Registro y supervisión insuficientes
El registro y la supervisión suelen ser una idea tardía cuando algo ya ha salido mal, pero en realidad, no garantizar que se lleve a cabo un registro y una supervisión adecuados puede resultar muy costoso.
En un extremo, cuando se produce un incidente (ya sea relacionado con la seguridad o no), tener pocos registros o ninguno hace que sea imposible averiguar qué es lo que realmente ha sucedido. En el otro extremo, registrar demasiados datos puede generar problemas de privacidad y, a su vez, provocar problemas con los reguladores.
A continuación, analizaremos algunas prácticas recomendadas que pueden ayudarlo a mejorar el registro y la supervisión.
Mejores prácticas
Echemos un vistazo a algunas de las mejores prácticas para un buen registro y monitoreo.
Registro de auditoría para funciones sensibles
Es importante crear registros de auditoría para los eventos confidenciales, como los intentos de inicio de sesión (independientemente de que los intentos hayan tenido éxito o no), los cambios en las cuentas de usuario, el acceso o la modificación de datos confidenciales y otros casos similares. Esto es válido tanto para el acceso de usuarios generales como para cualquier usuario interno o administrativo.
Registrar estas cosas se vuelve extremadamente relevante en los casos en que se cree que se ha producido un acceso no autorizado, independientemente de si se trata de una persona interna o externa.
Cuando ocurre un evento de este tipo, es fundamental poder explicar a qué datos accedió quién, a fin de comprender la escala y el alcance del evento.
Registro de errores
Tener registros de errores y advertencias no es solo una práctica recomendada de ingeniería general para monitorear el estado de la aplicación, sino que también puede actuar como un indicador de advertencia.
Cuando un atacante está descubriendo una vulnerabilidad, con frecuencia generará un gran volumen de errores y advertencias que pueden indicarle que un atacante puede haber encontrado una vulnerabilidad en su aplicación.
Almacenamiento de registros en una ubicación centralizada
Los registros siempre deben transmitirse y almacenarse en un lugar centralizado en tiempo real. Esto es tanto para garantizar que los registros estén disponibles de inmediato para que un SIEM los analice como para evitar que un atacante que pueda haber puesto en peligro un servidor pueda modificarlos o eliminarlos.
Conserve los registros durante un período de tiempo definido
La desafortunada realidad es que la mayoría de las infracciones tardan días en detectarse y, de hecho, el 20% de las infracciones tardan días en detectarse meses para detectar. Cuando el tiempo que transcurre entre la violación y la detección lleva tanto tiempo, los registros suelen ser la única fuente de datos de la que disponemos para determinar qué puede haber ocurrido.
Por lo tanto, almacenar los registros durante un período de tiempo bien definido es muy importante. Estándares como el PCI exigen que los registros sean accesibles con poca o ninguna demora, desde hace 3 meses, mientras que los registros que se remontan a 12 meses deben poder restaurarse a pedido.
Este enfoque logra un buen equilibrio entre poder comenzar a investigar fácilmente un posible incidente y administrar los costos mediante el almacenamiento en frío de los registros.
Audite regularmente los registros de PII
Los registros son excelentes para investigar posibles incidentes, pero la realidad es que los propios registros también pueden provocar un incidente.
Existe un equilibrio delicado entre incluir la información necesaria para poder investigar los incidentes y registrar demasiado. Es bastante fácil incluir accidentalmente información de identificación personal en los registros, lo que puede provocar problemas con las normas de privacidad.
Es importante auditar periódicamente los registros para detectar la PII y asegurarse de que se elimina.