AÑO 7 - Nº 07 - JUL 11





TOOLBOX

El dolor de cabeza en la revisión periódica de bitácoras
Por José Rhin Salazar

Director de Tecnología

CONSISA- Consultores de Sistemas - El Salvador


En cualquier material relativo a recomendaciones de aseguramiento de la información se hace énfasis de que se debe revisar periódicamente las bitácoras de los sistemas. De hecho, estudios refuerzan esta práctica como una necesidad, por ejemplo, el informe de Verizon“2010 Data BreachInvestigationReport”

(http://www.verizonbusiness.com/resources/reports/rp_2010-data-breach-report_en_xg.pdf)

en una de sus estadísticas muestra que el 86% de los incidentes de seguridad estudiados, pudo haberse detectado, y esto porque se tenía evidencia de la actividad maliciosa dentro de las bitácoras de los sistemas.

Aun con esto, la revisión de bitácoras es el mitológico pato negro de las actividades de un administrador, las bitácoras son grandes, complicadas de leer, la información es tediosa, y por lo general no se encuentra nada anormal. Por lo anterior las bitácoras son merecedoras de ser ignoradas (en el mejor de los casos) o ser borradas.

Dada su importancia, es necesario volver a buscar una manera de cómo reconciliarse con esta práctica, de una manera diferente a la tradicional. El mismo reporte en sus recomendaciones sugiere que se busque por anomalías dentro de los patrones normales de comportamiento de las bitácoras.

Estas anomalías pueden encontrarse clasificadas dentro de alguna de los siguientes tipos:

• Líneasmuylargas
• Archivosmuygrandes
• Inexistencia de información durante periodos de tiempo
• Inexistencia de archivos de bitácora

Cualquiera de las anteriores puede ser indicativo que hay actividad anormal que requiere atención. Con esto es necesario también definir qué es lo que entendemos por línea muy larga o un archivo muy grande. Estos datos por su naturaleza son bien particulares a cada tipo de operación y pueden variar entre diferentes tipos de servidores que tengan en la empresa. Para lograr esta medición es importante leer una muestra de las bitácoras para saber cuáles son los parámetros de comportamiento normal.

Para ilustrar un poco más el punto, se puede tomar la muestra de archivos de bitácora que se ilustran en la siguiente figura. Estos corresponden a las bitácoras generadas por un webserver para un periodo de días. A simple vista, se puede observar que de lunes a viernes los archivos tienen un tamaño máximo de 257K y en fin de semana este baja del 45K.

Si se encontrara un archivo de 1 Mb, por ejemplo, eso indicaría que hay una anomalía que amerita que se revise a más detalle el archivo en búsqueda de la causa de esta variación. Lógicamente, entre más datos relacionados tenga se pueden emplear técnicas estadísticas para definir con mayor precisión lo que se interpreta por normal, para el caso pudiéramos decir que los datos en día de semana tienen un promedio de 164K y una desviación estándar de 47K, con esto se pudiera crear los parámetros para que programa busque por los archivos y señale anomalías.
 

Igual que todas las soluciones en el mundo de seguridad, esta es una medida que ayuda positivamente pero que debe de ser empleada con medidas adicionales para lograr una protección efectiva. He dejado por fuera herramientas comerciales para hacer este tipo de trabajos tales como Barcelona04 (http://www.barcelona04.com/)  o ACL (http://www.acl.com/) .

 

Envíanos tu comentario: contactos@infosecurityvip.com

 

Ediciones Anteriores

Backtrack 5, Release!

Por Oscar Banchiero
Instructor Ethical Hacking - CCNA - EH - UCAD
ISEC Information Security Inc


Secure endpoint, the complete strategy: from a to zafe!!

Por Héctor Quintero

Microsoft

San Juan - Puerto Rico


Borderless security

Por Bruno E. Haring | Senior Manager | Advisory Services
Ernst & Young Puerto Rico LLC


Prevención y Detección de amenazas de Seguridad internas.

Por Rafael Núñez

Software Associates Venezuela
Caracas - Venezuela


Red WIFI segura

Access Point Cisco Aironet 1250 Series

 


Copyright © 2011 I-SEC. Todos los derechos reservados
Política de privacidad