaptadas a sus requisitos específicos.
Algunas aplicaciones generan sus propios archivos de registro, mientras que otras utilizan las capacidades de registro del sistema operativo en
que están instaladas Las aplicaciones varían significativamente en los tipos de información que registran.
A continuación se enumeran algunos de los tipos de información más comúnmente registrados:
- Solicitudes del cliente y las respuestas del servidor, que pueden ser muy útiles para reconstruir secuencias de eventos y determinar su resultado aparente.
- Información de la cuenta, como intentos de autenticación exitosos y fallidos, cambios en la cuenta y uso de privilegios.
- Información de uso, como la cantidad de transacciones que ocurren en un período determinado y el tamaño de las transacciones.
- Acciones operativas significativas como inicio y cierre de aplicaciones, fallos de aplicaciones, y cambios importantes en la configuración de la aplicación.
Utilidad de los registros
Las categorías de registros descritas generalmente contienen diferentes tipos de información. En consecuencia, algunos registros son generalmente más propensos que otros a registrar información que sería útil para diferentes situaciones, como la detección de ataques, fraude y uso inapropiado.
En cada tipo de situación, ciertos registros suelen ser los más propensos a contener información detallada sobre la actividad en cuestión. Otros registros generalmente contienen información menos detallada y, a menudo, solo son útiles para eventos correlacionados registrados en los tipos de registro primarios.
Por ejemplo, un sistema de detección de intrusos podría grabar comandos maliciosos emitidos a un servidor desde un host externo. Esta sería una fuente primaria de información de ataque. Un controlador de incidentes podría revisar un registro de firewall para buscar otros intentos de conexión de la misma dirección IP de origen. Esta sería una fuente secundaria de información de ataque.
Los administradores que usan registros también deben tener en cuenta la confiabilidad de cada fuente de registro. Fuentes de registro que no están debidamente aseguradas, incluidos los mecanismos de transporte inseguros, son más susceptibles de iniciar sesión, cambiar la configuración y alterar el registro.
Necesidad de gestión de registros
La gestión de registros puede beneficiar a una organización de muchas maneras.
Ayuda a garantizar que la seguridad informática para que los registros se almacenen con suficiente detalle durante un período de tiempo apropiado.
Revisiones y análisis de registro de rutina son beneficiosos para identificar incidentes de seguridad, infracciones de políticas, actividades fraudulentas y problemas poco después de que ocurran, y para proporcionar información útil para resolver tales problemas.
Los registros también pueden ser útiles para realizar auditorías y análisis forenses, apoyando las investigaciones internas de la organización, establecer líneas de base e identificar tendencias operativas y problemas a largo plazo.
Desde el punto de vista de la seguridad cibernética, puede utilizarse un registro de actividad para descubrir quién instaló software no autorizado o qué dirección IP descargó un archivo. Esto te permitirá saber quién en tu equipo puede haber permitido intencionalmente o no una amenaza de ciberseguridad. Además, puede ayudarte a determinar si las acciones fueron intencionales y, de ser así, cuáles fueron los motivos.
Si determinas que las acciones no fueron intencionales, tener un registro de actividad que conduzca a un riesgo o incidente puede indicar qué capacitación adicional es necesaria.
El registro de actividades también ayudará a tu empresa con respecto a cuestiones no relacionadas con la ciberseguridad, proporcionando beneficios adicionales.
Puedes confirmar si los empleados completaron las acciones que debían hacer, como leer información en un sitio web específico. Incluso podrías llevar la actividad de registro un paso más allá y obtener información sobre cómo los empleados están completando sus tareas para ver si hay una manera de mejorar la eficiencia de sus acciones.
Desafíos en la gestión de registros de actividad
La mayoría de las organizaciones enfrentan desafíos similares relacionados con la administración de registros, que tienen el mismo problema subyacente: equilibrar efectivamente una cantidad limitada de recursos de administración de registros con un aumento constante de datos de registro.
Los tipos más comunes de desafíos se dividen en tres grupos.
1. Generación y almacenamiento de registros
En una organización típica, los sistemas operativos, el software de seguridad y otras aplicaciones de muchos hosts generan y almacenan registros.
Esto complica su gestión de las siguientes maneras:
- Muchas fuentes de registro. Los registros se encuentran en muchos hosts en toda la organización, lo que requiere gestión de registros a realizar en toda la organización.
