Esperar lo inesperado: la importancia del registro de auditorías

La planificación y las políticas son esenciales para contar con un buen nivel de seguridad; sin embargo, también es importante estar preparado para las situaciones inesperadas que inevitablemente surgen de la mezcla de seres humanos y computadoras. Llevar un registro de las actividades del usuario te ayudará a hacer frente a estas circunstancias imprevistas.

El registro ayuda a promover las buenas prácticas y la responsabilidad entre los usuarios

En la serie de posts anteriores sobre la administración de cuentas, explicamos que primero es necesario verificar la identidad de las personas mediante la autenticación, y luego se debe usar la autorización y el control del acceso para hacer cumplir las políticas de acceso. En este post hablaremos acerca del registro de auditorías y cómo puede ayudarnos a rastrear e identificar brechas de seguridad, problemas de rendimiento y fallas en las aplicaciones.

¿Qué es el registro de auditorías?

Si ya hace tiempo que eres administrador, sabrás que los usuarios pueden ser extraordinariamente creativos a la hora de hacer cosas que nunca hubieras imaginado. Si no estás al tanto de lo que ocurre en tu red, te esperan muchas noches en vela solucionando problemas. Pero no es algo inevitable: el registro de auditorías te dará ese punto de vista sobre lo que está pasando, de modo que podrás volver sobre los pasos del usuario si ocurre algo extraño.

Se registran tanto acciones completas como el intento de realizar una acción, aunque esta no se haya completado. Dichos registros deben incluir el momento, el lugar y el usuario que realiza la acción (el usuario es proporcionado por la autenticación).

Registrar las acciones de los usuarios ayuda a mejorar la seguridad de diversas maneras. Por ejemplo, a reconstruir eventos, detectar intrusiones y analizar problemas, como un bajo rendimiento o un comportamiento inesperado del sistema. También ayuda a promover las buenas prácticas y un sentido de responsabilidad entre los usuarios, al saber que alguien puede revisar sus acciones.

¿Cómo trabajar con estos registros?

Estos registros se pueden hacer en el nivel del sistema operativo o en el nivel de las aplicaciones o los servicios. Si llevas registros en distintos niveles, te proporcionará una granularidad que puede ser particularmente útil si tienes problemas en áreas determinadas, como el uso indebido del correo electrónico o del navegador de Internet.

Naturalmente, para que todo este trabajo de creación de registros realmente sirva, es necesario que alguien los revise en forma periódica. De lo contrario, solo se acumularán indefinidamente sin que nadie los analice y se terminarán convirtiendo en otra manera más de llenar espacio en el disco. Por lo tanto, te conviene configurar alarmas que se activen durante acciones determinadas o cuando se cumplan ciertas condiciones, para recordarte que debes mirar los registros. De todas formas, no es necesario hacerlo en forma manual: se pueden utilizar scripts de análisis o aplicaciones de software especialmente diseñadas para simplificar esta tarea.

El Instituto Nacional de Estándares y Tecnología (NIST) publicó un excelente paper que explica con gran detalle cómo se utiliza el registro de auditorías y por qué es conveniente implementarlo. Incluye un resumen muy preciso de los escenarios en los que podría ser de gran utilidad:

El análisis de seguimiento de auditorías a menudo puede distinguir entre los errores provocados por el operador (es decir, cuando el sistema realizó la tarea tal y como se le indicó) y los errores generados por el sistema (por ejemplo, un problema derivado de un fragmento de código de reemplazo mal probado). Si, por ejemplo, un sistema falla o se pone en duda la integridad de un archivo (ya sea de un programa o de datos), se podrán reconstruir los pasos realizados por el sistema, los usuarios y la aplicación mediante un análisis del historial de los registros de auditorías.

Conocer las condiciones del entorno en el momento de una falla del sistema, por ejemplo, sirve para evitar que se repita el problema en el futuro. Además, si se produce un problema técnico (por ejemplo, si hay un archivo de datos dañado) los registros de la auditoría pueden ayudar en el proceso de recuperación (por ejemplo, utilizando el registro de los cambios realizados para reconstruir el archivo).

Hay una gran variedad de artículos y documentos disponibles sobre cómo analizar registros con scripts y cómo utilizar aplicaciones especiales. Este listado de herramientas, a pesar de referirse específicamente al análisis de los registros de seguridad de Windows, también constituye una excelente introducción al análisis de archivos de registro.

Cuando se implementa cuidadosamente, el registro de auditorías es una forma muy efectiva de asegurar que tus políticas de acceso son documentos “vivos” de actualización constante, que reflejan la forma en que los usuarios interactúan en tu entorno. Mediante la combinación de las cuatro “A” de la administración de cuentas, podrás ver y entender lo que está pasando en tu entorno, y mantenerlo más seguro.

Autor , ESET

Síguenos