Cómo hacer la revisión de Logs al ocurrir un Incidente de Seguridad.

Fuente:  SANS Institute.  Autores: Anton Chuvakin & Lenny Zeltser.

ENFOQUE GENERAL.

1. Identificar cuáles son las fuentes de log disponibles y las herramientas automatizadas que se pueden utilizar para realizar la revisión.
2. Realizar una copia de los logs a otra ubicación en la que puedan revisarse sin alterar los registros originales.
3. Eliminar el ruido relacionado con líneas repetitivas, después de confirmar que el evento registrado era benigno.
4. Considerar la zona horaria al analizar la fecha y hora de los eventos registrados.
5. Mantener el enfoque en todos los eventos asociados a:
   1. 1 Cambios
   2. 1 Fallas
   3. 1 Errores
   4. 1 Accesos
   5. 1 Eventos Administrativos
   6. 1 Eventos Inusuales.
6. Revisar los logs un período de tiempo anterior y posterior al incidente de seguridad.
7. Correlacionar los distintos eventos registrados en los logs para tener una imagen completa de lo que ocurrió.
8. Desarrollar Teorías acerca de lo que ocurrió y luego verifique si los logs confirman o descartan la teoría.

DONDE BUSCAR.

• Repositorios de logs de los Sistemas Operativos existentes en los Servidores y Estaciones de Trabajo.
• Repositorios de los Servidores de Aplicación como WEB y/o Base de Datos.
• Logs de las herramientas de Seguridad como Antivirus, Firewall, IPS.
• Registros de Eventos en las Aplicaciones de los Usuarios.
• No Olvide revisar cualquier otro evento de seguridad aunque provenga de fuentes que no registran Logs.

 

 

 

 

 

Comparativa de Desempeño UTM – Miercom labs – Agosto 2018.

Extractos del Informe.  Contenido completo en:  https://www.watchguard.com/wgrd-resource-center/miercom-high-performance-verification-report-m270

Un UTM es un producto que consolida funciones de enrutamiento, firewall, Prevención de Intrusiones (IPS), Antivirus, VPN, entre otras medidas de protección requeridas por las pequeñas y medianas empresas PYMES.

Aunque combinan el poder de un Next Generation Firewall y un Secure Web Gateway, tradicionalmente, su desventaja ha sido el bajo performance ante procesamiento intensivo de tráfico.

A solicitud de WatchGuard Technologies, Miercom Labs condujo un estudio independiente en el que comparó equipos que compiten en precio con el Firebox M270. Es decir, equipos con un precio cercano al M270, pero que se estuvieran por debajo del precio de su siguiente producto: el Firebox M370.  Estos equipos fueron:

• Cisco Meraki MX84
• Fortinet FortiGate 100E
• SonicWall NSA 2650
• Sophos XG 210

La comparación de los productos se realizó en los siguiente escenarios:

• Sólo como Firewall
• Firewall con capas adicionales de seguridad en tráfico HTTP y HTTPS.
• UTM con IPS, Antivirus y Control de Aplicaciones activo en tráfico HTTP y HTTPS.

Gráfico 1:  Sólo Firewall procesando tráfico UDP 1518  y procesando IMIX UDP

 

Gráfico 2:  Sólo Tráfico HTTP  /  HTTP combinado con IPS / HTTP con AV / HTTP con IPS & AV / HTTP FULL UTM

Gráfico 3:  HTTPS combinado con IPS / HTTPS con AV / HTTPS con IPS & AV / HTTPS FULL UTM

Este reporte documenta el efecto de las capas de seguridad en el desempeño que tienen cada uno de los UTM evaluados procesando el tráfico. Conocer este impacto, puede ayudar a los Departamentos de IT a decidir cuál producto de seguridad se ajusta mejor a las necesidades de la Organización.