En este buen blog de seguridad (os recomiendo que os suscribáis), he visto una referencia a un documento del Instituto SANS que creo que es conveniente que lo reviséis y lo comentemos. Este PDF incluye “los 5 tipos de Informes de seguridad más recomendables a tener en cuenta sobre nuestros sistemas. Me pareció muy interesante no sólo por los eventos elegidos, sino por el desarrollo argumentado de cada uno, a quién notificar, etc,…“
2 replies on “Sobre los tipos de Informes de seguridad más recomendables”
Los 5 informes consisten en analizar:
-Accesos fallidos mediante cuentas válidas: son los conocidos ataques de fuerza bruta, uno de los consejos para evitarlo en SSH consiste en utilizar mecanismos de prevención del tipo portknocking o reactivos como fail2ban.
-Recursos buscados no encontrados: es recomendable realizar un escaneo de vulnerabilidades o saber quíén se está interesando en saber lo que tiene un servidor determinado, para ello la recomendación es tener los servidores actualizados, para que los escaneos basados en versiones vulnerables no den positivo a los ataques.
-Cambios no autorizados a usuarios, grupos y servicios: tiene que estar muy acotado el grupo de usuarios con capacidad de dar o quitar permisos. Se deben controlar los usuarios que hayan cambiado de rol, los cambios que se hagan desde cuentas autorizadas y los servicios que cambien de estado por si solos.
-Sistemas más vulnerables a atques: es recomendable realizar auditorias a nuestros sistemas periódicamente, proteger los sistemas con dispositivos especiales y realizar una configuración segura.
-Patrones de tráfico de red sospechosos o no autorizados: es aquello que no conocemos y por tanto no podemos clasificar si se trata de un ataque o no. Lo que se propone es la configuración de dispositivos se seguridad perimetral; el inconveniente es que debemos conocer con exactitud la funcionalidad y necesidad de cada máquina.
Son unas buenas prácticas a tener en cuenta para que nuestra red sea segura, aunque lo cierto es que resulta muy costoso ya que si queremos analizar toda la información sería difícil encontrar los datos entre los logs.
Fuente
http://www.securitybydefault.com/2010/11/seleccionando-informes-de-seguridad.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+SecurityByDefault+%28Security+By+Default%29
Como ha comentado la compañera, los 5 informes tratan sobre analizar accesos fallidos mediante cuentas válidas, recursos buscados no encontrados, cambios no autorizados a usuarios, grupos y servicios, sistemas más vulnerables a ataques y patrones de tráfico de red sospechosos o no autorizados, mediante la actualización continua de logs en el sistema de la red.
Mediante el análisis de estos informes la empresa tendrá una mejor protección frente a los ataques contra ella, y puesto que como señalan en esta página:
http://www.symantec.com/es/mx/business/theme.jsp?themeid=threatreport
se ha producido un incremento en la cantidad de amenazas específicas dirigidas a las empresas por parte de atacantes que aprovechan la abundancia de información personal abiertamente disponible en los sitios de redes sociales, para realizar ataques de ingeniería social dirigidos a personas claves de las empresas seleccionadas, es necesario incrementar la protección de las empresas. Además, los toolkits de ataques facilitan la ciberdelincuencia más que nunca, puesto que han logrado aumentar el número de delincuentes cibernéticos al ser relativamente baratos estos toolkit (el toolkit Zeus, que roba información personal, vale 700 dólares).
http://www.sans.org/security-resources/top5_logreports.pdf
http://www.symantec.com/es/mx/business/theme.jsp?themeid=threatreport