SP 800-92 NIST Alberto - Sanchez - Ruiz

Descargar como pdf o txt
Descargar como pdf o txt
Está en la página 1de 4

SP 800 - 92 NIST

El estándar SP 800-92, publicado por el NIST (National Institute of Standards and Technology), tiene como
objetivo ayudar a las distintas organizaciones a comprender la importancia de la correcta gestión de los
registros de seguridad (security logs), además de su desarrollo, implementación y mantenimiento. Esta
norma se encuentra dividida en 4 secciones bien diferenciadas:

1. Introducción a la gestión de registros de seguridad de los computadores.


2. Componentes, arquitecturas y funciones de las infraestructuras de gestión de registros.
3. Recomendaciones acerca de la correcta gestión de los registros de seguridad.
4. Procesos que una organización debería planificar y desempeñar para las operaciones de gestión
de registros.

Una vez diferenciadas las partes del estándar, pasaremos a analizar cada una de ellas en detalle, dando
de este modo, una visión global de la norma propuesta.

INTRODUCCIÓN A LA GESTIÓN DE REGISTROS DE SEGURIDAD


Comencemos analizando qué es un registro de seguridad. Un log es una crónica de todos los eventos que
han ocurrido en una organización relacionados con sus sistemas y redes internas. Están compuestos de
entradas con toda la información relativa a un evento en concreto ocurrido en un sistema TI de la
organización. Este estándar trata de mostrar la manera de cómo gestionar toda esta información (que,
cómo veremos pronto en este trabajo, se trata de un volumen enorme de información), a través de la
generación, transmisión, almacenamiento y análisis de los registros de seguridad.

Los registros pueden contener muchas clases de información, generando de este modo muchos tipos de
registros. En este estándar se mencionan tres en particular:

1. Registros de los softwares de seguridad (contienen información relacionada con la seguridad de


los computadores). Algunos softwares que pueden generar este tipo de registros son los
antimalware, los Sistemas de Prevención y Detección de Intrusiones (SPDI), los proxies web, los
routers o los cortafuegos (firewall).
2. Registros de los sistemas operativos (contienen una extensa variedad de información,
incluyendo también información relacionada con la seguridad). Algunos registros de este tipo
son los de eventos del sistema (acciones realizadas por el sistema operativo) o registros de
auditoría (orientados a seguridad del sistema, con información relacionada con intentos de
autenticación, acceso a servicios, cambios en las cuentas de los sistemas de TI, etc).
3. Registros de aplicaciones, también con una amplia variedad de información a almacenar, como
peticiones/respuestas servidor/cliente, o información del uso de la aplicación.

¿Por qué son necesarios los registros de seguridad en una organización? La respuesta parece obvia, puesto
el principal beneficio que obtiene cualquier organización es la posibilidad de almacenar todos los eventos
ocurridos relacionados con la seguridad TI en el periodo de tiempo que se desee. Gracias a esto, se puede
inspeccionar violaciones de políticas, problemas con la seguridad, actividades fraudulentas… ya que los
registros contienen información útil para el análisis de cualquier situación.
Sin embargo, no todo lo relacionado a los registros son ventajas, sino que actualmente existe un gran
problema con ellos: los recursos para almacenarlos son limitados, mientras que la generación de
información en registros crece exponencialmente. Los problemas que se presentan para la gestión de
registros de seguridad son los siguientes:

1. Generación y almacenamiento de registros, puesto que pueden existir demasiadas fuentes que
generan estos registros, o puede haber registros con contenido, marcas de tiempo o formatos
inconsistentes.
2. Protección de los registros. Dado que contienen información muy valiosa para una
organización, es necesario protegerlos para garantizar su integridad, confidencialidad y
disponibilidad.
3. Análisis de los registros. Aunque generalmente esta tarea recae sobre administradores que
generalmente no reciben ningún tipo de entrenamiento, se aconseja el uso de herramientas TI
(como scripts) con las que automatizar el proceso y que puedan distinguir patrones que el ojo
humano no es capaz de detectar a simple vista.

