cÓmo hacer que su seguridad de redes sea mÁs...

CÓMO HACER QUE SU

SEGURIDADDE REDES SEA MÁS SEGURA

LOS RETOS SON SIEMPRE UN DESAFÍO Y TAMBIÉN DEBE SERLO LA SEGURIDAD

LAS PRÁCTICAS RECOMENDADAS DE TI:

Una red confiable y de alto desempeño es esencial para su infraestructura y departamento de TI. Igualmente importante para el desempeño de su red es la seguridad dela red. Además de todos sus esfuerzos de supervisión de la red y solución de problemas, deberecopilar y seleccionar datos de registro, así como analizar la causa raíz de los problemas relacionados con la seguridad. Además, necesita asegurarse de quesus métodos de seguridad de TI cumplen las normativas federales y pueden aprobar una auditoría de cumplimiento.

El desempeño de la red y la seguridad son demasiadas cosas que supervisar y muchos componentes críticos pueden omitirse involuntariamente. El mejor modo de abordar sus tareas de seguridad de la red es crear un plan y una lista de comprobación para asegurarse de que no omite una tarea importante de información. Este libro electrónico brinda algunos consejos y orientación para estos procesos de seguridad:

• ADMINISTRACIÓN DE REGISTROS• ADMINISTRACIÓN DE REGISTROS• ADMINISTRACIÓN DE REGISTROS• ADMINISTRACIÓN DE REGISTROS

• ANÁLISIS DE LA CAUSA RAÍZ• ANÁLISIS DE LA CAUSA RAÍZ• ANÁLISIS DE LA CAUSA RAÍZ• ANÁLISIS DE LA CAUSA RAÍZ• CUMPLIMIENTO• CUMPLIMIENTO• CUMPLIMIENTO• CUMPLIMIENTO

ESTRATEGIAS EXPERTAS EN RECOPILACIÓN DE REGISTROS, ANÁLISIS DE LA CAUSA RAÍZ Y CUMPLIMIENTOESTRATEGIAS EXPERTAS EN RECOPILACIÓN DE REGISTROS, ANÁLISIS DE LA CAUSA RAÍZ Y CUMPLIMIENTOESTRATEGIAS EXPERTAS EN RECOPILACIÓN DE REGISTROS, ANÁLISIS DE LA CAUSA RAÍZ Y CUMPLIMIENTOESTRATEGIAS EXPERTAS EN RECOPILACIÓN DE REGISTROS, ANÁLISIS DE LA CAUSA RAÍZ Y CUMPLIMIENTO

MEJORES PRÁCTICAS MEJORES PRÁCTICAS MEJORES PRÁCTICAS MEJORES PRÁCTICAS PARA LA ADMINISTRACIÓN PARA LA ADMINISTRACIÓN PARA LA ADMINISTRACIÓN PARA LA ADMINISTRACIÓN

DE REGISTROSDE REGISTROSDE REGISTROSDE REGISTROSTodos sabemos lo importante

que es la recopilación de registros para una red segura.

Pero, ¿sabe todo el mundo cómo crear un plan de

recopilación de registros y determinar qué se necesita de

los datos de registro recopilados?

Probablemente, no. Además, independientemente de si es

usted un técnico de seguridad dedicado, un técnico de redes o

un administrador de sistemas, recopilar registros es una parte

esencial de una estrategia de seguridad correcta.

¿CÓMO AFECTARÁN LA RECOPILACIÓN DE EVENTOS Y EL ALMACENAMIENTO A SUS RECURSOS DE SISTEMAS?



¿TIENE REQUISITOS ESPECÍFICOS PARA LOS REGISTROS?¿TIENE REQUISITOS ESPECÍFICOS PARA LOS REGISTROS?¿TIENE REQUISITOS ESPECÍFICOS PARA LOS REGISTROS?

¿SABE QUÉ INFORMACIÓN REGISTRAN SUS SISTEMAS Y CÓMO LO HACEN?¿SABE QUÉ INFORMACIÓN REGISTRAN SUS SISTEMAS Y CÓMO LO HACEN?¿SABE QUÉ INFORMACIÓN REGISTRAN SUS SISTEMAS Y CÓMO LO HACEN?

