Imagina que estás en medio de un incidente de seguridad con el estrés a tope; la pregunta que todos se hacen es: ¿cómo accedió el atacante a la red? La respuesta está en las bitácoras, las cuales son registros detallados de la actividad en equipos, sistemas operativos y aplicaciones.

Las bitácoras son esenciales para reconstruir incidentes y diagnosticar fallas. Existen diversos tipos como: de conexión, autenticación, ejecución, transacción, acceso, creación o lectura de archivos, y su disponibilidad depende del sistema o equipo.

Es crucial resguardar bitácoras de equipos y servicios críticos, ya que los atacantes suelen borrarlas para ocultar sus huellas. Durante un incidente de seguridad un buen sistema de bitácoras permitirá identificar:

  • El vector de entrada del atacante
  • Los equipos comprometidos
  • El tiempo de permanencia en la red
  • Las cuentas comprometidas
  • Si hubo robo de información

Existen algunas recomendaciones que ayudarán a contar con las bitácoras indispensables en un incidente de seguridad:

  • Centralizar bitácoras esenciales (firewall, VPN, herramientas de seguridad, controladores de dominio, servicios críticos, etc.) en una plataforma conocida como Correlacionador de eventos o SIEM (Gestor de información y eventos de seguridad, por sus siglas en inglés).
  • Verificar que el análisis gramatical de las bitácoras sea correcto, de modo que la normalización de los datos sea adecuada, pueda indexarse y, de esta forma, sean útiles para una investigación eficiente.
  • Mantener un histórico de al menos 3 meses (idealmente 6), con el fin de tener la posibilidad de investigar eventos pasados.
  • Almacenar las bitácoras en un lugar seguro y protegido contra modificaciones o eliminaciones no autorizadas.
  • Implementar un sistema de monitoreo continuo de las bitácoras —de ser posible automatizado— para detectar anomalías, patrones sospechosos o eventos de seguridad en tiempo real.

En conclusión, las bitácoras y registros de eventos son herramientas fundamentales para la gestión de incidentes de ciberseguridad, ya que permiten realizar un seguimiento detallado de las actividades y detectar anomalías que podrían indicar una intrusión o la explotación de una vulnerabilidad en la organización. La recopilación y análisis adecuado de estos registros facilita la identificación temprana de amenazas, la investigación de incidentes y la implementación de medidas correctivas.

Referencias:

Observability 101: Why Log Management is Crucial for Business Success. (s. f.). https://www.observo.ai/post/why-log-management-is-crucial-for-business-success.