La implementación de sistemas y soluciones que dependen de la seguridad, hacen de la necesidad de su control un problema habitual para los administradores. Múltiples servicios, servidores y sistemas operativos finalmente se pueden escapar de su control. En la mayoría de las circunstancias solamente se tendrá como apoyo una ingente cantidad de ficheros de registros tan dispares. que hacen prácticamente imposible buscar datos para un simple análisis. No solo errores, sino potenciales fallos de seguridad es lo que se espera encontrar en los registros, pero a la larga se ve como una tarea ardua e incluso imposible.
A estos hechos hay que unirles el factor normativo. Numerosas implicaciones de seguridad entre estándares y leyes hacen necesaria la labor de registrar e identificar potenciales problemas de seguridad que puedan detectarse a través de esos registros. Normas como la Ley Orgánica de Datos de Carácter Personal a través del RD 1720/2007 de desarrollo o el más reciente RD 3/2010 del Esquema Nacional de Seguridad, tratan la gestión, almacenamiento y tratamiento de los logs, no solo como una necesidad, sino como una obligatoriedad. Escenarios de bases de datos, correo electrónico, servidores web, servidores de ficheros, sistemas de autenticación, etc., se convierten por necesidad y requerimiento normativo, en circunstancias en las que los registros es un factor a tener en cuenta.
El problema deriva en que la multitud de escenarios como los definidos anteriormente, provocarán a la larga una gran cantidad de información. Esta se encontrará dispersa y en la mayor parte de las circunstancias incompatibles entre ellas. De esta forma los logs de una base de datos, nada tendrán que ver con los registros de un servidor web y por supuesto, estos serán diferentes de los del sistema operativo. En esencia: complejidad.
A estos hechos hay que añadirles que en determinadas circunstancias como las dispuestas en el Artículo 103 del RD 1720/2007 se exige al responsable de seguridad la realización de un informe mensual de incidencias partiendo de los registros realizados. Ya no solo hay que tener en cuenta el hecho de mantener adecuadamente la información exigida, sino también analizarla, sin tener en cuenta la posibilidad o no de que haya existido una potencial incidencia. En la mayoría de ocasiones los logs, se evaluaban desde el punto de vista forense, pero este concepto cambia poco a poco por normativas como las mencionadas o por la implementación de estándares como la ISO 27000. El tratamiento mensual de los logs, hará necesaria la automatización de los informes para evitar costes en personal y tiempo desproporcionados..
A partir de este punto debe considerarse tan crítico el realizar los registros como garantizar su disponibilidad y tratarlos adecuadamente. Estos últimos factores introducen dos nuevos conceptos: la consolidación y la correlación. El primero establece la necesidad de almacenar debidamente los registros mediante un procedimiento regulado y unificado, impidiendo que accesos incontrolados los alteren o eliminen. El segundo va a permitir la gestión y tratamientos de los registros de múltiples escenarios para una adecuada interpretación de los mismos, permitiendo además relacionarlos entre ellos a través de una misma interfaz. Conseguir la consolidación y correlación, permitirá tanto el tratamiento eficaz, como el cumplimiento normativo.
Quest Software, proporciona una solución con las características adecuadas para cumplir los objetivos en lo que al tratamiento de los registros se espera: Intrust. Las funcionalidades principales de Intrust son:
-
Recolección de eventos de forma segura. Los registros son recuperados de los sistemas y enviados de forma cifrada a través de la red. La recuperación de los mismos puede realizarse de forma inmediata, evitando de esta forma modificaciones que alteren su contenido.
-
Almacenamiento y tratamiento online de la información. Los eventos son almacenados para su análisis en una solución basado en repositorios. Esto permite una optimización en el tratamiento de una gran cantidad de información de múltiples sistemas heterogéneos.
-
Correlación de alertas. Intrust proporciona un potente sistema relacional con múltiples alertas ya predefinidas. A través de estas pueden detectarse comportamientos que violen la política de seguridad de una organización. Por ejemplo accesos no controlados a servidores o eliminación de ficheros no autorizados.
-
Generación de informes inteligentes. Intrust proporciona un sistema para la creación de informes que reducen los esfuerzos de los procedimientos de auditoría. Personalizables al máximo, permiten ser exportados en múltiples formatos, bien para su tratamiento online o para su almacenamiento, según sea necesario.
Fig. 1.- Esquema de funcionalidad de Intrust.
La integración de Intrust en múltiples escenarios, con productos y servicios muy diferentes proporciona una ventaja de correlación significativa. Se adapta a múltiples entornos, permitiendo una programación reactiva ante incidencias determinadas y catalogadas por la organización, a la vez que permite la generación de informes personalizables.
A lo largo de una serie de post se irán descubriendo todas las funcionalidades del producto, acercando técnicamente la visión del producto en diferentes escenarios.
Enviado
jun 23 2010, 03:36
por
jlrambla