Red Seguridad 090

red seguridad tercer trimestre 2020 73 auditoría debe ser un punto más y muy importante de dicho bastionado. Mientras más exhaustivo sea este, más fácil será determinar qué ope- raciones se podrían llegar a hacer desde un dispositivo o un punto de la red con unos permisos determi- nados. Pero no solo hay que vigilar que la configuración de los eventos sea adecuada, sino que también se debe contar con una política de rotación de los logs que se van generando y de retención que permita volver atrás en el tiempo y recuperar información del pasado. Nivel de trazado Igualmente, los desarrollos a medida deben contemplar un correcto nivel de trazado en el aplicativo para que se pueda seguir la pista de las activi- dades realizadas. En muchos casos, estos aplicativos quedan relegados por error a un segundo plano de con- trol y trazabilidad. Para evitar que se produzcan borra- dos en las trazas, es aconsejable enviar en tiempo real los logs a otro sistema, como un servidor externo, unidad NAS. Aunque es mejor enviar- los, por ejemplo, a un SIEM ( Security Information and Event Management ) o a un servidor de syslog , idealmente ubicado en otro lugar y con permisos y accesos totalmente diferenciados. El SIEM, además, ayudará al aná- lisis forense para correlar eventos, encontrar situaciones sospechosas relacionadas con el suceso y realizar búsquedas avanzadas. También está bastante extendido el uso de un servidor ELK (ElasticSearch, Logstash, Kibana), varios módulos en conjunción que se utilizan para recoger eventos, procesarlos, realizar búsquedas y elaborar gráficas. Lo importante es contar con algún sitio alternativo para que, si se produce un borrado malintencionado del log , podamos seguir conservándolo. No obstante, si la infraestructura no es onpremise , la situación cam- bia. Cuando se contrata un servicio en cloud es fundamental que nos informemos del nivel de trazabilidad que ofrece. Normalmente hay que configurarla, solicitarla o contratarla porque no se incluye de serie. Por dar un par de ejemplos, la contra- tación de IaaS ( Infraestructure as a Service ) o SaaS ( Software as a Service ). En la nube se ofrecen múltiples solu- ciones de seguridad, pero muchas veces los mecanismos deseables para facilitar un análisis forense no vienen configurados por defecto, y en ocasiones hay que contratarlos aparte o contar con un nivel de licenciamiento más avanzado. Puede ser para contar con información de accesos, de intercambio de tráfico o de actividad asociada al servicio. Hay que analizar qué información es necesaria cuando se va a optar por un servicio en la nube y considerar sus costes como parte de este y así asegurar que haya trazabilidad pos- teriormente. Análisis previo En definitiva, y como conclusión gene- ral, para poder desarrollar la investi- gación forense y conseguir resultados concluyentes acerca de un incidente de seguridad es vital hacer un análi- sis previo de nuestros sistemas y de las posibilidades que ellos mismos o herramientas de terceros nos ofrecen para recopilar información relativa a la trazabilidad de acciones y la genera- ción de evidencias. De esta forma, se garantiza un mejor punto de partida para el analista forense de cara a averiguar la causa raíz del incidente y realizar su reconstrucción. Teniendo en cuenta que antes o después seremos víctimas de un incidente de seguridad en nuestras organizaciones, de menor o mayor impacto, estar mejor preparados para responder y recuperar en el ámbito forense es, sin duda, una inversión con claro retorno que debemos considerar. forense monográfico En la nube se ofrecen múltiples soluciones de seguridad, pero muchas veces los mecanismos deseables para facilitar un análisis forense no vienen configurados por defecto, y en ocasiones hay que contratarlos