cioperu.pe

Columnas de opinión
 
 

Los principio básicos de la administración de registros

Por: David Torre, CTO de Atomic Fission

 

[25/10/2010] Los registros de sistema generados por los servidores y otros aparatos de red pueden crear datos en grandes cantidades, y tarde o temprano, los intentos de la gestión de esa información ya no son viables.
 
En consecuencia, los gerentes de sistemas de información tienen la tarea de elaborar estrategias para domar estos volúmenes de datos de registro para seguir cumpliendo con la política de TI de la compañía, y también para obtener una visibilidad integral en todos los sistemas implementados en la organización. Con un poco de orientación y un poco de planificación, la receta para la gestión de registro es realmente sencilla, y las recompensas son sorprendentemente favorables.
 
¿Qué es la administración de registros?
En primer lugar, una definición de la gestión de registro es imprescindible. El Instituto Nacional de Estándares y Tecnología (NIST) define la gestión de registro en la publicación especial SP800-92 como: "El proceso para generar, transmitir, almacenar, analizar, y disponer de los datos informáticos de registro de seguridad". Pero ¿qué conlleva realmente la administración de registro? En pocas palabras, la gestión de registro es la definición de lo que usted necesita registrar, cómo debe hacerlo y por cuánto tiempo debe conservar la información. Esto se traduce -en última instancia- en los requisitos de hardware, software y, por supuesto, políticas.
 
Los beneficios de los sistemas de gestión de registros son abundantes, y su retorno sobre la inversión es significativo. Para cuantificar el valor de una inversión en esta área, ayuda ver los sistemas de administración de registros como sistemas de inteligencia de negocios. Nuestro negocio es la seguridad de la información por supuesto, pero muchas de las mismas características y beneficios que se encuentran en los sistemas tradicionales de BI están también presentes en los sistemas de gestión de registros. Desde la extracción de datos, la transformación y carga (ETL) para igualar almacenes datos back-end de la empresa, todas las partes móviles de la BI estándar también se encuentran en muchos de los sistemas de de administración de registros.
 
El sistema de gestión de registro puede ser un sistema de inteligencia de negocios altamente especializado, disfrazado; sin embargo, al igual que su primo centrado en las empresas, trae el beneficio de un cambio de juego a la mesa. Por ejemplo, los datos de transacciones del día a día por fin se pueden ver a través de la organización en su conjunto, y no en silos discretos e inconexos. Esta capacidad de ver todos los sistemas al mismo tiempo es un poco como estar en todas partes al mismo tiempo. Por fantástica que parezca, la realidad es que este nuevo conjunto de ojos virtuales aumenta su eficacia sin aumentar su planilla. Una visibilidad amplificada de los eventos en toda la empresa también equivale a una mayor toma de conciencia de la actividad en tiempo real que, en última instancia, mejora la postura general de la seguridad al fortalecer al personal para reaccionar rápidamente a los eventos maliciosos.
 
Los profesionales de seguridad han entendido desde hace tiempo los beneficios que los sistemas de gestión de registros proporcionan a través del almacenamiento centralizado de registros. Debido a que es prácticamente un procedimiento operativo estándar para los hackers ocultar su método de intrusión mediante la destrucción de los registros y desactivar los mecanismos de contabilidad, tener una copia protegida y centralizada de estos datos asegura que la información valiosa se conserve para el análisis post-mortem, y que la evidencia esté disponible para cualquier acción de seguimiento legal.
 
Curiosamente, no todos los beneficios de los sistemas de gestión de registro están centrados en la seguridad. Por ejemplo, muchos dispositivos de red, tales como routers o firewalls, tienen limitados buffers electrónicos reservados para el registro. Una vez que los buffers alcanzan su capacidad máxima, las entradas más antiguas se descartan para dar cabida a eventos más recientes. Los dispositivos alojados en circuitos ocupados de seguro tienen un volumen de registro alta, y desechar la mayoría de los eventos simplemente no es factible para los ingenieros encargados de la solución de problemas operacionales.
 
