SP 800-92 NIST Alberto - Sanchez - Ruiz
SP 800-92 NIST Alberto - Sanchez - Ruiz
SP 800-92 NIST Alberto - Sanchez - Ruiz
El estándar SP 800-92, publicado por el NIST (National Institute of Standards and Technology), tiene como
objetivo ayudar a las distintas organizaciones a comprender la importancia de la correcta gestión de los
registros de seguridad (security logs), además de su desarrollo, implementación y mantenimiento. Esta
norma se encuentra dividida en 4 secciones bien diferenciadas:
Una vez diferenciadas las partes del estándar, pasaremos a analizar cada una de ellas en detalle, dando
de este modo, una visión global de la norma propuesta.
Los registros pueden contener muchas clases de información, generando de este modo muchos tipos de
registros. En este estándar se mencionan tres en particular:
¿Por qué son necesarios los registros de seguridad en una organización? La respuesta parece obvia, puesto
el principal beneficio que obtiene cualquier organización es la posibilidad de almacenar todos los eventos
ocurridos relacionados con la seguridad TI en el periodo de tiempo que se desee. Gracias a esto, se puede
inspeccionar violaciones de políticas, problemas con la seguridad, actividades fraudulentas… ya que los
registros contienen información útil para el análisis de cualquier situación.
Sin embargo, no todo lo relacionado a los registros son ventajas, sino que actualmente existe un gran
problema con ellos: los recursos para almacenarlos son limitados, mientras que la generación de
información en registros crece exponencialmente. Los problemas que se presentan para la gestión de
registros de seguridad son los siguientes:
1. Generación y almacenamiento de registros, puesto que pueden existir demasiadas fuentes que
generan estos registros, o puede haber registros con contenido, marcas de tiempo o formatos
inconsistentes.
2. Protección de los registros. Dado que contienen información muy valiosa para una
organización, es necesario protegerlos para garantizar su integridad, confidencialidad y
disponibilidad.
3. Análisis de los registros. Aunque generalmente esta tarea recae sobre administradores que
generalmente no reciben ningún tipo de entrenamiento, se aconseja el uso de herramientas TI
(como scripts) con las que automatizar el proceso y que puedan distinguir patrones que el ojo
humano no es capaz de detectar a simple vista.
Para solventar estos problemas, se presentan una serie de buenas prácticas como son dar prioridad a la
gestión apropiada de registros en las organizaciones, establecer una serie de políticas y procedimientos
para la gestión de registros, crear y mantener una buena infraestructura de gestión de registros y dar el
soporte necesario a los puestos de responsabilidad en la gestión de logs
Generación de logs: consiste en todos los servicios de TI que generan registros, como servidores,
computadores, aplicaciones, etc.
Análisis y almacenamiento de registros: consiste en todos los servidores donde se almacenan los
registros, bien en tiempo real o mediante un horario predeterminado.
Monitorización de los registros: generalmente consiste en las consolas que revisan los datos de
los registros y generan reportes.
Por otra parte, entre las principales funciones desempeñadas por las infraestructuras de gestión de
registros, el SP 800-92 destaca las siguientes:
General: análisis de registros, filtrado de eventos de tal manera que no se generen entradas de
cierto tipo de eventos y agregación de eventos, con el objetivo de que entradas similares se
transformen en una sola entrada.
Almacenamiento: rotación de registros (cuando un registro se considere completo, es necesario
abrir otro), archivar registros por periodos largos de tiempo en caso de que sea necesario su
inspección, conversión de formatos de los registros, normalización de los logs…
Análisis: correlacionar eventos mediante patrones en las entradas de los registros, visualización
de registros y reportar registros (con el objetivo de mostrar los resultados del análisis)
Disposición: eliminar entradas de los registros de una determinada fecha.
Para finalizar esta sección, se describen los dos principales modelos de software de gestión de registros,
que analizaremos a continuación:
Por otra parte, además de establecer un roles y responsabilidades, las organizaciones deben establecer
una serie de políticas o requerimientos a la hora de tratar con registros. En este estándar se nombran
ciertas recomendaciones entre las que incluyo definir qué tipo de dispositivos pueden generar registros,
qué eventos generarán entradas y qué contendrán dichas entradas, qué tipo de entradas se transferirán,
cómo debería transmitirse la información, cada cuanto deberían rotar los registros o cada cuanto debería
analizarse la información en los registros.
Además de estas recomendaciones, se recuerda que se deben tener siempre en cuenta todos los aspectos
legales en las políticas de la organización, dado que los registros pueden tratar datos sensibles como
contraseñas o contenidos de e-mails. También se recuerda que las políticas adoptadas por la organización
deben revisarse periódicamente y actualizarse si es necesario.
La organización se debe asegurar de que las políticas establecidas son viables con la tecnología y recursos
de los que dispone, para implementarlas y mantenerlas en el tiempo. Se debe considerar cual es el
entorno en el cual los sistemas de TI residen, según el NIST SP 800-70 (Small Office, Enterprise, Custom).
Por último, una vez definido todo lo anterior, se debe establecer la infraestructura de gestión de registros
acorde a las decisiones adoptadas. Para decidir qué infraestructura emplear, se deben tener en cuenta
una serie de factores relacionados con las necesidades actuales y futuras de la organización, entre las que
se incluyen: el volumen promedio de datos a procesar por día y hora, el uso promedio de ancho de banda,
el uso promedio de almacenamiento online y offline de datos, la necesidad de seguridad para los registros
y el tiempo y recursos empleados por el staff para analizar los registros.
El siguiente gran proceso consiste en el análisis efecto de la información contenida en los registros. La
clave para analizar registros consiste en comprender la actividad asociada a cada sistema, y aunque a
veces son relativamente sencillos de analizar, otras veces no, puesto que no tienen contexto asociado o
los mensajes no son claros. Lo mejor para comprender la información de los registros es analizar porciones
de ellos regularmente. También será necesario dar prioridad a ciertas entradas de los registros, en función
de criterios como el tipo de entrada, si se trata de un nuevo tipo de entrada, origen del registro, etc.
Además de analizar la información, se debe responder a determinados eventos, como los incidentes. La
respuesta a este tipo de incidentes debe de ser la acordada por la organización.
Otra gran tarea en la gestión de registros es la gestión del almacenamiento de datos en periodos largos
de tiempo (meses o años), para lo cual, se recomienda: escoger un buen formato para guardar la
información, archivar la información de los registros en backups como CD’s, DVD’s, etc., verificar siempre
la integridad de los registros y garantizar la seguridad de la información. Los administradores también son
encargados de destruir la información cuando ha acabado el periodo de tiempo que se debe almacenar y
no sea necesaria.
Por último, las organizaciones deben realizar procesos de pruebas y validación de políticas, procesos y
procedimientos relacionados con la generación de registros, bien sea de manera pasiva o activa.