Para solventar estos problemas, se presentan una serie de buenas prácticas como son dar prioridad a la
gestión apropiada de registros en las organizaciones, establecer una serie de políticas y procedimientos
para la gestión de registros, crear y mantener una buena infraestructura de gestión de registros y dar el
soporte necesario a los puestos de responsabilidad en la gestión de logs

COMPONENTES, ARQUITECTURA Y FUNCIONES DE LAS INFRAESTRUCTURAS DE


GESTIÓN DE REGISTROS
Una infraestructura de gestión de registros consiste en todo el hardware, software, redes… empleado en
la generación, transmisión, almacenamiento, análisis y disposición de estos. La arquitectura de la
infraestructura consiste generalmente en:

 Generación de logs: consiste en todos los servicios de TI que generan registros, como servidores,
computadores, aplicaciones, etc.
 Análisis y almacenamiento de registros: consiste en todos los servidores donde se almacenan los
registros, bien en tiempo real o mediante un horario predeterminado.
 Monitorización de los registros: generalmente consiste en las consolas que revisan los datos de
los registros y generan reportes.

Por otra parte, entre las principales funciones desempeñadas por las infraestructuras de gestión de
registros, el SP 800-92 destaca las siguientes:

 General: análisis de registros, filtrado de eventos de tal manera que no se generen entradas de
cierto tipo de eventos y agregación de eventos, con el objetivo de que entradas similares se
transformen en una sola entrada.
 Almacenamiento: rotación de registros (cuando un registro se considere completo, es necesario
abrir otro), archivar registros por periodos largos de tiempo en caso de que sea necesario su
inspección, conversión de formatos de los registros, normalización de los logs…
 Análisis: correlacionar eventos mediante patrones en las entradas de los registros, visualización
de registros y reportar registros (con el objetivo de mostrar los resultados del análisis)
 Disposición: eliminar entradas de los registros de una determinada fecha.

Para finalizar esta sección, se describen los dos principales modelos de software de gestión de registros,
que analizaremos a continuación:

 Softwares basados en syslog centralizado de registros: en este modelo, cada generador de


registros emplea el mismo formato y la misma manera de transferir las entradas generadas al
único servidor. El formato de los mensajes en syslog se caracteriza por asignar a casa mensaje una
importancia relativa basada en el tipo de mensaje y su severidad (del 0 al 7). Sin embargo, este
no es un modelo del todo seguro, puesto que fue desarrollado sin tener en cuenta la seguridad
necesaria para proteger los registros, por lo tanto, es necesario implementar el RFC 3195 u otra
serie de medidas no basadas en este estándar.
 Softwares de seguridad de la información y gestión de eventos (SIEM): una de las principales
diferencias con el anterior modelo es que SIEM tiene uno o más servidores de logs que analizan y
almacenan los registros. Para la transmisión de los registros entre los servidores y los generadores
puede o no haber intermediarios conocidos como agentes (que filtran y agregan eventos,
normalizan datos…). Los servidores SIEM incluyen ciertas ayudas para monitorizar las entradas de
registros como una GUI (interfaz gráfica de usuario), información de la seguridad del sistema
(vulnerabilidades conocidas u otro tipo de información técnica), seguimiento de incidentes…

RECOMENDACIONES ACERCA DE LA CORRECTA GESTIÓN DE LOS REGISTROS DE


SEGURIDAD
En el SP 800 – 92 se definen una serie de roles y responsabilidades de todas aquellas personas
involucradas en la gestión de registros. Entre los principales roles definidos, debemos destacar los
siguientes: administradores de sistema y red (responsables de configurar los dispositivos para que
generen registros), administradores de seguridad (quienes se encargan de gestionar y monitorizar la
infraestructura de gestión de registros), equipos de respuesta en caso de incidente, desarrolladores de
aplicaciones (diseñan aplicaciones que generen registros de acuerdo a las necesidades y
recomendaciones), directivos de seguridad de la información, jefe de directores de información y
auditores.

Por otra parte, además de establecer un roles y responsabilidades, las organizaciones deben establecer
una serie de políticas o requerimientos a la hora de tratar con registros. En este estándar se nombran
ciertas recomendaciones entre las que incluyo definir qué tipo de dispositivos pueden generar registros,
qué eventos generarán entradas y qué contendrán dichas entradas, qué tipo de entradas se transferirán,
cómo debería transmitirse la información, cada cuanto deberían rotar los registros o cada cuanto debería
analizarse la información en los registros.

