Wake up Neo
The Matrix has you
Follow the white rabbit…
Knock Knock Neo.
Hoy el análisis de los problemas de seguridad se reduce a investigar en un servidor una cantidad importante de logs que son recolectados por herramientas de monitoreo y en donde el administrador de seguridad debe detectar algún tipo de falla. Es como leer la pantalla verde de Matrix (película del año 1999 en donde aparecía la lluvia digital y se debía interpretar lo que sucedía en la Matrix).
Problemática
Para entender lo que sucede, vamos analizar lo que ocurre en la mayoría de las compañías:
Logs: son archivos con registros de las actividades de los recursos de IT. Allí podemos analizar el comportamiento de este recurso y sobre todo, verificar la seguridad del mismo, verificando quienes acceden, que uso hacen del recurso y si hay intentos de ingreso no autorizado al mismo (entre otras cosas). Hoy muchas compañías no realizan seguimiento a este tipo de archivo a menos que suceda una violación de seguridad y sea detectado por un usuario o personal de sistemas.
Auditorias: por cuestiones de negocio, se implementan herramientas de monitoreo de logs que sirven para cumplir con las auditorías, pero en realidad nadie analiza u observa el comportamiento de estos recursos. El repositorio de logs de la herramienta crece y si no cuenta con mantenimiento, en cierto momento deja de funcionar por falta de recursos.
Alertas por correo: de manera preventiva los administradores de seguridad, configuran alertas que son enviadas por correo a su buzón y a dispositivos móviles. La cantidad de alertas que llegan provoca que los administradores terminen configurando reglas para desviar este tipo de correo a una carpeta del buzón, que será revisada por el administrador de seguridad cuando la misma tenga un tamaño considerable y se requiera borrar para disponer de espacio en el buzón.
Leyendo logs: un recurso de seguridad está haciendo seguimiento a los logs en horarios normales de trabajo. Esta actividad es descontinuada a la noche y fines de semana, por lo cual el seguimiento de los registros es parcial.
En base a estos ejemplos, que ocurren en la sociedad de IT hoy, es indispensable contar con soluciones que permitan tomar acciones ante un evento dado. Es sabido que los intentos de intrusión ocurren durante la noche o fines de semana, estos son los horarios que normalmente una plataforma administrada por personas, auditada por personas son más vulnerable. Entonces, ¿Por qué no contar con una solución que permita configurar acciones correctivas ante ciertas situaciones, además de mandar correo y alertas a celulares? ¿Es esto posible hoy en día? ¿Es costosa su implementación? ¿Qué tan efectiva es la implementación si no sabemos qué tipo de ataque podemos llegar a sufrir?
A tener en cuenta
La implementación de herramientas y soluciones de monitoreo con respuesta dinámica es totalmente viable y su implementación no debiera ser un dolor de cabeza para aquellos que implementan este tipo de soluciones. Para llevar a cabo una implementación exitosa, se requiere:
Monitoreo: Analizar que plataforma serían objeto de los monitoreos. Es importante analizar los sucesos que podrían provocar un imprevisto en la plataforma y producir un problema o incidente a los procesos críticos de negocio. No sirve querer auditar el todo en un principio. En base a esto, se debe definir las acciones que se tomarían en base a la detección de un suceso. Ejemplificandolo de otra manera, sería la alarma con monitoreo, se detecta que se dispara y tomamos acciones correctivas para mitigar el problema.
Recursos: contar con las herramientas y equipamientos necesario para ejecutar la solución de monitoreo. Aquí es indispensable la conectividad. La red debe funcionar correctamente y no tener tráfico basura que pueda impactar en su funcionamiento. Si una red posee problemas,por ejemplo, puede provocar que una alerta no llegue a destino y por lo tanto no sea detectada.
Análisis: Conocer los requerimientos de continuidad y seguridad del negocio, para implementar controles sobre los activos o recursos que participan en los procesos de negocio.
Seguimiento: Verificar regularmente que las reglas definidas estén funcionando correctamente y si la solución ha implementado una corrección, documentar, registrar y almacenar esta evidencia.
Implementación: mostrar a la Gerencia de la compañía que es una solución que asegurará los recursos de la compañía, que la misma es una inversión, ya que permitirá mantener un escenario seguro y confiable, sin importar los días y las horas en que se registren los sucesos. Periódicamente presentar reportes que ofrecen estas soluciones para mostrar el valor agregado que proveen estas soluciones.
Soluciones
Microsoft hoy provee un conjunto de soluciones que poseen las capacidades de prevenir un problema dado un suceso determinado. Para ello podemos contar con estas soluciones:
Microsoft IO: este modelo de madurez creado por Microsoft, basado en buenas prácticas, permite organizar su área de IT e implementar medidas que a corto plazo. Este modelo orienta hacia una gestión mejor de los desktops, servidores, dispositivos móviles, aplicaciones y redes, y muestra cómo hacer un uso eficiente de todos estos elementos para reducir su coste y su complejidad, garantizar que los sistemas se mantienen siempre en servicio y en perfecto estado, y disponer de una infraestructura con la máxima capacidad de respuesta.
System Center: System Center Operations Manager 2007 automatiza las tareas rutinarias y repetitivas y establece un entorno de monitorización y elaboración de informes inteligente que le ayuda a mejorar su eficacia y aumentar el grado de control sobre su entorno de IT. Aplica un modelo de seguridad basado en roles, se integra con el Directorio Activo y sus nuevos elementos de infraestructura facilitan las tareas de monitorización, configuración y despliegue en entornos complejos. Incorpora soporte para instalaciones de alta disponibilidad como arquitecturas en cluster y tolerancia a fallos, para asegurar que el entorno de IT siempre está adecuadamente monitorizado.
Forefront Stirling: Un elemento central del enfoque de integración de infraestructura de Microsoft es Dynamic Response, una innovadora tecnología Microsoft desarrollada en cada uno de los componentes de Forefront Stirling que permite que todo el sistema comparta y use información de seguridad para responder y resolver automáticamente amenazas a través de múltiples capas de la infraestructura de TI. Debido a que dichas amenazas continúan aumentando en frecuencia, Dynamic Response está diseñado para ayudar a las empresas a proteger proactivamente su ambiente de TI y responder con mayor rapidez.
Espero que este artículo sirva para mejorar el monitoreo de vuestra red. Nos vemos en la próxima.
Saludos
Enrique
No hay comentarios.:
Publicar un comentario