Mediante el envío de registros a los sistemas centralizados que están equipados con discos duros de alta capacidad, el personal de operaciones puede tener acceso a los datos de eventos en espacios de tiempo que proporcionan un contexto adecuado para el tema. El almacenamiento no volátil de datos de registro también abre la puerta a una mejor infraestructura, dimensionando las proyecciones a través del análisis de tendencias. Esto permite a los administradores evaluar con precisión los patrones de crecimiento futuro y tal vez justificar las solicitudes de presupuesto.
 
Para las organizaciones que deben cumplir con obligaciones legales o regulatorias, tales como las que son comunes en la Ley Sarbanes Oxley o la Ley HIPAA, una correcta implementación de los sistemas de administración de registros puede hacer progresar considerablemente la eficiencia global de las actividades de cumplimiento. Aunque muchas soluciones de gestión comercial de registro ofrecen el cumplimiento como un punto importante de venta, el grado de variación en el mundo real de los requisitos de auditoría es vasto, y los controles de auditoría en particular suelen ser específicos a una compañía. Por lo tanto, cualquier noción de "cumplimiento en una caja" debe ser rápidamente descartada como una exageración marketera.
 
Sin embargo, asumiendo que las auditorías de control específico a empresas puedan ser adecuadamente incorporadas en el sistema de gestión de registros, los reportes comúnmente solicitados por los auditores puede ser envasados en plantillas que se generan ad-hoc, tal vez incluso a criterio del auditor a través de instalaciones de auto-ayuda. Por supuesto, la integridad de un sistema de administración de registros específicos debe ser aprobada por el asesor oficial; por lo que obtener una revisión antes del auditor, debería ser un paso integral en los criterios compra de un sistema de gestión de registro.
 
Elección del sistema adecuado de gestión de registro
Antes de realizar cualquier compra, es importante recordar que no todos los sistemas de gestión de registros son creados iguales. Independientemente de si se examina un producto o un servicio en particular alojado en la nube, la variación en la funcionalidad de administración de registros normalmente se puede simplificar determinando en qué categoría del sistema cae. Afortunadamente, solo hay dos clases básicas de sistemas de administración de registros: El colector básico de registros centralizado y el sistema de gestión de eventos de estilo SIEM (security information and event management o gestión de información de seguridad y eventos).
 
Los servidores de registro centralizado son solo eso: Sistemas de bajo costo diseñados para recopilar y consolidar simplemente registros de numerosas fuentes para su consumo posterior. Los contendientes venerables en este espacio son normalmente de la variedad UNIX, y muchas veces participan paquetes de fuente abierta como Syslogd o Syslog-ng. Incluso las configuraciones de hardware modestas, junto con el software de código abierto pueden manejar una cantidad considerable de datos de registro. Sin embargo, tenga presente que el poder de consolidación en crudo es solo una parte de la ecuación. Los servidores centralizados de registro se prestan muy bien para los sistemas complejos jerárquicos de registro en el que cada componente del sistema debe hacer una cosa muy bien.
 
Por el contrario, si necesita un sistema que realmente pueda analizar los datos con el fin de extraer información significativa, entonces está más bien en el mercado de un SIEM.
 
Los SIEM llevan la consolidación de eventos al siguiente nivel al ofrecer no solo la recopilación de los mismos, sino también de la agregación, correlación, alertas e informes de servicios. La agregación de eventos permite a los usuarios determinar rápidamente el número de eventos que ocurrieron sin tener que contar minuciosamente todos y cada caso en detalle. La correlación es esencialmente un análisis multidimensional que compara dos o más categorías de eventos entre sí, con el fin de proporcionar información de alto nivel.
 
Un ejemplo típico de correlación SIEM vincularía automáticamente una serie de intentos de acceso por fuerza bruta con un repentino aumento en el tráfico de red desde el host en cuestión. Esto proporciona credibilidad, a menudo en forma de un "peso" numérico, para el supuesto de que uno de los intentos de acceso haya tenido éxito. La correlación proporciona un enorme valor para las personas que miran los acontecimientos de manera aislada, y es particularmente útil para identificar actividades siniestras que ocurren en sistemas múltiples. Por último, permite alertar a los administradores para configurar los disparadores que notifican al personal de la actividad anómala o amenaza en potencia. Los reportes unen todo mediante el resumen de acontecimientos, tendencias e incidentes en varios formatos.
 
