CÓMO HACER QUE SU SEGURIDAD DE REDES SEA MÁS SEGURA LOS RETOS SON SIEMPRE UN DESAFÍO Y TAMBIÉN DEBE SERLO LA SEGURIDAD LAS PRÁCTICAS RECOMENDADAS DE TI: ESTRATEGIAS EXPERTAS EN RECOPILACIÓN DE REGISTROS, ANÁLISIS DE LA CAUSA RAÍZ Y CUMPLIMIENTO Una red confiable y de alto desempeño es esencial para su infraestructura y departamento de TI. Igualmente importante para el desempeño de su red es la seguridad dela red. Además de todos sus esfuerzos de supervisión de la red y solución de problemas, deberecopilar y seleccionar datos de registro, así como analizar la causa raíz de los problemas relacionados con la seguridad. Además, necesita asegurarse de quesus métodos de seguridad de TI cumplen las normativas federales y pueden aprobar una auditoría de cumplimiento. El desempeño de la red y la seguridad son demasiadas cosas que supervisar y muchos componentes críticos pueden omitirse involuntariamente. El mejor modo de abordar sus tareas de seguridad de la red es crear un plan y una lista de comprobación para asegurarse de que no omite una tarea importante de información. Este libro electrónico brinda algunos consejos y orientación para estos procesos de seguridad: S OS TRO ISTR GIS EE R D REEG N D IÓ N C A IÓ C TR A IS TR IN IS M D IN A •• ADM •• ANÁLISIS ANÁLISIS DE DE LA LA CAUSA CAUSA RAÍZ RAÍZ •• C CU UM MP PLLIM IMIE IEN NTTO O MEJORES PRÁCTICAS PARA PARA LA LA ADMINISTRACIÓN ADMINISTRACIÓN DE REGISTROS Todos sabemos lo importante que es la recopilación de registros para una red segura. Pero, ¿sabe todo el mundo cómo crear un plan de recopilación de registros y determinar qué se necesita de los datos de registro recopilados? Probablemente, no. Además, independientemente de si es usted un técnico de seguridad dedicado, un técnico de redes o un administrador de sistemas, recopilar registros es una parte esencial de una estrategia de seguridad correcta. ¿CÓMO ¿CÓMO AFECTARÁN AFECTARÁN LA LA RECOPILACIÓN RECOPILACIÓN DE DE EVENTOS Y EL ALMACENAMIENTO A SUS EVENTOS Y EL ALMACENAMIENTO A SUS RECURSOS RECURSOS DE DE SISTEMAS? SISTEMAS? Tanto si utiliza un servidor Syslog en una máquina virtual Linux® o una solución de administración de registros completa, necesitará brindar recursos de sistema (es decir, memoria, CPU y almacenamiento). El almacenamiento es casi siempre el recurso más costoso. Asegúrese de que cuenta con una comprensión detallada de cómo su solución de registros interactúa con sus recursos de almacenamiento y sies configurable o automatizada. La memoria y la CPU son los siguientes componentes afectados. La recopilación en tiempo real tiende a usar más memoria sostenible y CPU. Las cantidades varían en función del volumen ya que la recopilación de registros y el almacenamiento se producen a la vez. Revise su documentación para entender el impacto que los registros tendrán en sus dispositivos, servidores y aplicaciones una vez que estén habilitados. ¿TIENE ¿TIENE REQUISITOS REQUISITOS ESPECÍFICOS ESPECÍFICOS PARA LOS REGISTROS? PARA LOS REGISTROS? ÓN CIÓN LA RACI STRA NIST MINI ADMI LA AD S SE RESUME DE ROS SE RESUME ISTRO REGIST DE REG EN TA: UNTA: EGUN PREG UNAA PR EN UN S ROS ¿Q STRO GIST REGI UÉ RE ¿QUÉ R? LAR? DE PILA COPI RECO BE RE DEBE Para responder, aquí tiene algunas preguntas que recomendamos que plantee además de otras recomendaciones de mejores prácticas: Las normas de cumplimiento a menudo dirigen esta conversación. No obstante, es posible que también tenga requisitos internos. Ese tipo de requisitos para fines legales y de seguridad. Sea lo que sea, una comprensión completa de todos sus requisitos le ayuda a recopilar la información correcta de los dispositivos correctos. Por ejemplo: PCI brinda algunos detalles sobre qué