documentación Los beneficios de la integración Monitoreo de la integración de archivos con SIEM

Transcripción

1 documentación Los beneficios de la integración Monitoreo de la integración de archivos con SIEM

2 Security Information and Event Management (SIEM) está diseñado para brindar monitoreo de TI continuo, inteligencia procesable, respuesta a incidentes y compatibilidad con el cumplimiento regulatorio. Identifica el comportamiento malicioso y sospechoso mediante la recopilación de registros de todos los dispositivos de seguridad y seguridad relevante además de sistemas y aplicaciones. No obstante, dado que los ataques son cada vez más difíciles de detectar, los registros solos no pueden brindar el nivel de inteligencia necesario para garantizar la seguridad de datos y aplicaciones. Además, las auditorías de cumplimiento avanzan hacia un formato basado en riesgos. documentación Un SIEM es tan inteligente como los datos que absorbe. Por lo tanto, SIEM representa solo una parte del panorama en materia de seguridad. Muchos de los ataques más dañinos se detectan solo mediante el conocimiento de la actividad de los archivos, que es difícil de registrar de manera significativa. El monitoreo inteligente de la actividad y la integridad de los archivos y ayudan a completar el panorama proporcionando información crítica que ayuda a detectar ataques sigilosos y malware de día cero. También brinda información sobre la actividad interna. Las amenazas a la seguridad están en aumento. Por lo tanto, necesita monitorear con regularidad sus datos corporativos (activos de propiedad intelectual, programas y códigos de software, datos financieros y de ganancias e información sobre cuentas de clientes) y mantener su integridad restringiendo el acceso a solo usuarios autorizados. Introduzca monitoreo de integridad de archivos. File Integrity Monitoring (FIM) es el proceso de monitorear el acceso y los cambios en los archivos del sistema. Esto permite a las organizaciones proteger mejor la información confidencial contra robos, pérdidas y ataques de malware supervisando cuidadosamente quién accede y modifica los archivos. En muchos sectores, es necesario incluir FIM como componte de seguridad de TI para cumplir con estándares de cumplimiento regulatorio, como PCI DSS, HIPAA y SOX. El ámbito de FIM no se limita al contenido de los archivos y las carpetas, sino también a la integridad de los directorios del sistema, las claves de registro y los valores del sistema operativo. Mediante el monitoreo de los cambios en los archivos en tiempo real, obtiene información adicional sobre muchas amenazas de seguridad, lo que ayuda a evitar infracciones. Beneficios de seguridad del monitoreo de la integridad de archivos Protege los datos y los archivos confidenciales contra el acceso y los cambios no autorizados. Brinda visibilidad acerca de qué archivo cambió, cuándo se cambió y quién lo cambió. Rastrea el acceso a archivos y directorios, movimientos y usos compartidos. Detecta el malware de día cero, que puede cambiar archivos y ejecutables de sistemas clave, o bien, crear/instalar un proceso o controlador malicioso. Identifica el mal uso interno y protege los datos confidenciales del uso incorrecto por parte de los empleados. Brinda información sobre las amenazas persistentes avanzadas (APT), que por lo general son difíciles de detectar. Cuando usted identifica un cambio de archivo injustificado, puede ser debido a un ataque APT. 2

