Y retomamos nuestras 20 vulnerabilidades criticas ahora le toca ala.
14.0 Mantenimiento, seguimiento y análisis de los registros de auditoría,
¿Cómo atacantes aprovechan de la ausencia de este control?
Las deficiencias en el registro y análisis de seguridad permite a los atacantes para ocultar su ubicación, el software malicioso utilizado para el control remoto, y las actividades en las máquinas de las víctimas. Incluso si las víctimas saben que sus sistemas han sido comprometidos, sin registros de registro protegidas y completo que son ciegos a los detalles del ataque y acción tomada posteriormente por los atacantes. Sin registros de auditoría sólidas, un ataque puede pasar desapercibido por tiempo indefinido y los daños hechos particulares puede ser irreversible.
A veces los registros de registro son la única evidencia de un ataque exitoso. Muchas organizaciones mantienen registros de auditoría para fines de cumplimiento, pero los atacantes se basan en el hecho de que estas organizaciones rara vez mirar los registros de auditoría, por lo que no saben que sus sistemas han sido comprometidos. Debido a los procesos de análisis deficientes o inexistentes de registro, los atacantes controlar las máquinas víctimas a veces durante meses o años sin que nadie en la organización objetivo conocer, a pesar de la evidencia de que el ataque haya sido registrada en los archivos de registro no examinados.
Cómo implementar, automatizar y medir la efectividad de este control
1. Ganancias rápidas: Cada organización debe incluir por lo menos dos fuentes sincronizadas de tiempo (es decir, Network Time Protocol - NTP) de la que todos los servidores y equipos de red recuperar información de tiempo sobre una base regular para que las marcas de tiempo de los registros son consistentes.
2. Ganancias rápidas: Validar la configuración del registro de auditoría para cada dispositivo de hardware y el software instalado en él, lo que garantiza que los registros de incluir una fecha, fecha y hora, la dirección de origen, dirección de destino, y varios otros elementos útiles de cada paquete y / o transacción. Los sistemas deben registrar los registros en un formato estándar, tales como entradas del registro del sistema o las contenidas en la iniciativa de sucesos expresión común. Si los sistemas no pueden generar registros en un formato normalizado, iniciar herramientas de normalización se pueden implementar para convertir troncos en dicho formato.
3. Ganancias rápidas: Asegúrese de que todos los sistemas que los registros de almacén tienen suficiente espacio de almacenamiento para los registros generados de forma regular, por lo que los archivos de registro no se llenará entre los intervalos de rotación de logs. Los registros deben ser archivados y firmado digitalmente sobre una base periódica.
4. Ganancias rápidas: Desarrollar una política de retención de registros para asegurarse de que los registros se conservarán durante un período suficiente de tiempo. Como APT (amenaza persistente avanzada) continúa demostrando sus sigilosamente en los sistemas, las organizaciones están a menudo comprometida por varios meses sin ser detectado. Los registros se conservarán durante un período más largo de tiempo que se tarda una organización para detectar un ataque por lo que puede determinar con precisión lo que ocurrió.
5. Triunfos rápidos: todos los accesos remotos a una red, ya sea a la zona de distensión o de la red interna (es decir, VPN, dial-up, u otro mecanismo), se debe registrar verbosely.
6. Victorias rápidas: Sistemas operativos deben configurarse para registrar los eventos de control de acceso asociadas a un usuario intenta acceder a un recurso (por ejemplo, un archivo o directorio) sin los permisos adecuados. Intentos fallidos de inicio de sesión también debe estar conectado.
7. Ganancias rápidas: El personal de seguridad y / o los administradores de sistemas deben ejecutar informes quincenales que identifican anomalías en los registros. Luego deben revisar activamente las anomalías, documentando sus hallazgos.
8. Visibilidad / Reconocimiento: Los dispositivos de red de frontera, incluyendo firewalls, IPS basados en redes y servidores proxy de entrada y salida, se deben configurar para registrar verbosely todo el tráfico (tanto permitidos y bloqueados) que llegan al dispositivo.
9. Visibilidad / Reconocimiento: Para todos los servidores, las organizaciones deben asegurarse de que los registros se escriben en la escritura solo dispositivos o servidores dedicados de tala que se ejecutan en máquinas separadas de los anfitriones que generan los registros de eventos, reduciendo la posibilidad de que un atacante puede manipular los registros almacenados localmente en las máquinas comprometidas .
10. Visibilidad / Reconocimiento: Implementar una o SIM / SEM (gestión de incidentes de seguridad / gestión de eventos de seguridad) iniciar las herramientas de análisis para la agregación de registro y consolidación de varias máquinas y para la correlación de registro y análisis. Con la herramienta SIM / SEM, los administradores de sistemas y personal de seguridad debe diseñar perfiles de acontecimientos comunes de los sistemas propuestos de modo que se puede sintonizar a centrarse en la detección de la actividad inusual, evitar falsos positivos, más rápidamente identificar anomalías, y evitar que los analistas abrumadoras con alertas insignificantes.
11. Avanzado: Es importante vigilar cuidadosamente para eventos de creación de servicios. En los sistemas Windows, muchos atacantes utilizar la funcionalidad psexec para propagarse de un sistema a otro. Creación de un servicio es un evento raro y debe ser vigilado de cerca.
