Por qué nunca hay suficientes registros durante un incidente …



La mayoría de los profesionales de la seguridad creen que sus respuestas podrían ser mucho más rápidas si estuvieran disponibles los registros correctos y, por lo typical, no lo son.

Cuando ocurre un incidente, los equipos de respuesta se enfrentan regularmente al mismo obstáculo: la falta de registros utilizables. Entre la falta de registros y la mala configuración, las empresas suelen estar más ciegas de lo que piensan, hasta que ocurre un ciberataque.

Los registros son archivos que almacenan acciones de eventos en una aplicación o sistema informático. Aunque son simples, los registros de eventos son la principal fuente de información para los analistas responsables de determinar la causa, la naturaleza y el impacto de un incidente de ciberseguridad. Sin embargo, estos archivos a menudo faltan o, lo que es peor, no existen.

Esto tampoco es un secreto. La mayoría de los que responden a incidentes creen que su respuesta podría haber sido mucho más rápida si los registros correctos estuvieran disponibles desde el principio, y normalmente no lo están.

Lo más sorprendente es que los administradores del sistema solo se dan cuenta de que carecen de registros después de que ocurre un incidente. Esto lleva a que el análisis de la causa raíz requiera a menudo análisis forenses posteriores al hecho en lugar de una acción inmediata. Además, los analistas forenses suelen tardar mucho tiempo en determinar la magnitud de un ataque. Lo que es peor es que a veces ni siquiera se puede realizar un análisis completo porque no se recopiló la información correcta, y mucho menos se almacenó durante un período de tiempo suficiente, y se sobrescribió.

¿Cómo se llegó a esto? Echemos un vistazo a por qué tantas empresas tienen una estrategia de gestión de registros insuficiente y cómo pueden solucionarlo antes de que ocurra un ciberincidente.

La configuración predeterminada conduce a fallas
La realidad es que muy pocas empresas implementan una verdadera estrategia de tala. A menudo, las empresas funcionan con configuraciones predeterminadas que generan un registro básico y están configuradas para sobrescribir para ahorrar almacenamiento. La concept es que luego conserven solo la información que sea más útil. Este se convierte en el element común más bajo, que no siempre se corresponde con las necesidades de ciberseguridad de las empresas.

Con productos que generan registros en su propia ubicación (a menudo desconocidos para el administrador), la falta de registros centralizados hace que el proceso de identificación de un ciberataque sea aún más complicado. Normalmente, cuando ocurre un incidente, el departamento de TI no está preparado para responder a las solicitudes del equipo de respuesta a incidentes. Sin poder identificar qué máquina o usuario estaba en la IP que se vio afectada, las empresas se enfrentan al desafío de determinar cómo ocurrió el incidente y qué tan amplio es su impacto en la pink.

Entonces, incluso si un administrador redirige a un servicio de registro central, no es suficiente. Deben recopilar todos los registros y, al mismo tiempo, estar configurados para auditoría y detallados. Estas son dos configuraciones que a menudo se ignoran. En lugar de datos reales, las empresas almacenan cosas como «iniciar» y «detener» genéricos, que muestran que se abrió un computer software y luego se cerró sin detalles, en lugar de recopilar eventos comprometidos con detalles como «el usuario BadActor inició el programa Y» y «El usuario BadActor copió archivos a X share».

Como si la ausencia de registros y la información restringida no fueran lo suficientemente deshabilitantes en sí mismos, el compromiso privilegiado lo empeora. Sin una estrategia de registro adecuada, es una buena apuesta que las cuentas en cuestión puedan eliminar o manipular los registros disponibles. Entonces, cuando se ve comprometido, un atacante puede eliminar la información más útil de un registro para hacer que una investigación sea más desafiante, si no imposible, de completar.

Creación de una estrategia de tala eficaz
Determinar una estrategia de registro eficaz es la clave para un programa sólido de respuesta a incidentes. Esta estrategia puede variar según la empresa y la sensibilidad de su sistema de información. Además, los propios registros deben protegerse. El problema es que las empresas necesitan recopiladores de todos los sistemas, en la nube, locales, híbridos o de aplicaciones, y es necesario agregarlos y buscarlos desde una única ubicación. Estos también deben protegerse recuerde que las infracciones más notorias de los últimos 10 años han involucrado registros inseguros.

Una vez que las empresas tienen los registros, deben auditarlos y organizar algunos eventos de mesa en un intento de usar los registros para identificar una actividad. Esto ayudará a los equipos corporativos a comprender por qué tener una única interfaz para lanzar consultas en todos los registros multiplica la efectividad y acorta el tiempo de intervención en varios días.

También es importante implementar un monitoreo especial para las cuentas privilegiadas para garantizar que se registren los eventos privilegiados. El objetivo es tener suficientes eventos para rastrear una sesión completa y determinar fácilmente las acciones tomadas por un administrador o una cuenta privilegiada. A menudo, cientos de eventos críticos se pueden perder o eliminar sin una consideración cuidadosa. A través de soluciones dedicadas que mantienen registros de diferentes sistemas durante más de un año, en lugar de 90 días, los equipos de TI pueden asegurarse de tener los recursos para analizar adecuadamente un incidente.

Las estrategias de registro sólidas no son un concepto nuevo, pero cuando las empresas descuidan los registros, se están preparando para fallar cuando se create un ciberataque. La implementación de una estrategia de registro sólida no solo permitirá a las organizaciones reaccionar rápida y eficazmente en tiempos de crisis, sino que también acelerará la resolución y el análisis de la causa raíz.

Robert Meyers es el arquitecto de soluciones de programas de canales y profesional de cumplimiento y privacidad en 1 Identity. Es un veterano de 30 años en la industria de la seguridad de la información y los sistemas de acceso e identidad, con más de 10 años de ese tiempo enfocados en la planificación, … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia unique