A medida que los atacantes redoblan el uso de técnicas sigilosas y difíciles de detectar para “vivir de la tierra” (LOTL), los equipos de ciberseguridad deberían mejorar la forma en que registran eventos y detectan amenazas. Ese es el llamado que hicieron las agencias gubernamentales de varios países en una guía conjunta publicada esta semana y titulada «Mejores prácticas para el registro de eventos y la detección de amenazas»
«El registro de eventos respalda la ejecución continua de las operaciones y mejora la seguridad y la resiliencia de los sistemas críticos al permitir la visibilidad de la red», se lee en la guía, desarrollada por el Centro Australiano de Seguridad Cibernética (ACSC).
La guía, cuyo público objetivo incluye operadores y líderes senior de TI y tecnología operativa (OT), administradores de red y proveedores de infraestructura crítica, agrupa sus mejores prácticas en cuatro categorías:
- Política de registro de eventos aprobada por la empresa, que incluye la calidad del registro de eventos y la coherencia del contenido, los formatos y las marcas de tiempo.
- Recopilación y correlación de registros centralizada, que se centra en las prioridades de registro para redes empresariales, sistemas OT, dispositivos móviles y entornos de nube.
- Almacenamiento seguro e integridad del registro de eventos, que incluye la protección de los registros contra el acceso, modificación y eliminación no autorizados.
- Estrategia de detección de amenazas relevantes, que se ocupa de técnicas LOTL, como el uso por parte de los atacantes de herramientas y capacidades legítimas en el entorno violado.
- La guía completa de 17 páginas “Mejores prácticas para el registro de eventos y la detección de amenazas”
- “Mejores prácticas de gestión y registro de registros de seguridad” (TechTarget)
- “Hoja de referencia de registro” (OWASP)
- “Registro y monitoreo de seguridad de la red” (Centro Canadiense de Seguridad Cibernética)
- “Introducción al registro por motivos de seguridad” (NCSC del Reino Unido)
