El Centro Australiano de Ciberseguridad de la Dirección de Señales de Australia (ACSC del ASD), junto con socios internacionales, ha publicado: Mejores Prácticas para el Registro de Eventos y la Detección de Amenazas.
Esta guía establece un estándar fundamental para las prácticas de registro destinadas a mitigar amenazas cibernéticas maliciosas.
Desarrollada por el Centro Australiano de Ciberseguridad de la Dirección de Señales de Australia (ACSC del ASD) en colaboración con el NCSC y otros socios globales, esta guía incluye contribuciones de:
- La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA), el Buró Federal de Investigaciones (FBI) y la Agencia de Seguridad Nacional (NSA).
- El Centro Nacional de Ciberseguridad del Reino Unido (NCSC-UK).
- El Centro Canadiense para la Ciberseguridad (CCCS).
- El Centro Nacional de Preparación para Incidentes y Estrategia para la Ciberseguridad (NISC) y JPCERT/CC de Japón.
- Los Servicios Nacionales de Inteligencia (NIS) y su Centro Nacional de Seguridad Cibernética (NCSC-Korea) de la República de Corea.
- La Agencia de Seguridad Cibernética de Singapur (CSA).
- El Servicio General de Inteligencia y Seguridad (AIVD) y el Servicio de Inteligencia y Seguridad Militar (MIVD) de los Países Bajos.
El aumento en el uso de técnicas de «Living Off the Land» (LOTL) por actores maliciosos para evadir la detección subraya la necesidad de soluciones efectivas de registro de eventos.
Esta guía detalla las mejores prácticas para el registro de eventos y la detección de amenazas en servicios en la nube, redes empresariales, movilidad empresarial y redes de tecnología operativa (OT). La inclusión de técnicas LOTL como estudio de caso destaca su complejidad y los desafíos que presentan en la detección.
El registro de eventos juega un papel crítico para garantizar la operación continua de sistemas esenciales mientras mejora la seguridad y la resiliencia del sistema mediante una mejor visibilidad de la red.
La guía ofrece recomendaciones para fortalecer la resiliencia de una organización frente a amenazas cibernéticas en evolución, teniendo en cuenta posibles limitaciones de recursos. Está diseñada para aquellos con un conocimiento básico del registro de eventos e incluye contenido moderadamente técnico.
La guía subraya que un registro de eventos efectivo mejora la visibilidad de la red, permitiendo a las organizaciones identificar y responder a amenazas cibernéticas, garantizar el cumplimiento de las políticas de seguridad y minimizar el ruido innecesario de alertas.
Esta guía está particularmente dirigida a los responsables de decisiones de TI y tecnología operativa (OT) en organizaciones medianas a grandes, administradores de red y proveedores de infraestructura crítica.
Recomendaciones Clave
La guía detalla cuatro componentes esenciales para implementar prácticas robustas de registro de eventos:
- Política de Registro de Eventos Aprobada por la Empresa: Las organizaciones deben establecer y aplicar una política de registro uniforme en todos los entornos. Esta política debe especificar qué eventos deben registrarse, los procedimientos para monitorear los registros y la duración durante la cual los registros deben conservarse.
- Acceso y Correlación Centralizada de Registros de Eventos: La centralización de la recopilación y correlación de registros facilita una detección de amenazas y respuesta a incidentes más efectiva al agregar registros en un repositorio seguro y accesible.
- Almacenamiento Seguro e Integridad de los Registros de Eventos: Se recomienda que las organizaciones aseguren los registros de eventos tanto durante la transmisión como en el almacenamiento. Esto se puede lograr mediante cifrado y controles de acceso para proteger contra el acceso no autorizado, la alteración o la eliminación.
- Estrategia de Detección de Amenazas Relevantes: La guía aconseja desarrollar una estrategia de detección adaptada a amenazas específicas, incluidas las amenazas persistentes avanzadas (APT) que utilizan técnicas como «living off the land» (LOTL). Esto implica utilizar herramientas como sistemas de Gestión de Información y Eventos de Seguridad (SIEM) para analizar registros y detectar anomalías.