3 No es siempre la intención maliciosa, el malware o el ciberataque lo que causa cambios en el contenido de los archivos. Las infraccionesa la integridad de los archivos también se producen dentro del ámbito del ciclo de vida de la administración de archivos, que incluye errores de transmisión, errores de software, errores de almacenamiento, errores de escritura y procedimientos de administración de cambios incorrectos. Mediante el monitoreo proactivo de los cambios y el acceso a los archivos, puede detectar estos errores y evitar que sus archivos vuelvan a verse afectados. Ámbito del monitoreo de la integridad de los archivos documentación El ámbito del monitoreo de la integridad de los archivos es amplio. Cuantos más atributos pueda monitorear, mejor seguridad de los datos tendrá. Por lo general, debería poder monitorear lo siguiente: Cuándo se accedió a un archivo o se creó/modificó/movió/eliminó Nombre de inicio de sesión del usuario que accedió al archivo/lo modificó Cambios en los atributos, como solo lectura, oculto, etc. Cambios en los permisos de acceso a la seguridad Cambios en los directorios y claves de registro Cambios en la propiedad del grupo de archivos Para garantizar la integridad de los archivos de seguridad, necesita que su monitoreo de archivos incluya archivos de contenido/datos clave, archivos de base de datos, archivos web, archivos de audio/video, binarios de sistema, archivos de configuración y registros del sistema. Requisito de estándares de cumplimiento Monitoreo de la integridad de archivos Garantizar la integridad de los archivos y detectar los ataques maliciosos contra los datos protegidos es un requisito de muchas guías de cumplimiento populares (se mencionan abajo) Estándar de cumplimiento Archivo de direcciones de sección Monitoreo de la integridad Payment Card Industry Data Security Standard (PCI DSS) Requisito y 11.5 Sarbanes-Oxley Act (SOX) Sección 404 NERC Standard CIP System Security (R15-R19) Departamento de Defense Information Assurance Implementation (DIACAP) DODI Ley Federal Information Security Management (FISMA) NIST SP Rev3 Ley Health Insurance Portability and Accountability de 1996 (HIPAA) Publicación de NIST Controles de seguridad crítica SANS Control 3 3

4 Retos del monitoreo de la integridad de archivos Por lo general, existen dos enfoques del monitoreo de la integridad de archivos documentación 1. Comprobación de la integridad de archivos basada en hash: Analiza los archivos críticos del sistema según un programación regular y alerta a los administradores sobre cambios detectados comparando el hash con la versión anterior. La alternativa a esto es que necesita programar esta tarea para que se ejecute según un intervalo de tiempo especificado. No obstante, de esta forma usted se pierde todos los momentos en que se está produciendo la comprobación. Además, este método es más adecuado para cambios en los archivos actuales, no para acceso y lecturas de archivos. 2. Comprobación de la integridad de archivos en tiempo real: El proceso real de auditoría de archivos que captura el acceso de archivos en tiempo real y los cambios en ellos dentro de los eventos de auditoría de archivos. Mediante el análisis de estos eventos en tiempo real, usted puede obtener información no solo de cambios en los archivos, sino también de todos los eventos de lectura, escritura y creación de archivos. Las desventajas de este enfoque es lidiar con un gran volumen de eventos para detectar con precisión la infracción que está buscando. En sistemas Windows, se puede realizar un FIM mediante la recopilación de eventos de auditoria de archivos de un archivo, una carpeta específicos o de un sistema completo y mediante el análisis de los registros de eventos para ver los atributos de los cambios en los archivos. Esto es más fácil de decir que de hacer. Uno de los retos de habilitar la auditoria de archivos Windows nativos y de usar el Visor de eventos de Windows para detectar los cambios en los archivos es que termina recibiendo una gran cantidad de eventos (la mayoría falsos positivos) y buscando entre todos ellos para encontrar el evento exacto que revela una infracción. Otro desafío es conocer el ID de evento exacto para detectar con precisión una infracción. Necesita dedicar más tiempo y esfuerzo buscando estos ID de eventos y encontrar un modo de eliminar todo el ruido y eventos ajenos generados por el proceso de auditoría de archivos. El mejor enfoque de monitoreo de la integridad de archivos: Integración con SIEM La información obtenida mediante el monitoreo de la integridad de archivos se usa mejor cuando se alimenta dentro de un flujo más amplio de eventos obtenido a partir de los datos de registros recopilados desde varias partes de su red (estaciones de trabajo, servidores, controladores de dominios, servidores de archivos, software antivirus, sistemas IDS/IPS, etc.). Estos datos se pueden correlacionar para obtener conocimiento de la situación entre eventos diversos. Los sistemas SIEM ya recopilan datos de registro de toda su infraestructura de TI para fines de correlación y análisis. Cuando combine eventos FIM con SIEM, puede lograr un sistema de seguridad más robusto que ofrezca una defensa en profundidad de inteligencia contra amenazas para detectar las amenazas avanzadas y sofisticadas. 4