LA ADMINISTRACIÓN DE REGISTROS SE RESUME

EN UNA PREGUNTA: ¿QUÉ REGISTROS DEBE RECOPILAR?





Para responder, aquí tiene algunas preguntas que recomendamos que plantee además de otras recomendaciones de mejores prácticas:

Tanto si utiliza un servidor Syslog en una máquina virtual Linux® o una solución de administración de registros completa, necesitará brindar recursos de sistema (es decir, memoria, CPU y almacenamiento).

El almacenamiento es casi siempre el recurso más costoso. Asegúrese de que cuenta con una comprensión detallada de cómo su solución de registros interactúa con sus recursos de almacenamiento y sies configurable o automatizada.

La memoria y la CPUson los siguientes componentes afectados. La recopilación en tiempo real tiende a usar más memoria sostenible y CPU. Las cantidades varían en función del volumen ya que la recopilación de registros y el almacenamiento se producen a la vez.

Revise su documentación para entender el impacto que los registros tendrán en sus dispositivos, servidores y aplicaciones una vez que estén habilitados.

dispositivos correctos. Por ejemplo: PCI brinda algunos detalles sobre qué debe recopilarse de sus registros de auditoría. Consulte la página 56 deldocumento Payment Card Industry (PCI) Data Security Standard para obtener una lista de detalles completa.

Las normas de cumplimiento a menudo

dirigen esta conversación. No obstante, es posible que también tenga requisitos internos. Ese tipo de requisitos para fines legales y de seguridad. Sea lo que sea, una comprensión completa de todos sus requisitos le ayuda a recopilar la información correcta de los

Como se mencionó en la sugerencia anterior, la cantidad de información de registros generada por sus diferentes dispositivos, sistemas operativos y aplicaciones es enorme. Así pues, junto con saber los requisitos actuales para los registros que necesita recopi-lar, es importante entender cómo cada sistema diferente genera regis-tros.

Por ejemplo, los sistemas operativos Windows® ofrecen configuración de

auditoría detallada que le permite ser selectivo respecto de qué registros se generan (inicios/salidas de sesión, uso con privilegios, eventos del sistema, etc.).

Además, puede elegir si usar eventos exitosos o no,lo que le permite adoptar una enfoque más granular de la configuración de registros.

MÁS

Los registros contienen

mucha información útil.

Cuando se recopilan adecua-

damente, pueden ayudarlo a

mejorar la seguridad y a

resolver rápidamente los

problemasde redes y siste-

mas. Crear un plan de regis-

tros antes de con�gurar su

proceso de recopilación de

registros puede ser la difer-

encia entre largas horas bus-

cando entre datos inútiles y

encontrar fácilmente lo que

necesita.

Los registros contienen

mucha información útil.

Cuando se recopilan adecua-

damente, pueden ayudarlo a

mejorar la seguridad y a

resolver rápidamente los

problemasde redes y siste-

mas. Crear un plan de regis-

tros antes de con�gurar su

proceso de recopilación de

registros puede ser la difer-

encia entre largas horas bus-

cando entre datos inútiles y

encontrar fácilmente lo que

necesita.

Los índices de compresión de datos han crecido de forma significativa con los años, permitiendo más

márgenes de tiempo paralos datos disponibles. No obstante, los registros de archivado son todavía esenciales para la administración de registros.

Antes de programar archivos, asegúrese de que comprende la proporción de compresión del archivo. Esto será especialmente importante a medida que su almacén de registros crezca comparado con la cantidad de espacio de archivado disponible.

Familiarícese con el modo en que su sistema de administración archiva datos (es decir, ¿por dispositivo, base de datos, registros específicos?). Comprender los métodos disponibles de archivado le ahorra tiempo y, lo que es más importante, espacio de almacenamiento. Proteja sus archi-vos, incluso si no es un requisito normativo.

PROGRAMAR Y PROTEGER ARCHIVOS.PROGRAMAR Y PROTEGER ARCHIVOS.

ir a la próxima sección...ir a la próxima sección...

