Basándonos en la Triada de Seguridad nosotros debemos monitorear:
Disponibilidad
- En este punto, lo que se busca monitorear, es todo lo que pudiese afectar la disponibilidad de un servicio o elemento que lo compone, donde vigilaremos si se apaga, se reinicia, no responde, esta inestable, tiempo de respuesta y el no tener la capacidad para soportar más solicitudes (CPU, Memoria, Disco o por restricciones en la configuración) siendo esto de los más popular.
Integridad
- Aquí lo que vamos a buscar es contar con herramientas que nos permitan monitorear si agregan o hacen cambios en los archivos críticos del sistema o de configuración de un aplicativo (ya sea derivado de una escalación de privilegios o acceso no autorizado, cambiaron las contraseñas, agregaron usuarios, grupos, agregaron o cambiaron algún archivo).
Confidencialidad
- Aquí nosotros necesitamos contar con herramientas que nos permitan monitorear los ataques a la autenticidad de un usuario y sus permisos (ataques de fuerza bruta, múltiples autenticaciones fallidas, cambios de permisos, creación de cuentas, etc.).
¿Qué debo de considerar?
Es una de las preguntas más comunes y que a la vista pudiera ser fácil de contestar y aquí están nuestras 9 recomendaciones:
- Identificar los dispositivos críticos
- Definir las políticas de monitoreo
- ¿Qué se va a monitorear?
- ¿Con que frecuencia?
- ¿Qué tipos de alertas se generarán?
- ¿Cuándo se activará?
- ¿A quién se le notificará?
- ¿Qué acciones se pueden automatizar?
- Establezca un periodo para reconocimiento y estabilización de alertas para ajustar las excepciones
- Analice el comportamiento de los usuarios y de la red (UEBA)
- Busque no inundarse de alertas, monitoree solo lo más importante
- Cree un plan para cada alerta que reciba
- Cuente con un equipo que analice y vigile estas alertas
- Retención de bitácoras de históricos mínimo 3 meses (depende de su política)
- Asociar los monitoreos a los riesgos identificados
0 comentarios