El 14 de septiembre de 2017, publicamos una versión revisada de nuestra Política de privacidad. Tu uso continuado de video2brain.com significa que aceptas este documento revisado, por lo que te recomendamos que dediques unos minutos a leerlo y comprenderlo.

Fundamentos de la ciberseguridad para profesionales IT

Monitorización y alertas para nuestra infraestructura

Prueba ahora LinkedIn Learning sin cargo y sin compromiso.

Prueba gratis Mostrar modalidades de suscripción
Explicaremos la importancia de mantener controlada constantemente nuestra infraestructura, haremos referencia al proceso DSS 07 de COBIT y enumeraremos algunas herramientas de control útiles para este procedimiento.

Transcripción

La última fase de una arquitectura de seguridad eficiente, es la que cierra el círculo: la monitorización de la infraestructura, según lo planificado, y la gestión de alertas que los controles disparen para que actuemos en base a los planes desarrollados. En COBIT 5 esta etapa se corresponde con el control DSS05.07 titulado: Supervisión de la infraestructura para detectar eventos relacionados con la seguridad. El control de supervisión y sistemas de alertas utiliza herramientas de detección de intrusiones para supervisar la infraestructura y, así, detectar accesos no autorizados, asegurándose de que cualquier suceso queda anotado en el registro general de eventos para la apropiada gestión de incidentes. De este modo, detectamos dos elementos principales, dos tareas fundamentales en este control. La primera es registrar todos los eventos relacionados con la seguridad. Se trata de utilizar en tiempo real los logs o registros habilitados en cada sistema independientemente, y de agregarlos a un sistema de monitorización centralizado donde se anota toda actividad. Estos registros no solo pueden emplearse para detectar intrusiones, también para la auditoria a posteriori. Las fuentes de registros son aplicaciones, servicios, dispositivos de red y casi cualquier otro elementos hardware o software de la infraestructura, por lo que la cantidad de información generada es enorme. El análisis eficiente de los registros solo es posible mediante sistemas automatizados que buscan anomalías para disparar alertas de seguridad. Además, los registros tienen que ser seguros, ya que cualquier intruso intentará borrar sus huellas, eliminando registros que revelen su actividad. Implementada la primera actividad, la de registro de eventos, debemos pasar a la segunda, que acomete el estudio de los mismos. Los registros o logs deben analizarse periódicamente para conocer los patrones normales de comportamiento y poder identificar, así, los elementos discordantes que pueden alertarnos sobre una amenaza. En el ámbito de la seguridad, el análisis debe ser en tiempo real o, cuando descubramos la amenaza, puede ser demasiado tarde. Además, esto permite alertas inmediatas que nos permitan abordar la situación de forma proactiva y no solo reactiva. Las alertas pueden provenir directamente de los sensores o dispositivos de seguridad de la infraestructura o, de forma indirecta, derivarse del análisis combinado de registros que revelen una actividad sospechosa. La ISO 27002 cuenta en el dominio de gestión de comunicaciones y operaciones con el objetivo de control 10.10 denominado Supervisión, cuyos controles son: registro de auditoria, supervisión del uso del sistema, protección de la información de los registros, registros de administración y operación, registros de fallos y sincronización de reloj. Como podemos observar, todos los controles están muy relacionados con la primera actividad, la de registro que hemos explicado en DSS05.07. Cabe destacar, el 10.10.6 de sincronización del reloj, ya que el sistema centralizado de registros deberá confiar en que el sello de tiempo de cada anotación es correcto para poder reconstruir una cronología fiable de los sucesos. Una actividad que no se especifica claramente en COBIT es la auditoria de seguridad externa, conocida como Red Teaming o Pen Testing. El objetivo de estas prácticas es realizar pruebas lo más parecidas posible a una intrusión real para comprobar la capacidad de detección, alerta y respuesta tanto de los medios técnicos como del personal relacionado con la seguridad de la infraestructura. Siempre es mejor que el ataque más desastroso lo realicemos de forma controlada y consciente para descubrir las deficiencias de la arquitectura de seguridad, ya que la alternativa es esperar a que un incidente real interfiera en la continuidad de negocio de la empresa. Hay que aclarar que una prueba de Red Team, literalmente "Equipo rojo", es la forma más agresiva de Pen Testing o "Test de penetración". Su objetivo es poner al descubierto todas las vulnerabilidades posibles de una infraestructura sin alertar a nadie, más que al personal indispensable para que las pruebas sean legales. No se trata de un simulacro con preaviso, sino de un ataque real, pero realizado por un equipo de profesionales de confianza cuyo objetivo es generar un informe en el que se valoren los puntos fuertes y débiles y se desarrollen los consejos apropiados para reducir los riesgos. El documento SP800-53 del NIST también ofrece algunos controles destinados a la auditoría de sistemas. El primero de ellos es el AU-6, análisis e informe de revisión de auditoría, dedicado a la revisión y correlación de registros, alertas automáticas e identificación de incidentes. El siguiente control es el CA-8, de test de penetración o Red Teams, cuyo objetivo ya hemos explicado. Otro control destacable para la monitorización es el SC-5 sobre protección contra denegación de servicio. Esta es una medida reactiva dedicada a tratar de filtrar el tráfico o procesos cuyo objetivo es saturar la capacidad de respuesta de los servicios o de la red mientras se sigue dando servicio a las solicitudes legítimas. Un tipo de herramienta aplicable a este control son los balanceadores de carga de tráfico. También podemos considerar el control SI-4, de supervisión de sistemas de información, que incluye detección de intrusiones, monitorización de tráfico y supervisión de cambios de archivos, y herramientas de análisis y correlación de información en tiempo real para detectar amenazas. Existen múltiples soluciones de mercado para implementar todos estos controles. Lo principal es localizar un sistema de centralización de registros compatible con la infraestructura de dispositivos, servicios y aplicaciones de nuestra infraestructura. Además, hay que implementar algún sistema de análisis en tiempo real de dichos registros.

Fundamentos de la ciberseguridad para profesionales IT

Descubre distintos métodos de evaluación de riesgos y de gestión de incidentes basados en frameworks o marcos de trabajo preestablecidos de alto reconocimiento a nivel mundial.

2:58 horas (27 Videos)
Actualmente no hay comentarios.
 
Temas:
IT
Seguridad IT
Fecha de publicación:29/08/2017

Este curso video2brain está disponible como descarga y para ser visualizado online. ¡Pero no hace falta que decidas entre las dos opciones! Al comprar el curso, disfrutarás de ambas posibilidades.

La descarga te permite ver las lecciones sin estar conectado/a a internet y supone una navegación fácil y ágil entre capítulo y capítulo. Si vas a trabajar en diferentes ordenadores o si no quieres descargarte el curso completo, entra en la web con tus datos de acceso y disfruta directamente de tus vídeos online. Te deseamos que disfrutes de este curso y te resulte de mucha utilidad.

Estamos a tu disposición si tienes cualquier tipo de duda o pregunta.