debe recopilarse de sus registros de auditoría. Consulte la página 56 deldocumento Payment Card Industry (PCI) Data Security Standard para obtener una lista de detalles completa. ¿SABE ¿SABE QUÉ QUÉ INFORMACIÓN INFORMACIÓN REGISTRAN REGISTRAN SUS SISTEMAS Y CÓMO LO SUS SISTEMAS Y CÓMO LO HACEN? HACEN? Como se mencionó en la sugerencia anterior, la cantidad de información de registros generada por sus diferentes dispositivos, sistemas operativos y aplicaciones es enorme. Así pues, junto con saber los requisitos actuales para los registros que necesita recopilar, es importante entender cómo cada sistema diferente genera registros. auditoría detallada que le permite ser selectivo respecto de qué registros se generan (inicios/salidas de sesión, uso con privilegios, eventos del sistema, etc.). Además, puede elegir si usar eventos exitosos o no,lo que le permite adoptar una enfoque más granular de la configuración de registros. Por ejemplo, los sistemas operativos Windows® ofrecen configuración de MÁS DE ENERO PROGRAMAR PROGRAMAR Y Y PROTEGER PROTEGER ARCHIVOS. ARCHIVOS. Los índices de compresión de datos han crecido de forma significativa con los años, permitiendo más márgenes de tiempo paralos datos disponibles. No obstante, los registros de archivado son todavía esenciales para la administración de registros. Puede proteger datos activos o disponibles requiriendo acceso de autenticación. Esto también es una buena práctica para prevenir cambios en los datos. Como mínimo, debería cifrar archivos históricos. Cualquier medida de seguridad adicional, como las firmas, son un beneficio añadido. Antes de programar archivos, asegúrese de que comprende la proporción de compresión del archivo. Esto será especialmente importante a medida que su almacén de registros crezca comparado con la cantidad de espacio de archivado disponible. Los contienenn registross contiene Los registro mucha útil. ción útil. información mucha informa Cuando adecuarecopilann adecuase recopila Cuando se damente ayudarlo aa pueden ayudarlo damente,, pueden mejorar seguridadd yy aa la segurida mejorar la resolver los ente los rápidamente resolver rápidam problem sisteredes yy sisteasde redes problemasde mas. regisde regisplan de un plan Crear un mas. Crear tros su ar su configurar de configur antes de tros antes proceso de ción de recopilación de recopila proceso de registro diferla diferser la puede ser registross puede encia bushoras buslargas horas entre largas encia entre cando inútiles yy datos inútiles entre datos cando entre encontra que lo que te lo fácilmente encontrarr fácilmen necesita necesita.. Familiarícese con el modo en que su sistema de administración archiva datos (es decir, ¿por dispositivo, base de datos, registros específicos?). Comprender los métodos disponibles de archivado le ahorra tiempo y, lo que es más importante, espacio de almacenamiento. Proteja sus archivos, incluso si no es un requisito normativo. ir ir aa la la pr próx óxim imaa se secc cción ión... ... PRÁCTICAS RECOMENDADAS PARA EL ANÁLISIS DE CAUSA RAÍZ VECES MENOS MENOS ES ES MÁS MÁS AA VECES Cuando considera la administración de registros o la tecnología SIEM, a veces es mejor comenzar con una sola palabra clave, dirección IP o nombre de usuario para un marco de tiempo específico en lugar que una búsqueda detallada específica. Este tipo de búsqueda simple puede ofrecer información de la actividad de otros dispositivos que puede ayudarlo a rastrear y descubrir dónde se originó el evento. Preste atenció a grandes cantidades de ciertos eventos como errores, fallas de acceso, actividad de archivos y eventos de cambios que contienen el mismo nombre de usuario, dirección IP o ambos. También, busque