Associated NIST Special Publication 800-53, Revisión 3, Prioridad 1 Controles
(1), AC-19, AU-2 (4), AU-3 (1,2), AU-4, UA-5, UA-6 (a, 1, 5), AU-8-17 AC, AU-9 (1, 2), AU-12 (2), SI-4 (8)
Asociadas NSA manejables Hitos Red Plan y tareas de seguridad de red
Seguridad de acceso remoto
Gestión de registros
Procedimientos y herramientas para implementar y automatizar este control
La mayoría de los sistemas operativos libres y comerciales, servicios de red y tecnologías de firewall ofrecen capacidades de registro. Este registro debe ser activado, con los registros enviados a servidores centralizados de registro. Firewalls, proxies y sistemas de acceso remoto (VPN, dial-up, etc) deben ser configuradas para el registro detallado, el almacenamiento de toda la información disponible para el registro en el caso que se requiera una investigación de seguimiento. Además, los sistemas operativos, en especial los de los servidores, se debe configurar para crear registros de control de acceso cuando un usuario intenta acceder a los recursos sin los privilegios apropiados. Para evaluar si el registro de tal está en su lugar, una organización debe analizar periódicamente a través de sus registros y compararlos con el inventario de activos montados como parte de críticos de control 1 con el fin de asegurar que cada artículo gestionado activamente conectado a la red es periódicamente la generación de registros.
Programas analíticos como SIM / SEM soluciones para la revisión de los registros pueden proporcionar valor, pero las capacidades empleadas para analizar los registros de auditoría son bastante extensas, incluyendo, de manera importante, aunque sea un simple examen por una persona. Herramientas actuales de correlación pueden hacer registros de auditoría mucho más útil para la inspección manual posterior. Estas herramientas pueden ser de gran ayuda en la identificación de los ataques sutiles. Sin embargo, estas herramientas no son ni una panacea ni un sustituto de personal cualificado en seguridad de la información y administradores de sistemas. Incluso con las herramientas automatizadas de análisis de registro, la experiencia humana y la intuición a menudo tienen que identificar y comprender los ataques.
14 de control métrico:
El sistema debe ser capaz de registrar todos los eventos a través de la red. El registro debe ser validado a través de ambos sistemas basados en la red y host-based. Cualquier evento debe generar una entrada de registro que incluye una fecha, fecha y hora, dirección de origen, dirección de destino y otros detalles sobre el paquete. Cualquier actividad que se realiza en la red debe estar conectado inmediatamente a todos los dispositivos a lo largo de la ruta crítica. Cuando un dispositivo detecta que no es capaz de generar logs (debido a un fallo del servidor de registro o cualquier otro problema), debe generar una alerta o e-mail para el personal administrativo de la empresa en 24 horas. Si bien el plazo de 24 horas representa la métrica actual para ayudar a las organizaciones a mejorar su estado de seguridad, en las futuras organizaciones deben esforzarse para aún más rápido de alerta.
14 de control de la prueba:
Para evaluar la aplicación de control 14 de forma periódica, un equipo de evaluación debe revisar los registros de seguridad de los diferentes dispositivos de red, servidores y hosts. Como mínimo, los siguientes dispositivos deben ser probados: dos enrutadores, servidores de dos, dos interruptores, servidores 10, 10 y los sistemas cliente. El equipo de pruebas debe utilizar herramientas de generación de tráfico para enviar paquetes a través de los sistemas bajo análisis para verificar que el tráfico se registra. Este análisis se realiza mediante la creación de eventos controlados, benignos y determinar si la información está debidamente registrada en los registros con la información clave, incluyendo una fecha, fecha y hora, dirección de origen, dirección de destino y otros detalles sobre el paquete. El equipo de evaluación debe verificar que el sistema genera registros de auditoría y, si no, una alerta o notificación por correo electrónico sobre el registro no debe ser enviado dentro de las 24 horas. Es importante que el equipo de verificar que toda la actividad se ha detectado. El equipo de evaluación debe verificar que el sistema proporciona información sobre la ubicación de cada máquina, incluyendo información sobre el propietario de los activos.
Sistema de Control de la Entidad 14 Diagrama de relaciones (ERD):
Organizaciones encontrará que la diagramación de las entidades necesarias para cumplir plenamente los objetivos definidos en este control, será más fácil identificar la manera de implementar, probar los controles, e identificar dónde los posibles fallos en el sistema pueden ocurrir.
Un sistema de control es un dispositivo o conjunto de dispositivos se utilizan para administrar, comando, dirigir o regular el comportamiento de otros dispositivos o sistemas. En este caso, estamos examinando los registros de auditoría, el sistema de base de datos de registro central, el sistema de hora del centro, y los analistas de registro. La siguiente lista de los pasos en el diagrama de arriba muestra cómo las entidades trabajan juntos para alcanzar el objetivo de negocio definida en este control. También ayuda a identificar lo que cada uno de los pasos es con el fin de ayudar a identificar los puntos potenciales de fallo en el control general.
Paso 1: Sistemas de producción generar registros y enviarlos a un sistema de registro de base de datos administrada centralmente
Paso 2: Sistemas de producción y el sistema de base de datos de registro de tira sincronizar la hora con los sistemas centrales de gestión del tiempo
Paso 3: Los registros analizados por un sistema de análisis de registros
Paso 4: Los analistas Log analizar los datos generados por el sistema de análisis de registros .
Fuente:http://www.sans.org/critical-security-controls/control.php?id=14
Traduccion:Dellcom1@.
Saludos Mundo libre.
No hay comentarios:
Publicar un comentario