Mantente al tanto de cada movimiento dentro de tu red
Para estar enterado de todo lo que sucede en tu organización tienes que poder identificar cambios, eventos y amenazas. Es aquí donde entran los logs.
Los logs son registros de cualquier cosa que pasa en tu red o sistema. Es con ellos que puedes ver cada movimiento que se hace e identificar si algo inusual está pasando. Tal vez estás pensando, ¿cómo puede llevar un seguimiento de logs sí mi sistema es extenso? Bueno, pues no te preocupes, esto es posible con un centralizador de logs.
Estás herramientas se encargan de centralizar todos los cambios y movimientos dentro de tu sistema. Para explicarlo de una manera más sencilla, imaginemos que este centralizador es el padre de los servidores/contenedores que forman parte de tu sistema.
Como su trabajo es cuidar de ellos, cada vez que se lleve a cabo un evento creará un registro de lo sucedido. Sí adicionalmente, quieres recibir alertas de estos movimientos, puedes utilizar herramientas como Alertlogic.
ISO27001 a favor de logs
Además de ayudarte a saber qué está pasando en tu red, los centralizadores de logs son útiles para cumplir con ISO 27002. Este estándar de seguridad habla de los controles y la operación de tu Sistema de Gestión de Seguridad de la Información (SGSI).
A diferencia de ISO27001 que se concentra en la seguridad de la información a un nivel más ejecutivo, la ISO27002 se enfoca en darte los controles que debes operar como tal. Específicamente los controles de los dominios A.12. y A.13. hablan de la importancia de llevar un registro de logs. Si necesitas refrescar tu memoria, tómate unos minutos para leer esto: Entendiendo la ISO27002
Los controles del subdominio A.12.4, se refieren a todos los eventos que sucedan, su seguridad y trazabilidad. Es decir, cómo vas a registrar tus logs y cómo los vas a proteger. Por otra parte, los del A.13.1, indican los controles de seguridad que debe tener la red de tu organización; por ejemplo:
– Segmentación de redes por grupos de usuario.
– Autenticación para el acceso a la red.
– Registro de eventos y su monitoreo.
– Nivel de servicio de disponibilidad del servicio de Internet.
– Mecanismos de seguridad a través de Firewalls.
– Monitoreo de la capacidad de los servicios
¿Qué herramientas utilizar?
En Hackmetrix queremos ayudarte a que el proceso de cumplimiento sea lo más relajado posible. Por eso nos tomamos el tiempo de probar y crear una lista de herramientas para el seguimiento de logs. Creemos que podrían serte útiles para cumplir con estos requerimientos de ISO27002.
LogDNA
Este software es un SIEM que es un centralizador de Logs que te permite crear alertas configurables a mano. Ya que no incluye templates, tendrás que configurar manualmente las partes del sistema de las que te gustaría realizar logs. Si volvemos a la analogía del padre, sería indicarle a qué hijos tiene que echarle un ojo.
Hackmetrix Insight: Security Information and Event Management (SIEM) es un tipo de software que centraliza logs. Esto, a través de un análisis centralizado de datos de seguridad a los diferentes sistemas de la organización.
Alertlogic
Alertlogic es un software que combina las tecnologías SIEM y SOC. A diferencia de LogDNA, su servicio está basado en reglas preconfiguradas. Dicho de otra forma, ya tiene un indicio de que es lo que tiene que cuidar porque viene escrito en su preconfiguración. Otro plus que tiene esta plataforma es que puede mandarte alertas cada vez que haya algún movimiento en tu sistema.
Hackmetrix Insight: Security Operation Center (SOC) se refiere al equipo responsable de garantizar la seguridad de la información. Las plataformas SOC supervisan y administran la seguridad de los sistemas de información (SI) mediante la correlación de eventos e intervención remota. Un dato interesante es que el SIEM es la principal herramienta del SOC ya que permite gestionar los eventos de un SI.
Graylog
Con Graylog obtienes los beneficios tanto de un software SIEM, como de una plataforma SOC. Esta herramienta no incluye plantillas y por lo tanto, deberás configurarlo a mano. La ventaja que tiene es que es un software Open Source, o sea que tienes acceso al código fuente, lo que cual podría ser muy útil para entender mejor cómo funciona.
Hackmetrix Insight: Un software Open Source tiene su código fuente publicado bajo una licencia de código abierto o forma parte del dominio público.
Implementar, implementar, implementar,
Ya que sabes que es un centralizador de logs y cómo puede ayudarte, llegó la hora de su implementación. En pocas palabras, este tipo de herramienta te sirve para estar al pendiente de lo que sucede dentro de tu sistema.
Y claro, una ventaja importante de utilizar un centralizador de logs, es que te ayudan a cumplir con algunos de los controles de seguridad que te pide ISO27002.