cambios por el mismo usuario o IP de origen en varios sistemas. VISUALICE SUS SUS DATOS DATOS VISUALICE El análisis de causa raíz es probablemente la función más impor tante en seguridad después de mantener una red que sea segura y que cumpla las normas. Siempre que se detecte o incluso se perciba un evento de seguridad, debe descubrir el origen o la causa. Aquí se muestran algunas prácticas recomendadas para ayudarlo a Visualice sus datos. Visualizar sus datos es un modo de identificar tendencias en el flujo de la información. Un gran aumento repentino de un solo evento o una cantidad de eventos continua durante un periodo de tiempo normalmente indica una anomalía. La visualización también puede ayudarlo a identificar rápidamente un margen de tiempo para su investigación. Por último, si está usando un SIEM o un producto de gestión de recursos, puede construir paneles basados en diversos criterios como tráfico de red, autenticación, archivo y cambios. CORRELACIONE LOS LOS DATOS DATOS DE DE DIFERENTES DIFERENTES DISPOSITIVOS DISPOSITIVOS CORRELACIONE PARA IDENTIFICAR IDENTIFICAR EVENTOS EVENTOS DE DE SEGURIDAD SEGURIDAD PARA La correlación de datos de registros en diferentes dispositivos, sistemas y aplicaciones agrega otro nivel de monitoreo de seguridad y puede revelar problemas de seguridad que pasan desapercibidos. Por ejemplo, correlacionar un aumento repentino en registros de correo electrónico salienteque no provienen de su servidor de correo interno es un buen indicador de malware. Los ataques persistentes avanzados (APTs) pueden resultar difíciles de detectar. No obstante, si está investigando registros puede buscar instalaciones de software azarosas correlacionadas con registros de tráfico FTP desde su firewall en el mismo margen de tiempo que un ataque. sacar el máximo partido del análisis de causa raíz. MÁS ESTABLEZC PLANTILLASPARA RESPALDAR LA RESPUESTA ANTE ESTABLEZCAAPLANTILLAS PARA RESPA INCIDENTES. LDAR LA RES PUEconfían STA AN RCA y respuesta ante incidentes tienen funciones diferentes pero una otra. qué requerirán un TE en INC IDEEstablezca NTde ESusuario, . equipo de respuesta, legal o sus responsables (por ejemplo, dirección IP, puerto, nombre etc.). Después, genere procedimientos operativos estándar (SOPs) y plantillas para situaciones específicas y generales. Independientem ente de quién está presente cuando se produce un evento, todo el mundo necesita ser claro sobre qué información es crítica y a quién contactar. Esperamos Esperamosque queencuentre encuentreútiles útilesestas estassugerencias. sugerencias. AAveces, veces,en enun unmomento momentocrucial, crucial,es esmejor mejordetenerse detenersey yvolver volveraalolobásico. básico. MEJORES MEJORES PRÁCTICAS PARA PARA PRÁCTICAS EL CUMPLIMIENTO CUMPLIMIENTO EL ¿Ha tenido el placer de pasarlo mal en una auditoría de cumplimiento? Si no es así, no piense que se librará. ¡DOCUMENTAR, DOCUMENTAR, DOCUMENTAR, ¡DOCUMENTAR, DOCUMENTAR! DOCUMENTAR! La documentación es la parte más tediosa de la preparación de una auditoría. También la más olvidada. Una documentación completa le será útil, incluso mucho después de pasar la auditoría. Si tiene que proteger la red y prepararse para auditorías, organizar y documentar sus políticas y procedimientos para TODO es crucial.Su estrategia parala docu- mentación debe responder siempre a esta pregunta “Si yo no estoy, ¿puede alguien seguir estos procedimientos?” Por último, recuerde que una auditoría es un proceso continuo. Mantenga su información siempre actualizada programando tiempo para revisarla y compruebe bien su documentación cada año. COMPRENDA BIEN BIEN SUS SUS REQUISITOS REQUISITOS DE DE COMPRENDA CUMPLIMIENTOY NO NO OMITA OMITA