- Contenido de registro inconsistente. Para mayor eficiencia, las fuentes de registro suelen registrar solo las piezas de información que consideran más importantes. Esto puede dificultar el enlace ya que eventos registrados por diferentes fuentes de registro es posible que no tengan valores comunes.
- Marcas de tiempo inconsistentes. Cada host que genera registros normalmente hace referencia a su reloj interno al establecer una marca de tiempo para cada entrada de registro. Si el reloj de un host no es exacto, las marcas de tiempo en los registros también serán inexactas. Esto puede dificultar el análisis de los registros, especialmente cuando los registros de múltiples hosts están siendo analizados.
- Formatos de registro inconsistentes. Muchos de los tipos de origen de registro utilizan diferentes formatos para sus registros. Algunos
registros están diseñados para que los humanos los lean, mientras que otros no. Algunos registros usan formatos estándar, mientras que
otros usan formatos propietarios. Algunos registros se crean no para el almacenamiento local en un archivo, sino para transmisión a otro sistema para procesamiento.
2. Protección de registros
Debido a que los registros contienen datos de la seguridad del sistema y la red, deben protegerse contra las infracciones de su confidencialidad e integridad.
Por ejemplo, los registros pueden capturar intencional o inadvertidamente información confidencial, como las contraseñas de los usuarios y el contenido de los correos electrónicos. Esto aumenta las preocupaciones de privacidad que involucran tanto a las personas que revisan los registros como a otras personas que podrían acceder a los registros a través de medios autorizados o no autorizados.
Registros que están asegurados incorrectamente en el almacenamiento o en tránsito también puede ser susceptible de alteración y destrucción intencional y no intencional. Esto podría causar una variedad de impactos, incluido permitir que las actividades maliciosas pasen desapercibidas.
Por ejemplo, muchos rootkits son específicamente diseñados para alterar registros y eliminar cualquier evidencia de su instalación o ejecución.
Las organizaciones también necesitan proteger la disponibilidad de sus registros. Muchos registros tienen un tamaño máximo y, cuando el límite de tamaño es alcanzado, el registro podría sobrescribir los datos antiguos con datos nuevos o detener el registro por completo, los cuales pueden causar una pérdida de disponibilidad de datos del registro.
La confidencialidad y la integridad de los registros archivados también deben protegerse.
3. Análisis de registros
En la mayoría de las organizaciones, los administradores de redes y sistemas han sido tradicionalmente responsables de realizar análisis de registro: estudiar entradas de registro para identificar eventos de interés. Los administradores responsables de realizar el análisis de registros a menudo no reciben capacitación para hacerlo ni herramientas efectivas para automatizar el proceso.
Otro problema es que muchos administradores consideran que el análisis de registros es aburrido y proporciona pocos beneficios por la cantidad de tiempo necesario. El análisis de registros a menudo se trata como reactivo, algo que debe hacerse después de que se haya solucionado un problema,
identificado a través de otros medios, en lugar de ser proactivo, para identificar la actividad en curso y buscar signos de problemas inminentes.
Enfrentando los desafíos
A pesar de los muchos desafíos que enfrenta una organización en la gestión de registros, existen algunas prácticas clave que puede seguir para evitar e incluso resolver muchos de estos obstáculos que enfrenta.
Las siguientes cuatro dan una breve explicación de estas soluciones:
- Prioriza la gestión de registros de manera adecuada en toda la organización.
- Establece políticas y procedimientos para la gestión de registros.
- Crea y mantén una infraestructura segura de gestión de registros.
- Proporciona apoyo adecuado para todo el personal con responsabilidades de gestión de registros.
Infraestructura de gestión de registros
Una infraestructura de gestión de registros consta del hardware, software, redes y medios utilizados para generar, transmitir, almacenar, analizar y eliminar datos de registro. La mayoría de las organizaciones tienen una o más infraestructuras de gestión.
Arquitectura
Una infraestructura de administración de registros generalmente comprende los siguientes tres niveles:
- Generación de registro. El primer nivel contiene los hosts que generan los datos de registro.
- Análisis de registro y almacenamiento. El segundo nivel está compuesto por uno o más servidores de registro que reciben datos de registro o copias de datos de registro de los hosts en el primer nivel. Los datos se transfieren a los servidores. Los datos de registro pueden almacenarse en el propio servidor o en servidores de bases de datos separados.
