¿Cómo se protegen los logs?

Registro de auditoría a prueba de manipulaciones

El concepto de registro y supervisión no es nuevo, pero las organizaciones siguen luchando por formular y aplicar una política de registro y supervisión centrada en la seguridad. Los equipos de seguridad necesitan crear programas de registro y supervisión que no sólo recojan las métricas operativas tradicionales, sino que también sean capaces de almacenar, analizar e incluso mitigar una variedad de ataques. Este enfoque proactivo de recopilación y análisis de información puede ayudar a los desarrolladores, administradores de sistemas y equipos de seguridad de muchas maneras, como la detección de problemas en su código a través del “registro a nivel de aplicación”, la identificación de anomalías en el tráfico de red a través de “registros de infraestructura como AWS/Azure”, y la detección y prevención de incidentes de seguridad mediante el uso de capacidades avanzadas de gestión de eventos e información de seguridad. Puede hacer frente a estos retos empleando estas mejores prácticas de registro y monitorización.

Los administradores de la infraestructura y los equipos de seguridad deben colaborar para crear un programa eficaz de registro y supervisión que recoja las métricas operativas tradicionales y pueda analizarlas para mitigar los ataques. Para supervisar estos eventos, se pueden establecer alertas sobre determinados acontecimientos, como los múltiples intentos fallidos de inicio de sesión o las notificaciones semanales sobre los comandos ejecutados en un servidor. También es importante trabajar con los equipos de aplicaciones para entender qué significan los diferentes atributos de una entrada de registro. Una vez que se tiene una línea de base para las operaciones normales, se pueden configurar reglas de correlación, agregaciones, umbrales y alertas que se activen para cualquier anomalía basada en el perfil de riesgo de seguridad para la aplicación. Por ejemplo, cada entrada de registro debería tener al menos lo siguiente:

Ataque de manipulación de registros

Los registros, los registros de auditoría y los eventos de seguridad son componentes imprescindibles de un sistema seguro, que ayudan a supervisar el comportamiento en curso y proporcionan pruebas forenses en caso de incidente. Dejemos de lado la complejidad.

En este artículo, cubrimos el registro de auditoría firmado criptográficamente, también conocido como “registro seguro”, cuando los registros se generan de una manera determinada que impide la manipulación de los mensajes, eliminando, añadiendo o cambiando el orden de las entradas del registro.

Los registros de auditoría contienen información sobre eventos de gestión de acceso (como la obtención o revocación de acceso, errores de acceso), acciones sensibles realizadas por los usuarios (eliminación de datos), eventos de servicios y errores críticos.

La capacidad de generar registros de una manera libre de manipulaciones y luego verificar eficientemente todas (o algunas) las entradas de registro son vitales para cualquier aplicación que emplee técnicas de registro seguro. El registro de auditoría firmado criptográficamente es un conjunto de entradas de registro, protegidas contra la modificación con la ayuda de un enlace criptográfico. El proceso de registro y la estructura de las entradas de registro están diseñados para mitigar la posibilidad de hacer cualquier cambio inadvertido en los registros.

Cómo evitar la manipulación de los registros

No sólo es importante quién lo ha hecho, sino también qué ha cambiado o visto exactamente y cuándo. Hay que almacenar todo el conjunto de detalles (actor, acción, entidad modificada, detalles de la acción). Pero no basta con almacenarlos, ya que los datos almacenados pueden ser modificados: es necesario almacenarlos de forma segura y garantizar su integridad.

Cuando se enfrentan a la necesidad de almacenar un registro de auditoría (que es el caso de casi todas las aplicaciones), las empresas recurren a soluciones caseras personalizadas. En el mejor de los casos, utilizan algún complemento de su tecnología de acceso a la base de datos (por ejemplo, un ORM) que gestiona automáticamente las modificaciones. Muy rara vez estas soluciones cubren el siguiente conjunto de requisitos:

Y si hablamos de problemas, los ataques de manipulación de datos, tanto por parte de atacantes internos como externos, son una seria amenaza hoy en día. Wired lo ha puesto en la predicción de las principales amenazas a la seguridad para 2016 . Si no se toman medidas adicionales, ninguna empresa está a salvo de que sus datos sean manipulados en beneficio de otras partes. Y muchas veces sin siquiera detectarlo hasta que es demasiado tarde (por eso tanto el NIST como OWASP recomiendan el uso de registros de auditoría).

Komento

Este artículo enumera los eventos de actividad para los que se generan registros de auditoría de Azure Information Protection. Azure Information Protection recopila datos sólo de las aplicaciones de escritorio, y no de los dispositivos móviles. Para obtener más información, consulte los detalles en las columnas de Plataforma en este artículo.

Se genera cada vez que se abre un archivo etiquetado o protegido. Nota: En el caso de los archivos protegidos, los registros de auditoría de Access se generan sólo cuando se abre el archivo y el contenido se descifra correctamente y se expone al usuario. En el caso de los correos electrónicos protegidos en Outlook, los registros de auditoría de acceso también se generan cada vez que el usuario intenta abrir un correo electrónico cifrado, incluso si el descifrado está bloqueado debido a la falta de permisos.

Relacionados

¿Cómo mejorar el SEO organico?
¿Qué es el TSG en SEO?
¿Dónde se guardan los archivos log?
¿Cómo funciona el SEO y SEM?
¿Qué se hace en una auditoría de redes sociales?
¿Cómo se consigue el SEO?
¿Cómo se llama la App Store de Apple?
¿Cómo funciona el posicionamiento SEO?
¿Cuánto cobra marketing en México?
¿Cómo usar el yoast?
¿Cuánto se paga por aparecer en Google?
¿Qué es posicionamiento de página web?
¿Qué busca el SEO?
¿Cómo limitó búsquedas con los Footprints SEO en el navegador?
¿Cómo pagar posicionamiento en Google?
¿Cuáles son los 5 factores claves para posicionar una página web?
¿Cómo mejorar el posicionamiento en Google?
¿Qué es un SEO de una empresa?
¿Cuáles son las principales herramientas para determinar el posicionamiento de la empresa?
¿Qué pasa si desactivo Elementor Pro?