El humilde registro de seguridad, no tan llamativo como las herramientas de seguridad, como la gestión de la información y los eventos de seguridad (SIEM) y la detección y respuesta ampliadas (XDR), tiene que ser eliminado y puesto en práctica por más equipos de seguridad. De hecho, la calidad de los datos de registro puede determinar la ciberresiliencia de una organización.
Gracias al acceso más fácil y rápido a los datos, los registros de seguridad —los datos brutos que hacen que los productos digitales llamativos hagan su magia— pueden ser la clave para acabar con un ciberataque, responder lo antes posible a una vulneración cuando los tiempos de brote caen a solo 48 minutos y comprender los detalles críticos de los incidentes de seguridad después de que se produzcan.
Cómo los registros de seguridad pueden impulsar la resiliencia
Una solución de análisis de registros puede supervisar continuamente los registros de seguridad para aumentar la concienciación sobre los incidentes de seguridad, tanto si se trata de un acceso no autorizado como de una infracción de las políticas de seguridad, un cambio en los datos o las configuraciones del sistema sin los permisos adecuados o un ataque absoluto. Si un indicador de compromiso (IoC) se marca, las soluciones de análisis de registros pueden actuar como un sistema de advertencia temprana, lo que proporciona la oportunidad de detener el avance de un atacante. Las capacidades de detección también pueden usarse para probar escenarios e hipótesis de seguridad y realizar una búsqueda proactiva de amenazas.
«Esta infiltración más rápida hace que las organizaciones tengan aún menos tiempo para responder, lo que hace que las defensas automatizadas sean cruciales para igualar —y superar— la velocidad de los adversarios». Irene Fuentes McDonnell, investigadora de ciberamenazas de ReliaQuest
Forbes.com
Una vez que haya identificado y solucionado un incidente de seguridad, es vital rastrear el evento hasta su inicio. Los registros de seguridad pueden usarse para identificar a la persona o el dispositivo que infiltró el sistema, ver cómo entraron, saber exactamente lo que hicieron y cuándo y determinar si la amenaza está en curso. Esta tarea forense es una parte crítica de la recuperación después del evento. Sin él, su equipo de TI no sabrá qué sistemas son vulnerables o cómo solucionarlos.
¿La ventaja de la velocidad? Visibilidad
Los registros de seguridad rápidos son importantes —mucho. Cuando los hackers acceden a una red, pueden quedarse días o incluso semanas antes de que las personas o la tecnología detecten su presencia. Si bien acechan a los indetectados, los atacantes recopilan credenciales de administrador y se preparan para filtrar los datos o activar el ransomware. Tomar medidas oportunas depende de tener visibilidad casi en tiempo real —y eso requiere unos registros de seguridad que estén activados y utilizados correctamente—.
1. Elija una solución avanzada de análisis de registros.
En un solo día, los servidores, la red y los dispositivos de usuario final pueden generar cientos de miles, incluso millones, de entradas de registro. Un estudio ha descubierto que una empresa media acumulará hasta 4GB de datos de registro cada día. Esa cantidad de datos que se acumulan será inútil sin las herramientas para analizarlos adecuadamente.
Céntrese en poner las herramientas de análisis adecuadas encima del registro de seguridad en tres áreas principales: la red, los terminales y los usuarios finales. Después de recoger y analizar los registros, una herramienta de orquestación puede enriquecer los datos que pasan a sus cazadores de amenazas, para que tengan un conjunto de información seleccionado para comenzar su revisión.
2. Registre todo.
La visibilidad no se trata solo de profundidad, sino también de amplitud. No sabe dónde se producirá un intento de vulneración, por lo que tener registros en toda su infraestructura puede ahorrar tiempo en el futuro. También es esencial que su herramienta de registro agregue, correlacione y analice los datos en todos estos diversos tipos y fuentes de datos y permita la integración de los datos contextuales.
3. Proteja los registros.
No es de extrañar que los registros de seguridad sean de gran interés para los hackers, por lo que es importante mantenerlos bien protegidos. Para proteger los registros de seguridad, puede:
- Cifrarlos o protegerlos con contraseña.
- Haga que los archivos de registro solo se añadan, lo que significa que un usuario puede añadirlos a los registros, pero no puede alterar o borrar lo que ya hay, o usar registros de auditoría inalterables para garantizar la precisión.
- Cree copias de los archivos de registro y guárdelos en múltiples entornos.
- Almacene los archivos de registro en un sistema o servidor independiente.
- Oculte los archivos de registro dentro del sistema.
- Utilice medios de escritura única para guardar los archivos de registro.
Las capacidades que necesita para multiplicar el valor de los registros
Los registros de seguridad y los sistemas utilizados para analizarlos, como Splunk y Elastic, necesitan estas funcionalidades:
- Procesamiento en tiempo real con un rendimiento de búsqueda y consulta reproducible, independientemente del tamaño del registro. Esto requiere un alto rendimiento, una baja latencia y un rendimiento constante, ajustado a cualquier escenario o escala.
- Reducción de datos integrada y escalamiento bajo demanda para registrar y retener más datos durante más tiempo, para los análisis más completos posibles.
- Escalabilidad sencilla para múltiples cargas de trabajo, consultas simultáneas y patrones de datos variables, para adaptarse a los análisis rápidos de conjuntos de datos de múltiples petabytes.
- Múltiples registros que correlacionan los datos entre redes, terminales y usuarios finales.
- Simplicidad de gestión que le permite crear fácilmente nuevas consultas y reducir las complejidades.
Para lograr este nivel de rendimiento se necesita una infraestructura de back-end que pueda soportarlo. Sin un potente back-end de almacenamiento de datos, la realidad es que incluso las consultas de correlación exitosas pueden ser demasiado lentas para revelar las amenazas a tiempo para evitar daños.
Cuando busque esa aguja escondida en el entorno de seguridad, piense en el almacenamiento de datos increíblemente eficiente como imán para llevar esa aguja a la parte superior. Hace que el trabajo de detección y análisis de amenazas sea rápido. Pero si su almacenamiento es lento, su lago de datos es demasiado inmenso o sus consultas están mal escritas, puede tardar horas o incluso días en investigar para identificar un problema o una posible amenaza.
Cómo pueden ayudar Pure Storage y nuestros socios
FlashBlade® o FlashArray™ de Pure Storage® consolidan todos sus archivos de registro y se integran perfectamente incluso con las plataformas de análisis de registros más avanzadas —incluidas las soluciones de nuestros socios, Elastic y Splunk. FlashBlade y FlashArray proporcionan un tiempo más rápido de obtención de información con un coste total de propiedad más bajo.
FlashBlade y FlashArray protegen aún más sus registros de seguridad. Al ejecutar la solución en nuestra función SafeMode™ con los análisis de registros de Splunk o Elastic, se asegura de que sus registros no se pueden eliminar. De este modo, podrá recuperarse con confianza después de una vulneración de la seguridad y tendrá la información que necesita para analizar el evento y tomar medidas para evitar que vuelva a ocurrir.
Independientemente de cuántas soluciones de seguridad implemente —ya sea el control de acceso a la red, la protección frente a la pérdida de datos, los cortafuegos, los sistemas de prevención de intrusiones, la gestión del acceso a la identidad, los agentes de seguridad de acceso a la nube, el antimalware, la detección de terminales o todo lo anterior— es fundamental tener un plan de acción para detectar y corregir una vulneración de la seguridad cuando o si se produce.
3 Security Log Mistakes to Avoid
Learn how to tap into this data analytics goldmine.
