Hoy en día, una herramienta indispensable para realizar  tareas adecuadas de monitoreo y respuesta a incidentes de seguridad es contar con logs completos y constantes de los sistemas, con el objeto de ayudar con la detección temprana de amenazas y el seguimiento de incidentes de seguridad en la red corporativa.

Sin embargo, un problema del que hemos oído hablar muy poco, es que en ocasiones la información contenida en los logs pueda ser considerada como altamente confidencial, y a su vez representa un problema cuando las personas con acceso a los eventos en una herramienta, como el correlacionador de eventos, tienen también acceso a esta información confidencial.

Información como contraseñas, cuerpos de correo o el nombre de archivo de los mismos correos puede, entre otras cosas, exponer las credenciales de sistemas críticos, por lo que es importante que no se incluya en scripts, donde para autenticarse se soliciten las credenciales preconfiguradas en texto claro; o contener información que solo debe ser conocida por los directivos, o indicadores de compromiso TLP Red, que solo debería ser conocida por un selecto grupo de respuesta a incidentes, por mencionar algunos.

Para prevenir alguna afectación, es importante identificar este tipo de problemas antes que se conviertan en incidentes de seguridad, y que los encargados del correlacionador, tanto del monitoreo o respuesta, trabajen en conjunto para identificar posibles malas configuraciones, como contraseñas almacenadas en bitácoras, o la posibilidad de leer el contenido de correos confidenciales (algunas herramientas incluso permiten ver el contenido de correos cifrados, pues tienen visibilidad del evento antes que se cifre la información).

En caso de que haya alguna limitación técnica para corregir estos problemas, los encargados que tienen acceso a esta información deben estar enterados de esta limitación y ser concientizados de la manera segura de manipular información clasificada.

En SCILabs podemos apoyar a identificar o mitigar estos problemas, analizando si los correlacionadores cuentan con métodos para proteger posible información confidencial, como identificar contraseñas en los eventos, o restringir el acceso de la información solamente a ciertos miembros del equipo de respuesta a incidentes.

Fuentes:

Información tomada de investigaciones y casos observados en SCILabs.