- Monitoreo de registros. El tercer nivel contiene consolas que pueden usarse para monitorizar y revisar el registro de datos. Las consolas de monitorización de registros también se pueden usar para generar informes.
Funciones
Las infraestructuras de gestión de registros suelen realizar varias funciones que ayudan en el almacenamiento, análisis, y eliminación de datos de registro. Estas funciones se realizan normalmente de tal manera que no alteran los registros originales.
Los siguientes elementos describen funciones comunes de infraestructura de administración de registros:
General
-
- El análisis de registros extrae datos de un registro para que los valores analizados se puedan usar como entrada para otro proceso de registro.
- El filtrado de eventos es la supresión de entradas de registro de análisis, informes o almacenamiento a largo plazo porque sus características indican que es poco probable que contengan información de interés.
- En caso de agregación, las entradas similares se consolidan en una sola entrada que contiene un recuento del número de ocurrencias del evento.
Almacenamiento
-
- La rotación de registros cierra un archivo de registro y abre un nuevo archivo de registro cuando se considera que el primer archivo está completo. La rotación de registros generalmente se realiza de acuerdo con un cronograma o cuando un archivo de registro alcanza un cierto tamaño.
- El archivo de registro retiene registros durante un período prolongado de tiempo, generalmente en medios extraíbles, una red de área de almacenamiento, o un servidor o dispositivo especializado de archivo de registro. Hay dos tipos de archivo de registro: retención y preservación. La retención de registros es archivar registros de forma regular como parte de las operaciones estándar. La preservación de registros es mantener registros que normalmente se descartarían, por contener registros de actividad de particular interés.
- La compresión de registro es almacenar un archivo de registro de una manera que reduce la cantidad de espacio de almacenamiento
necesario para el archivo sin alterar el significado de su contenido. - La reducción de registros elimina las entradas innecesarias de un registro para crear un nuevo registro que sea más pequeño.
- La conversión de registros analiza un registro en un formato y almacena sus entradas en un segundo formato.
- En la normalización del registro, cada campo de datos de registro se convierte en una representación de datos particular y categorizado consistentemente.
- La comprobación de integridad del archivo de registro implica calcular un resumen de mensaje para cada archivo y almacenar el resumen del mensaje de forma segura para garantizar que se detecten cambios en los registros archivados.
Análisis
-
- La correlación de eventos es encontrar relaciones entre dos o más entradas de registro. La forma común de correlación de eventos es la correlación basada en reglas, que coincide con múltiples registros de una sola fuente o múltiples fuentes basados en valores registrados, como marcas de tiempo, Direcciones IP y tipos de eventos.
- La visualización de registros muestra entradas de registros en un formato legible para humanos.
- El informe de registro muestra los resultados del análisis de registro.
Disposición
La eliminación del registro es eliminar todas las entradas de un registro que preceden a una fecha y hora determinadas. El borrado a menudo se realiza para eliminar datos de registro antiguos que ya no son necesarios en un sistema.
Planificación de gestión de registros
Para establecer y mantener infraestructuras exitosas de gestión de registros, una organización debe realizar una planificación significativa y otras acciones preparatorias para realizar la gestión de registros.
Esto es importante para crear prácticas de administración de registros consistentes, confiables y eficientes que satisfagan las necesidades de la organización y le proporcionen un valor adicional.
Los pasos a seguir para esa planificación son los siguientes:
Definir roles y responsabilidades
Como parte del proceso de planificación de la gestión de registros, una organización debe definir los roles y responsabilidades de las personas y los equipos que se espera que participen en la gestión de registros.
Estos son los siguientes:
- Administradores de sistemas y redes, que generalmente son responsables de analizar esos registros periódicamente, informando sobre
resultados de las actividades de gestión de registros y el mantenimiento periódico de los registros. - Administradores de seguridad, que generalmente son responsables de administrar y monitorizar el registro y las infraestructuras de gestión.
- Equipos de respuesta a incidentes de seguridad informática, que usan datos de registro cuando manejan algunos incidentes.
- Desarrolladores de aplicaciones, que pueden necesitar diseñar o personalizar aplicaciones para que funcionen de acuerdo con los requisitos y recomendaciones de registro.
- Oficiales de seguridad de la información, que pueden supervisar las infraestructuras de gestión de registros.
- Directores de información (CIO), que supervisan los recursos de TI que generan, transmiten y almacenar los registros.