5 documentación Algunas aplicaciones que combinan FIM y SIEM incluyen las siguientes: Monitoreo de la integridad de archivos basada en usuario: System, Active Directory (AD) y los eventos de auditoría de archivos se correlacionan para obtener información sobre qué usuario fue responsable del acceso y de la modificación de un archivo. También puede identificar otras actividades del usuario antes y después de que cambiara el archivo para obtener un monitoreo completo de la actividad del usuario. Prevención de la pérdida de datos: Correlacionar eventos de auditoría de archivos con otros datos de registro recopilados por SIEM brinda inteligencia contra amenazas avanzada, que es útil para detectar con precisión los intentos de infracción. Con la capacidad de reparación de SIEM, puede automatizar las acciones de respuesta (cerrar sistemas, desactivar dispositivos USB, desconectar sistemas de la red, desconectar usuarios, deshabilitar cuentas de usuario, etc.) para proteger los datos y evitar infracciones. Detección de amenazas de día cero: El malware es uno de los vectores de amenaza principal de la seguridad e integridad de los archivos. Por lo tanto, hacer que SIEM detecte el malware de día cero a través de AV y registros IDS/IPS y correlacionarlos con eventos de auditoría de archivos le permite detener el malware antes de que ocasione un daño a sus archivos seguros. Puede usar las acciones de respuesta a incidentes de SIEM para detener el proceso malicioso o poner en cuarentena los sistemas para una protección de puntos finales completa. Asistencia continua en materia de cumplimiento: Si bien FIM es un requisito clave para muchas regulaciones de cumplimiento, los sistemas SIEM ofrecen plantillas listas para usar que ayudan con las auditorías de cumplimiento. Incluir los resultados FIM en sus informes de cumplimiento muestra a los auditores su información de seguridad de red completa. Otro beneficio de combinar FIM con SIEM es que los sistemas SIEM ayudan a reducir el ruido de eventos innecesarios. Puede personalizar las alertas para recibirlas solo cuando se cumplan las condiciones de correlación predefinidas. Esto elimina la complejidad de tener que analizar manualmente la enorme cantidad de eventos de auditoría de archivos. 5

6 documentación Cómo puede ayudarlo SolarWinds SolarWinds Log & Event Manager (LEM) es un asequible dispositivo virtual SIEM con todas las funciones que puede implementar en cualquier departamento de seguridad de TI con pocos recursos y de cualquier tamaño. SolarWinds LEM brinda funcionalidad FIM integrada para detectar cambios en los archivos en tiempo real y correlacionar esa información con otros eventos de red y sistemas, a fin de lograr un conocimiento completo de las amenazas e infracciones. LEM incluye muchas plantillas FIM para brindar asistencia con respecto a PCI, HIPAA, SOX y otros requisitos de cumplimiento. Los beneficios inmediatos de LEM incluyen: Eficiencia de costos: El diseño y precio de SolarWinds LEM están pensados para departamentos pequeños de seguridad. FIM se incluye con LEM sin costo adicional. Esto reduce aún más sus costos de licencia y mantenimiento del monitoreo de seguridad inteligente y el cumplimiento regulatorio. Eficiencia operativa: Usted administra tanto FIM como SIEM a través de los mismos agentes y consola, lo que reduce los costos operativos y de recursos. Inteligencia superior: Todas las funciones SIEM, que incluyen paneles visuales, correlación, respuesta activa y ndepth, están disponibles para FIM. Respuesta activa: Con FIM integrado en LEM, los profesionales de seguridad no solo ven las amenazas, sino que también pueden detenerlas con eficacia. Al aprovechar la capacidad de respuesta activa de LEM, se pueden detener automáticamente los procesos y las actividades sospechosas. Con la ayuda de las acciones de respuesta listas para usar que corrigen las amenazas y detectan y solucionan los problemas, SolarWinds LEM puede convertirse en su solución de seguridad de la información rentable para proteger los datos seguros. Visite para obtener más información 2014 SolarWinds, Inc. Todos los derechos reservados. SolarWinds, el logotipo de SolarWinds, ipmonitor, LANsurveyor y Orion son algunas de las marcas comerciales o marcas comerciales registradas de la compañía en los Estados Unidos y/o en otros países. Todas las demás marcas comerciales son propiedad de sus respectivos dueños. WP