Puede proteger datos activos o disponibles requiriendo acceso de autenticación. Esto también es una buena práctica para prevenir cambios en los datos. Como mínimo, debería cifrar archivos históricos. Cualquier medida de seguridad adicional, como las firmas, son un beneficio añadido.

DE ENERO

PRÁCTICAS RECOMENDADAS PARA EL ANÁLISIS DE CAUSA RAÍZ

PRÁCTICAS RECOMENDADAS PARA EL ANÁLISIS DE CAUSA RAÍZ

A VECES MENOS ES MÁSA VECES MENOS ES MÁSA VECES MENOS ES MÁS

VISUALICE SUS DATOSVISUALICE SUS DATOSVISUALICE SUS DATOSVisualice sus datos.Visualizar sus datos es un modo de identificar tendencias en el flujo de la

información. Un gran aumento repentino de un

solo evento o una cantidad de eventos continua durante un periodo de tiempo normalmente

indica una anomalía. La visualización también puede ayudarlo a identificar rápidamente un margen de tiempo para su investigación. Por último, si está usando un SIEM o un producto de gestión de recursos, puede construir paneles basados en diversos criterios como tráfico de red, autenticación, archivo y cambios.

Cuando considera la administración de registros o la tecnología SIEM, a veces es mejor comenzar con una sola palabra clave, dirección IP o nombre de usuario para un marco de tiempo específico en lugar que una búsqueda detallada específica. Este tipo de búsqueda simple puede ofrecer información de la actividad de otros dispositivos que puede ayudarlo a rastrear y descubrir dónde se originó el

evento. Preste atenció a grandes cantidades de ciertoseventos como errores, fallas de acceso, actividad de archivos y eventos de cambios que contienen el mismo nombre de usuario, dirección IP o ambos. También, busque cambios por el mismo usuario o IP de origen en varios sistemas.

CORRELACIONE LOS DATOS DE DIFERENTES DISPOSITIVOS PARA IDENTIFICAR EVENTOS DE SEGURIDADCORRELACIONE LOS DATOS DE DIFERENTES DISPOSITIVOS PARA IDENTIFICAR EVENTOS DE SEGURIDADCORRELACIONE LOS DATOS DE DIFERENTES DISPOSITIVOS PARA IDENTIFICAR EVENTOS DE SEGURIDADLa correlación de datos de registros en diferentes dispositivos, sistemas y aplicaciones agrega otro nivel de monitoreo de seguridad y puede revelar problemas de seguridad que pasan desapercibidos. Por ejemplo, correlacionar un aumento repentino en registros de correo electrónico salienteque no provienen de su servidor de correo interno es un buen indicador de malware.

Los ataques persistentes avanzados (APTs) pueden resultar difíciles de detectar. No obstante, si está investigando registros puede buscar instalaciones de software azarosas correlacionadas con registros de

tráfico FTP desde su firewall en el mismo margen de tiempo que un ataque.

El análisis de causa raíz es probablemente la función más importante en seguridad después de mantener una red que sea segura y que cumpla las normas. Siempre que se de-tecte o incluso se perciba un evento de seguridad, debe des-cubrir el origen o la causa. Aquí se muestran algunas prácticas recomendadas para ayudarlo a sacar el máximo partido del análisis de causa raíz.

El análisis de causa raíz es probablemente la función más importante en seguridad después de mantener una red que sea segura y que cumpla las normas. Siempre que se de-tecte o incluso se perciba un evento de seguridad, debe des-cubrir el origen o la causa. Aquí se muestran algunas prácticas recomendadas para ayudarlo a sacar el máximo partido del análisis de causa raíz.

MÁS

ESTABLEZCA PLANTILLAS PARA RESPALDAR LA RESPUESTA ANTE INCIDENTES.

ESTABLEZCA PLANTILLAS PARA RESPALDAR LA RESPUESTA ANTE INCIDENTES.