NADA NADA CUMPLIMIENTOY El cumplimiento no es siempre responsabilidad de los profesionales de seguridad. Muchos administradores de redes y sistemas necesitan saber cómo llevar a cabo el cumplimiento también. Puesto que el cumplimiento es un proceso continuo que no termina una vez pasada la auditoría. Así que, para ayudarlo, aquí se muestran algunas mejores practicas de cumplimiento. Cada sector regulado es diferente. Comprender lo que se necesita para su sector particular puede ser un reto. Algunos requisitos de cumplimiento están claramente definidos mientras que otros solo brindan detalles vagos. Asegúrese de queconoce los puntos específicos que su sector exige. IDENTIFIQUE LOS LOS DISPOSITIVOS DISPOSITIVOS IDENTIFIQUE Ahora que tiene todo documentado y que comprende bien sus requisitos, identifique qué dispositivos de red, sistemas y aplicaciones debe supervisar en materia de cumplimiento. Cuanto a n t e s l o c o n s i g a , m e j o r. E s t o es especialmente importante si está implementando un SIEM o una solución de ID gestión de registros. Estos pueden requerir más aplicaciones para recopilar registros. Una recomendación es que cuando se comunique con diferentes jefes de departamentos para identificar dispositivos, asigne valor en dinero a los riesgos de cumplimento. Esto le ayudará a identificar y documentar correctamente todos los dispositivos necesarios. MÁS AUTOMATICESIEMPRE SIEMPREQUE QUESEA SEAPOSIBLE POSIBLE AUTOMATICE SIEMPRE QUE SEA POSIBLE AUTOMATICE SIEMPRE QUE SEA POSIBLE AUTOMATICE Cuando recopile pistas de auditoría, verá rápidamente que el volumen de datos es inmenso y aparentemente imposible de revisar. La automatización puede ayudar a simplificar las cosas. Desarrolle o configure informes automatizados y programados que sean específicos para sus requisitos de cumplimiento. Además, aproveche cualquier sistema de alertas casi en tiempo real o en tiempo real y la función de notificaciones. La mayoría de las soluciones de gestión de registros de la actualidad brindan algún tipo de alertas o notificaciones, lo que es una práctica recomendada de auditoría de cumplimiento puesto que prueba que está “revisando activamente” sus registros. REVISELAS LASPOLÍTICAS POLÍTICASY YPROCEDIMIENTOS PROCEDIMIENTOS REVISE LAS POLÍTICAS Y PROCEDIMIENTOS REVISE LAS POLÍTICAS Y PROCEDIMIENTOS REVISE Si revisa de forma consistente sus procedimientos y los compara con los requisitos más actualizados, siempre estará preparado para una auditoría. Como mínimo, le recomendamos revisiones trimestrales (si bien lo ideal es hacerlo mensualmente). Cumplir las regulaciones de cumplimiento puede parecer abrumador cuando la tarea requiere recopilar las pistas de auditoría necesarias. Esperamos que estas sugerencias le brinden ideas, refresquen su memoria y lo motiven para comenzar la revisión de cumplimiento. Tratar incidentes de seguridad, analizar la causa raíz y participar en auditorías de cumplimiento son tareas comunes para cualquier tipo de profesional de TI. Dedicar tiempo a planificar y comprender su infraestructura y dispositivos puede ahorrarle largas horas organizando sus datos de registro cuando detecta un evento de seguridad. Además, las auditorías de cumplimiento son mucho más sencillas cuando está preparado con la documentación y los informes necesarios. Las sugerencias en este libro electrónico pueden reducir o eliminar la frustración y dudas que a menudo acompañan las iniciativas de seguridad de redes. EESS TTE E EE QQUU O N T O N I E T E J I E E J N A N I A E I E VV L L O O S S C C ONN UUNN OO EENN CCOOMM ZZAA RR PPA ASSO O Para más información, visite: email [email protected]. © 2015 SolarWinds Worlwide, LLC. Todos los derechos reservados.