Además de estas recomendaciones, se recuerda que se deben tener siempre en cuenta todos los aspectos
legales en las políticas de la organización, dado que los registros pueden tratar datos sensibles como
contraseñas o contenidos de e-mails. También se recuerda que las políticas adoptadas por la organización
deben revisarse periódicamente y actualizarse si es necesario.

La organización se debe asegurar de que las políticas establecidas son viables con la tecnología y recursos
de los que dispone, para implementarlas y mantenerlas en el tiempo. Se debe considerar cual es el
entorno en el cual los sistemas de TI residen, según el NIST SP 800-70 (Small Office, Enterprise, Custom).
Por último, una vez definido todo lo anterior, se debe establecer la infraestructura de gestión de registros
acorde a las decisiones adoptadas. Para decidir qué infraestructura emplear, se deben tener en cuenta
una serie de factores relacionados con las necesidades actuales y futuras de la organización, entre las que
se incluyen: el volumen promedio de datos a procesar por día y hora, el uso promedio de ancho de banda,
el uso promedio de almacenamiento online y offline de datos, la necesidad de seguridad para los registros
y el tiempo y recursos empleados por el staff para analizar los registros.

PROCESOS QUE UNA ORGANIZACIÓN DEBERÍA PLANIFICAR Y DESEMPEÑAR PARA LAS


OPERACIONES DE GESTIÓN DE REGISTROS .
Esta última sección describe los principales procesos para la gestión de registros. El primer gran proceso
será el de configurar las fuentes de registros, con el objetivo de obtener la información necesaria con el
formato correcto. Se deben decidir cuáles serán las fuentes de registros y qué tipo de eventos se desean
registrar (siendo cautelosos para no generar un volumen excesivo de información). También se debe tener
en cuenta cómo se almacenará la información, teniendo en cuenta las políticas adoptadas. Entre las
principales opciones sobre cómo almacenar entradas, se tiene: no almacenar, almacenar tan solo a nivel
de sistema, almacenar a nivel de sistema e infraestructura o almacenar solo a nivel de estructura. Por
otra parte, se debe configurar cómo realizar la rotación de registros (normalmente se escoge una hora
determinada del día, cuando los tamaños de los registros están al completo). Entre las principales
opciones se encuentran parar de generar registros, sobrescribir las entradas más antiguas o parar el
generador de registros. La última parte de este proceso es tener en cuenta la seguridad de los registros,
mediante las técnicas ya mencionadas previamente como limitar el acceso a los archivos, proteger
procesos que generen entradas, etc.

El siguiente gran proceso consiste en el análisis efecto de la información contenida en los registros. La
clave para analizar registros consiste en comprender la actividad asociada a cada sistema, y aunque a
veces son relativamente sencillos de analizar, otras veces no, puesto que no tienen contexto asociado o
los mensajes no son claros. Lo mejor para comprender la información de los registros es analizar porciones
de ellos regularmente. También será necesario dar prioridad a ciertas entradas de los registros, en función
de criterios como el tipo de entrada, si se trata de un nuevo tipo de entrada, origen del registro, etc.

Además de analizar la información, se debe responder a determinados eventos, como los incidentes. La
respuesta a este tipo de incidentes debe de ser la acordada por la organización.

Otra gran tarea en la gestión de registros es la gestión del almacenamiento de datos en periodos largos
de tiempo (meses o años), para lo cual, se recomienda: escoger un buen formato para guardar la
información, archivar la información de los registros en backups como CD’s, DVD’s, etc., verificar siempre
la integridad de los registros y garantizar la seguridad de la información. Los administradores también son
encargados de destruir la información cuando ha acabado el periodo de tiempo que se debe almacenar y
no sea necesaria.

Por último, las organizaciones deben realizar procesos de pruebas y validación de políticas, procesos y
procedimientos relacionados con la generación de registros, bien sea de manera pasiva o activa.

También podría gustarte