ESTABLEZCA PLANTILLAS PARA RESPALDAR LA RESPUESTA ANTE INCIDENTES.ESTABLEZCA PLANTILLAS PARA RESPALDAR LA RESPUESTA ANTE INCIDENTES.RCA y respuesta ante incidentes t ienen funciones di ferentes pero confían una en otra. Establezca qué requer i rán un equipo de respuesta, legal o sus responsables (por ejemplo, d i rección IP, puerto, nombre de usuar io, etc.) . Después, genere procedimientos operat ivos estándar (SOPs) y plant i l las para s i tuaciones específ icas y generales. Independientemente de quién está presente cuando se produce un evento, todo el mundo necesi ta ser c laro sobre qué información es cr í t ica y a quién contactar.

Esperamos que encuentre útiles estas sugerencias.A veces, en un momento crucial, es mejor detenerse y volver a lo básico.



MEJORES PRÁCTICAS PARA EL CUMPLIMIENTO





¿Ha tenido el placer de pasarlo mal en una auditoría de cumplimiento? Si no es así, no piense que se librará.

ID

A h o r a q u e t i e n e t o d o d o c u m e n t a d o y q u e c o m p r e n d e b i e n s u s r e q u i s i t o s , i d e n t i f i q u e q u é d i s -

p o s i t i v o s d e r e d , s i s t e m a s y a p l i -c a c i o n e s d e b e

s u p e r v i s a r e n m a t e -r i a d e c u m p l i m i e n t o . C u a n t o a n t e s l o c o n s i g a , m e j o r . E s t o e s e s p e c i a l m e n t e i m p o r t a n t e s i e s t á i m p l e m e n t a n d o u n S I E M o u n a s o l u c i ó n d e

g e s t i ó n d e r e g i s t r o s . E s t o s p u e d e n r e q u e r i r m á s a p l i c a -c i o n e s p a r a r e c o p i l a r r e g i s -t r o s . U n a r e c o m e n d a c i ó n e s q u e c u a n d o s e c o m u n i q u e c o n d i f e r e n t e s j e f e s d e d e -p a r t a m e n t o s p a r a i d e n t i f i c a r d i s p o s i t i v o s , a s i g n e v a l o r e n d i n e r o a l o s r i e s g o s d e c u m -p l i m e n t o . E s t o l e a y u d a r á a i d e n t i f i c a r y d o c u m e n t a r c o r r e c t a m e n t e t o d o s l o s d i s -p o s i t i v o s n e c e s a r i o s .

La documentación es la parte más tediosa de la preparación de una auditoría. También la más olvidada. Una documentación completa le será útil, incluso mucho después de pasar la auditoría. Si tiene que proteger la red y prepararse para auditorías, organizar y documentar sus políticas y procedimientos para TODO es crucial.Su estrategia parala docu-

mentación debe responder siempre a esta pregunta “Si yo no estoy, ¿puede alguien seguir estos procedimientos?” Por último, recuerde que una auditoría es un proceso continuo. Mantenga su información siempre actualizada progr-amando tiempo para revisarla y com-pruebe bien su documentación cada año.

Cada sector regulado es di ferente. Comprender lo que se necesita para su sector part icular puede ser un reto. Algunos requisi tos de cum-pl imiento están claramente def ini-dos mientras que otros solo br indandetal les vagos. Asegúrese de quec-onoce los puntos específ icos que su sector exige.

¡DOCUMENTAR, DOCUMENTAR, DOCUMENTAR!¡DOCUMENTAR, DOCUMENTAR, DOCUMENTAR!¡DOCUMENTAR, DOCUMENTAR, DOCUMENTAR!

COMPRENDA BIEN SUS REQUISITOS DE CUMPLIMIENTOY NO OMITA NADACOMPRENDA BIEN SUS REQUISITOS DE CUMPLIMIENTOY NO OMITA NADACOMPRENDA BIEN SUS REQUISITOS DE CUMPLIMIENTOY NO OMITA NADA

IDENTIFIQUE LOS DISPOSITIVOSIDENTIFIQUE LOS DISPOSITIVOSIDENTIFIQUE LOS DISPOSITIVOS

El cumplimiento no es siempre responsabilidad de los profesionales de seguridad. Muchos administradores de redes y sistemas necesitan saber cómo llevar a cabo el cumplimiento también. Puesto que el cumplimiento es un proceso continuo que no termina una vez pasada la auditoría. Así que, para ayudarlo, aquí se muestran algunas mejores practicas de cumplimiento.

