Se denomina como Registro de actividad o log como «es un registro oficial de eventos durante un rango de tiempo en particular que se emplea para registrar los datos o información sobre quién, qué, cuándo, dónde y porqué un evento ocurre (CCN, 2015, pág. 741).»
Según el Glosario de Términos de Ciberseguridad establecida por la Resolución 1523/2019.
cada acción que se hace en un sistema genera un registro, y eso sirve para entender que es lo que paso.
el problema es como analizar dichos registros de forma eficiente.
creo que esto es una de las cosas claves de la ciberseguridad / seguridad informática
Muy interesante vulnerabilidades como Log4Shell que se aprovechan de los logs para explotar vulnerabilidades.
Para analizar «logs» de servicios en servidores, existen varias herramientas y enfoques disponibles. Aquí te menciono algunas de las mejores prácticas y las herramientas comunes que se utilizan para el análisis de logs, tanto de forma continua como en respuesta a incidentes:
Herramientas para el análisis de logs:
ELK Stack (Elasticsearch, Logstash, Kibana): Esta pila de herramientas es ampliamente utilizada para la ingestión, almacenamiento y visualización de logs. Elasticsearch se utiliza para la búsqueda y el almacenamiento de logs, Logstash para la ingestión y transformación de datos, y Kibana para la visualización y análisis.
Splunk: Splunk es una plataforma popular para el análisis de logs y datos en tiempo real. Permite la búsqueda, correlación y visualización de logs de manera eficiente.
Graylog: Graylog es otra solución de código abierto que facilita la recopilación, el almacenamiento y el análisis de logs. Proporciona una interfaz amigable y capacidades de búsqueda poderosas.
Prometheus y Grafana: Esta combinación se utiliza comúnmente para el monitoreo y análisis de logs en entornos de contenedores y microservicios. Prometheus recopila métricas y registros, mientras que Grafana proporciona una interfaz de visualización.
Mejores prácticas para el análisis de logs:
Análisis Continuo:
Centralización de logs: Utiliza una solución de centralización de logs para recopilar, almacenar y gestionar todos los registros de tus servidores y servicios. Esto simplifica la búsqueda y el análisis.
Alertas y notificaciones: Configura alertas basadas en patrones o eventos específicos en los logs para que puedas detectar problemas de manera proactiva. Esto te permite responder rápidamente a problemas potenciales.
Normalización y enriquecimiento: Normaliza los registros para que todos tengan un formato coherente y enriquece los registros con información adicional, como direcciones IP, nombres de host, etc.
Segmentación y análisis de tendencias: Agrupa y analiza registros por categorías (por ejemplo, por tipo de error) para identificar tendencias y patrones a largo plazo.
Análisis Estático:
Auditoría de seguridad: Utiliza análisis estático para realizar auditorías de seguridad periódicas en los logs en busca de actividades sospechosas o vulnerabilidades.
Revisión de políticas y cumplimiento: Verifica que los logs cumplan con las políticas de seguridad y cumplimiento de tu organización, como el cumplimiento de GDPR o HIPAA.
Comparación con líneas de base: Establece líneas de base normales para el comportamiento del sistema y compara los logs estáticos con estas líneas de base para detectar desviaciones.
En respuesta a incidentes:
Triaje de incidentes: Cuando se produce un incidente, utiliza herramientas de análisis de logs para identificar rápidamente la causa raíz y evaluar el alcance del problema.
Recopilación forense: Si es necesario, realiza una recopilación forense de logs para registrar detalles adicionales sobre un incidente en curso para su análisis posterior.
Registro de acciones y resultados: Documenta todas las acciones tomadas en respuesta a un incidente y sus resultados para futuros análisis y aprendizaje.
Análisis de causa raíz: Utiliza el análisis de logs para determinar la causa raíz de un incidente y tomar medidas correctivas para evitar recurrencias.
En resumen, el análisis de logs es esencial para mantener la seguridad, el rendimiento y la integridad de los sistemas informáticos. Utilizando las herramientas adecuadas y siguiendo las mejores prácticas, puedes optimizar la detección de problemas, la respuesta a incidentes y la mejora continua de tus operaciones.
Incidente de Equifax (2017)
Registro de actividad: En 2017, Equifax, una de las principales agencias de informes crediticios, sufrió un importante incidente de seguridad que afectó a millones de personas. El ataque se originó en una vulnerabilidad en el software Apache Struts, utilizado en sus servidores web.
Desarrollo del registro de actividad: La investigación reveló que el registro de actividad no estaba siendo monitoreado de manera adecuada. Hubo registros de intentos de explotar la vulnerabilidad en los logs, pero estos no fueron detectados a tiempo. Además, Equifax no aplicó rápidamente el parche de seguridad disponible para corregir la vulnerabilidad.
Fallas: La principal falla fue la falta de supervisión efectiva de los registros de actividad. Los intentos de explotar la vulnerabilidad quedaron registrados, pero no se tomaron medidas adecuadas. Además, la demora en la aplicación del parche permitió que los atacantes accedieran y comprometieran la base de datos.