Mientras que los sistemas para SIEM de código abierto, tales como "OSSIM" están comenzando a hacer su debut en entornos empresariales, su camino valiente hacia la adopción empresarial a menudo se enfrenta con una dura resistencia en un espacio de mercado dominado por ofertas comerciales maduras de compañías como Q1 Labs, RSA y ArcSight. El panorama global de la industria SIEM está bien cubierto por firmas de analistas como Gartner y Forrester, y hay un montón de revisiones de producto gratuitas para hojear.
 
Al examinar la oferta disponible, debería ser evidente que la mayoría de las soluciones SIEM tiene una base común de un conjunto de funciones y sigue un patrón relativamente estandarizado de recojo y consolidación de registros, de transformación de los registros en un formato interno (y casi siempre propietario) y, a continuación, de provisión de informes de alerta y reportes. Pero a pesar de que la mayoría de las ofertas SIEM comparten un conjunto común de funciones, de hecho hay diferenciación, así como fortalezas y debilidades entre los competidores.
 
Como la forma debe seguir a la función, tener un conocimiento profundo de sus necesidades como organización asegurará que usted elija el sistema de gestión de registro correcto.
 
Antes de comprar un sistema de gestión de registros, es imprescindible una planificación básica de su parte. Es imperativo hacer primero una encuesta del tipo de registros que su infraestructura genera, y luego determinar qué tipo de información usted planea filtrar de estos sistemas de generación de eventos. Esto suena engañosamente simple, pero muchas veces resulta ser bastante difícil dado el hecho de que incluso las pequeñas organizaciones pueden generar más de una docena de distintos formatos de registro de tales Syslog, Netflow, registros de eventos de Windows y SNMP.
 
A la diversión se suman por lo general un puñado de formatos propietarios, frecuentemente del lado de telecomunicaciones de la organización. Enlazar toda esta maraña de sistemas con una solución de gestión de eventos requiere que uno piense en el producto final y recuerde que estos sistemas típicamente normalizan varios formatos de datos en un esquema común. En lugar de examinar cada tipo de datos de registro de forma aislada, el objetivo final es analizar en su lugar una bien orquestada vista de la información global, a través de muchas diferentes fuentes. Por lo tanto, no solo debe pensar en cómo una pieza singular de información de registro es útil por sí misma, sino también cómo se puede mejorar la utilidad de la información a través de la correlación.
 
No hay necesidad de desbordar el presupuesto mediante la contratación de costosos arquitectos de datos o wizards de administración de base de datos. Basta con pensar en cómo cada componente se ajusta a la imagen general y estará en el camino correcto para una implementación exitosa.
 
Con respecto a la planeación del sistema de gestión de registro, hay que tener en consideración el volumen global de los registros, así como la dispersión geográfica de los sistemas. Como se mencionó anteriormente, los sistemas de administración de registros se suelen clasificar en dos familias diferentes: el colector de registros básico y los de tipo SIEM.
 
Sin embargo, estas dos clases no son mutuamente excluyentes, y pueden de hecho trabajar en conjunto para construir sistemas altamente escalables capaces de manejar cantidades masivas de datos a partir de sistemas ampliamente dispersos. Tome una empresa hipotética con sede en Chicago y sucursales en Nueva York y California. Suponiendo que cada oficina genera una buena cantidad de registros del sistema, se podría implementar el SIEM comercial, que puede ser caro, en la sede central; además de sistemas gratuitos de fuente abierta en cada una de las oficinas satélite.
 
Dentro de las oficinas de California y Nueva York, el tráfico local de conversaciones podría ser agregado al servidor local, que luego de filtrar el ruido enviaría solo los eventos importantes hasta el SIEM en Chicago. En lugar de recibir los registros de cada uno y todos los servidores en las oficinas remotas, el SIEM de la sede de Chicago solo vería los eventos procedentes de dos servidores remotos de agregación. Esto reduce no solo el tráfico ajeno a la red, sino que también puede reducir el número de licencias de forma espectacular.
 