- Auditores, que pueden usar datos de registro al realizar auditorías.
- Personas involucradas en la adquisición de software que debería o puede generar datos de registro de seguridad.
Establecer políticas de registro
Una organización debe definir sus requisitos y objetivos para realizar y monitorizar registros. Los requisitos deben incluir todas las leyes, reglamentos y normas vigentes y políticas organizacionales, como las políticas de retención de datos.
Las organizaciones deben desarrollar políticas que definan claramente los requisitos obligatorios y sugeridos para varios aspectos de la gestión de registros, incluidos los siguientes:
- Generación de registro
- Tipos de hosts que deben realizar el registro
- Qué características de datos deben o deben registrarse para cada tipo de evento
- Con qué frecuencia cada tipo de evento debe o debe registrarse
- Transmisión de registro
- Qué tipos de hosts deben o deben transferir registros a una infraestructura de administración de registros
- Qué tipos de entradas y características de datos deben o deben transferirse de hosts a una infraestructura de gestión de registros
- Cómo deben transferirse los datos de registro
- Con qué frecuencia se deben transferir los datos de registro de hosts individuales a una administración de registros
- Cómo debe ser la confidencialidad, integridad y disponibilidad de cada tipo de datos de registro protegido durante el tránsito
- Almacenamiento y eliminación de registros
- Con qué frecuencia se deben rotar los registros
- Cómo la confidencialidad, integridad y disponibilidad de cada tipo de datos de registro debe o debe estar protegida durante el almacenamiento
- Cuánto tiempo debe conservarse cada tipo de datos de registro
- Cómo deben eliminarse los datos de registro innecesarios
- Cuánto espacio de almacenamiento de registros debe o debe estar disponible
- Análisis de registro
- Con qué frecuencia cada tipo de datos de registro debe analizarse
- Quién debe poder acceder a los datos de registro y cómo deben registrarse dichos accesos
- Qué debe o debe hacerse cuando se identifica actividad sospechosa o una anomalía
- Cómo la confidencialidad, integridad y disponibilidad de los resultados del análisis de registros deben protegerse durante el almacenamiento y en tránsito
Asegurar que las políticas sean factibles
Registrar más datos no es necesariamente mejor; en general, las organizaciones solo deberían requerir el registro y analizar los datos que son de mayor importancia.
Algunas organizaciones eligen tener todos o casi todos los datos de registro generados y almacenados durante al menos un corto período de tiempo en caso de que sea necesario. Este enfoque favorece las consideraciones de seguridad sobre la usabilidad de recursos.
Al establecer requisitos y recomendaciones, las organizaciones deben ser flexibles ya que cada host es diferente y registrará diferentes cantidades de datos que otros hosts. La flexibilidad también es importante porque el comportamiento de registro de un host puede cambiar rápidamente debido a una actualización, parche o cambio de configuración.
Las organizaciones también deberían permitir a los administradores reconfigurar el registro temporalmente durante un sistema adverso o condiciones de red, como ataques de malware fallidos que causan el mismo tipo de entrada de registro generado muchas veces. Estos cambios de configuración deben realizarse como último recurso y deben ser lo más precisos posible.
Diseño de infraestructuras de gestión de registros
Después de establecer una política inicial e identificar roles y responsabilidades, una organización debería diseñar una o más infraestructuras de gestión de registros que apoyen efectivamente la política y los roles.
Si la organización ya tiene una infraestructura de administración de registros, entonces primero debe determinar si se puede modificar para satisfacer las necesidades de la organización.
Si la infraestructura existente no es adecuada o no existe infraestructura, entonces la organización debe identificar sus requisitos de infraestructura, evaluar posibles soluciones e implementar la solución elegida, o reevaluar sus necesidades y modificar su política.
La organización puede revisar sus políticas para que la implementación de la infraestructura necesite menos recursos y garantice el cumplimiento de todos los requisitos legales y reglamentarios.
Con un adecuado registro de actividad, tu empresa estará mejor equipada para detener las amenazas de seguridad al descubrir las señales de advertencia. Si ocurre un ataque cibernético, puedes usar los registros de actividad para averiguar cómo el ataque pudo atravesar tus sistemas de seguridad y si provino de una fuente interna o externa. Deberás trabajar con tu equipo de TI para determinar las políticas de registro de actividades, equilibrando la seguridad con la privacidad de los empleados.