Microsoft publica un documento de cara a facilitar la implantación de
soluciones de monitorización y detección de intrusos basándose en los
logs de eventos de seguridad de su plataforma Windows.
Cuando se habla de detección de intrusos existe cierta deformación
profesional a centrarse en los NIDS, basados en el análisis de
tráfico, pese a que los IDS a nivel de hosts (HIDS) son más veteranos.
El éxito de los NIDS puede deberse, entre otros factores, a su
facilidad de configuración e instalación, o al hecho de que pueden
abarcar a varios hosts desde un sólo punto de la red de forma
transparente para los sistemas.
Sin embargo los NIDS tienen una serie de debilidades intrínsecas,
como por ejemplo el hecho de que no pueden analizar el tráfico
cifrado, de manera independiente al volumen de notificaciones y
falsos positivos que suele ser una queja recurrente pero abordable
con un “tunning” adecuado.
En este punto los HIDS se presentan como una tecnología
complementaria muy recomendable que junto a los NIDS permiten
implantar soluciones híbridas, y de esta forma proporcionar un mayor
control al cubrir varias capas con diferentes recursos y enfoques.
Particularmente, en mi experiencia en Hispasec, he dedicado más
tiempo al campo de las soluciones HIDS por su íntima relación con
un área que me toca de lleno como es la detección proactiva del
malware.
Uno de los principales temores iniciales de las grandes empresas
cuando se abordan los HIDS es el costo, en todos los sentidos, de
desplegar agentes en un parque importante de máquinas típicamente
basadas en Windows.
La realidad es que es posible diseñar sistemas IDS básicos, pero no
por ello menos efectivos, sin recurrir a agentes y soluciones de
terceros, basándose en la centralización y correlación de los
propios eventos de Windows.
El hecho de que Microsoft desarrolle sistemas operativos fáciles de
usar parece que se les vuelve en contra en ocasiones, y es que el
grado de abstracción con el que es posible administrar sus sistemas
tiene el efecto colateral de que no exige profundizar en sus
interioridades y posibilidades. Por lo que en muchas ocasiones,
en el mejor de los casos, no se explota el potencial real que pueden
llegar a ofrecer.
La solución no es que Microsoft vuelva a la línea de comandos y a
que tengamos que editar archivos de configuración para lanzar los
servicios, sino que, por la parte que nos toca a los técnicos, y
a los departamentos de recursos humanos y formación de las empresas,
se dediquen mayores esfuerzos de cara a la especialización.
Volviendo al tema que nos ocupaba, Microsoft ha publicado un
interesante documento que, aunque de forma básica, aborda la
planificación de sistemas de monitorización de seguridad y detección
de ataques en sistemas Windows. Desde la recopilación y filtrado
de logs a través de Event Comb MT y MOM así como referencias a
soluciones de terceros más especializadas, pasando por una
descripción de los eventos más críticos a la hora de monitorizar la
seguridad de Windows y aspectos generales de la planificación.
bernardo@hispasec.com
Deja un comentario