Las soluciones SIEM que soportan nativamente formatos estándar tales como Syslog y Netflow están en mejores condiciones para fomentar entornos heterogéneos de origen mixto, compuestos por componentes comerciales y de fuente abierta. Esté atento a los signos de sistemas cerrados de los proveedores, tales como tecnologías que requieren agentes propietarios para ser instalados en todos los sistemas, o sistemas que generalmente no compatibilizan bien con los estándares abiertos.
 
Lectura de los registros
Habiendo examinado los beneficios generales de los sistemas de gestión de registros, así como la metodología de planificación que va en el despliegue de un sistema de registro de una gestión exitosa, hay que tener en cuenta lo que reside en el corazón mismo del sistema. Por supuesto, me refiero a los propios registros, y entender sus diferentes formatos y matices es un factor integral en decidir qué tecnologías específicas se va a implementar. Un análisis en profundidad de los formatos de registro específicos, está más allá del alcance de este artículo pero basta decir que ciertos formatos de registro están orientados para el manejo humano, mientras que otros son más aptos para el análisis de la máquina.
 
Formatos como SNMP y Netflow son ejemplos de datos altamente estructurados que son fácilmente procesados por el software. Por otra parte, los registros del sistema, tales como los generados por los servidores UNIX o Windows originariamente, fueron creados para la evaluación humana en lugar de para revisión de la máquina. Como tales, en realidad se parecen más a un mensaje de correo electrónico en lugar de un registro de eventos. Al igual que las cabeceras de correo electrónico, Syslogs y el registro de eventos de Windows tienen campos de base que transmiten solo los metadatos, tales como la categoría, la gravedad y el momento del hecho.
 
La información relevante relacionada con el evento en sí está realmente integrada en el campo del "mensaje" registro, que es análogo al cuerpo de un mensaje de correo electrónico. Así como no hay ningún formato estándar para escribir un mensaje de e-mail, la colocación de información de eventos vitales suele ser esporádica y está mezclada dentro de otros datos clave que debería ser lógicamente separada en sus propios campos discretos.
 
Cerrando el círculo, aquí es donde los sistemas de tipo SIEM demuestran su valía a través del proceso de normalización de datos. Es decir, el análisis inteligente y la transformación de los datos sueltos en información estructurada. Obviamente, lo bien que una solución propuesta lleva a cabo esta tarea debe ser minuciosamente analizada durante la fase de análisis del producto.
 
Una vez que los obstáculos tecnológicos de un sistema de administración de registros se han abordado, la etapa final de implementación consiste en elaborar una adecuada política de administración de registros. Las políticas esencialmente definen qué registrar y por cuanto tiempo se almacenan los registros. Las políticas de registro son de uso frecuente en épocas de acciones legales, como demandas o solicitudes públicas de registros. Documentar lo que se guarda sirve como registro de decisión para ver lo que se almacena versus lo que se descarta.
 
Por lo tanto, tener un lenguaje que define claramente lo que se registra y por cuánto tiempo se conserva, puede hacer la diferencia entre una eficiente solicitud de registros y una prolongada, ahorrando tiempo. Tenga en cuenta que si los registros se solicitan a su organización, la entidad solicitante tendrá muy probablemente una herramienta de tecnología completamente diferente. Como tal, es imperativo que las copias de sus registros originales se conserven en su estado nativo, sin alterar. Si esto no es posible, entonces por lo menos, los registros deben ser fácilmente exportables a un formato estandarizado, sin pérdida de información relevante.
 
Desde el punto de vista procesal, las políticas de administración de registros deben servir como modelo para la forma en que se implementa la gestión de registro en los sistemas de la empresa. Las áreas de enfoque deben incluir el mantenimiento exacto del tiempo, la rotación de registros y las rutinas de archivo, así como procedimientos de evaluación para asegurar que las políticas se mantengan en todo momento.
CSO, (US)
 
David Torre es un profesional de seguridad con experiencia y CTO de Atomic Fission.
 
Referencia: Kent, Karen y Souppaya, Murugiah. "Publicación especial 800-92". NIST. 09 2006




Llegamos a ustedes gracias a: