• .
  • 1

Blog sobre la Gestión de TI

En este blog encontrarás información relevante acerca de temas relacionados con las soluciones de ManageEngine y TI. Es un medio importante para estar actualizado y encontrar respuestas a preguntas frecuentes.
Tamaño de fuente: +

Resolviendo un caso de Cybercrimen como Sherlock Holmes.

Resolviendo un caso de Cybercrimen como Sherlock Holmes.

Resolviendo un caso de Cybercrimen como Sherlock Holmes.

Los administradores de seguridad en TI ponen mucho énfasis en la realización de investigaciones forenses en los registros de los sistemas. De acuerdo con la Encuesta SANS 2013 Digital Forensics, el 57% de los encuestados afirmó que lleven a cabo las investigaciones forenses para "encontrar e investigar los incidentes, ya que están sucediendo" y el 75% de los encuestados dijeron que llevan a cabo investigaciones forenses para "encontrar e investigar los incidentes después de los hechos". La detección de actividades de los hackers nunca es fácil. Las empresas pueden tener la mejor de las soluciones de seguridad de red para detectar anomalías y amenazas de la red, pero los recursos críticos todavía siguen comprometidos.

Todos los administradores de seguridad en TI deben ponerse en la piel de Sherlock Holmes para resolver los casos de delitos cibernéticos. Tienen que pensar y actuar como los criminales cibernéticos mediante la búsqueda de las distintas formas en que el criminal podría haber accedido a los recursos de la red.

El ciberdelincuente se puede seguir fácilmente mediante la reconstrucción de la escena del crimen cibernético en su totalidad. Una vez que se recrea la escena del crimen, el administrador de seguridad en TI puede obtener rastro completo de la actividad del criminal, que pueda responder las siguientes preguntas "qué, quién, cuándo, dónde y cómo" de todos los incidentes de seguridad ocurridos en la red. Así que la gran pregunta ahora es, ¿cómo pueden los administradores de seguridad TI reconstruir toda la escena del crimen cibernético?

La reconstrucción de la escena del crimen cibernético

Los única manera en que los administradores de seguridad en TI pueden reconstruir la escena del crimen cibernético es mediante la realización de investigaciones forenses en los registros generados por la infraestructura de TI.

Los administradores necesitan llevar a cabo investigaciones forenses mediante la búsqueda y el análisis de registros. Todos los atacantes dejan huellas, y los registros son los únicos que pueden ayudar a los administradores a identificar la causa del incumplimiento.

Los datos de registros contienen las huellas digitales dejadas por todos los que tuvieron acceso a los sistemas de redes, dispositivos y aplicaciones. Mediante el análisis de los datos de manera efectiva, los administradores de seguridad pueden determinar la entrada exacta del registro que causó la violación de seguridad, encontrar el tiempo exacto en que había ocurrido el evento de seguridad correspondiente, quien inició la actividad y el lugar desde donde se originó la actividad. Estas huellas digitales ayudan a recrear completamente la escena del crimen.

Los informes del análisis forense también pueden ser utilizados como prueba en un tribunal de justicia. los administradores de seguridad deben aprovechar la inteligencia en la seguridad de la red proporcionada por los registros generados por la infraestructura de red.

Aquí hay dos prerrequisitos críticos para las investigaciones forenses eficaces:

  1. Recolectar los datos de registro en un lugar central: Todos los datos de registros de los sistemas de red - por ejemplo, los sistemas Windows, sistemas Unix / Linux, aplicaciones, bases de datos, routers y conmutadores - deben ser agregados en un lugar central para la presentación de informes eficaces, la seguridad, y el análisis forense.
  2. Los datos de registro deben ser archivados por lo menos un año: Los datos recopilados de todos los sistemas de red deben ser archivados durante al menos un año, y los registros almacenados deben ser de fácil acceso para las investigaciones forenses.

Para cumplir con esos prerrequisitos, los administradores de seguridad en TI necesitan automatizar la gestión de los registros. Después de todo, la recolección manual y archivado de datos en un lugar central para las investigaciones forenses es virtualmente imposible dada la gran cantidad de registros de eventos que normalmente se generan a diario. Sería simplemente tomar demasiado tiempo y demasiados miembros del personal de TI.

Una vez automatizado, el proceso de las investigaciones forenses puede simplificarse y acelerarse. los administradores de seguridad pueden escribir determinadas palabras clave o algo de lógica relacionados con el delito cibernético y obtener la respuesta en cuestión de segundos. Pueden sumergirse fácilmente en los datos de registro y buscar libremente a través de toda la infraestructura de la red en cuestión de segundos. Aquellos administradores que eliminan el doloroso proceso de buscar manualmente a través de los registros, son capaces de recrear todas las facetas de la escena del crimen cibernético y resolver el caso.

La forma más eficaz de realizar una investigación forense es equipando a los administradores de seguridad con una potente herramienta de análisis forense de registros para investigar y al instante generar informes forenses, que pueden ser utilizados como prueba en un tribunal de justicia. La herramienta de análisis de registros debe permitir recoger datos de registros en un lugar central y archivarlos, para que sea posible reconstruir toda la escena del crimen con facilidad.

Mejores Prácticas ITAM 2: Ciclo de Vida de los Ac...
10 Pasos para lograr una auditoria exitosa en FISM...

Artículos relacionados

Suscríbete al Blog