El cumplimiento no es siempre responsabilidad de los profesionales de seguridad. Muchos administradores de redes y sistemas necesitan saber cómo llevar a cabo el cumplimiento también. Puesto que el cumplimiento es un proceso continuo que no termina una vez pasada la auditoría. Así que, para ayudarlo, aquí se muestran algunas mejores practicas de cumplimiento.

MÁS

AUTOMATICE SIEMPRE QUE SEA POSIBLEAUTOMATICE SIEMPRE QUE SEA POSIBLEAUTOMATICE SIEMPRE QUE SEA POSIBLEAUTOMATICE SIEMPRE QUE SEA POSIBLEAUTOMATICE SIEMPRE QUE SEA POSIBLE

Cuando recopile pistas de auditoría, verá rápidamente que el volumen de datos es inmenso y aparentemente imposible de revisar. La automatización puede ayudar a simplificar las cosas. Desarrolle o configure informes automatizados y programados que sean específicos para sus requisitos de cumplimiento. Además, aproveche cualquier sistema de alertas casi en tiempo real o en tiempo real y la función de notificaciones. La mayoría de las soluciones de gestión de registros de la actualidad brindan algún tipo de alertas o notificaciones, lo que es una práctica recomendada de auditoría de cumplimiento puesto que prueba que está “revisando activamente” sus registros.

Si revisa de forma consistente sus procedimientos y los compara con los requisitos más actualizados, siempre estará preparado para una auditoría. Como mínimo, le recomendamos revisiones

trimestrales (si bien lo ideal es hacerlo mensualmente).

Cumplir las regulaciones de cumplimiento puede parecer abrumador

cuando la tarea requiere recopilar las pistas de auditoría necesarias.

Esperamos que estas sugerencias le brinden ideas, refresquen su memoria y lo motiven

para comenzar la revisión de cumplimiento.

REVISE LAS POLÍTICAS Y PROCEDIMIENTOSREVISE LAS POLÍTICAS Y PROCEDIMIENTOSREVISE LAS POLÍTICAS Y PROCEDIMIENTOSREVISE LAS POLÍTICAS Y PROCEDIMIENTOSREVISE LAS POLÍTICAS Y PROCEDIMIENTOS

Tratar incidentes de seguridad, analizar la causa raíz y participar en auditorías de cumplimiento son tareas comunes para cualquier tipo de profesional de TI. Dedicar tiempo a plani�car y comprender su infraestructura y dispositivos puede ahorrarle largas horas organizando sus datos de registro cuando detecta un evento de seguridad. Además, las auditorías de cumplimiento son mucho más sencillas cuando está preparado con la documentación y los informes necesarios. Las sugerencias en este libro electrónico pueden reducir o eliminar la frustración y dudas que a menudo acompañan las iniciativas de seguridad de redes.

Tratar incidentes de seguridad, analizar la causa raíz y participar en auditorías de cumplimiento son tareas comunes para cualquier tipo de profesional de TI. Dedicar tiempo a plani�car y comprender su infraestructura y dispositivos puede ahorrarle largas horas organizando sus datos de registro cuando detecta un evento de seguridad. Además, las auditorías de cumplimiento son mucho más sencillas cuando está preparado con la documentación y los informes necesarios. Las sugerencias en este libro electrónico pueden reducir o eliminar la frustración y dudas que a menudo acompañan las iniciativas de seguridad de redes.

Para más información, visite:email [email protected].

©2015 SolarWinds Worlwide, LLC. Todos los derechos reservados.

ESTE

VIAJE NO TIENE QUE ESTE




VIAJE NO TIENE QUE

CO

MENZAR CON UN SOLO P

AS

OCO


AS

OCO


AS

OCO


AS

OCO


AS

O

cÓmo hacer que su seguridad de redes sea mÁs...

Documents