Cómo hacer la revisión de Logs al ocurrir un Incidente de Seguridad.

Fuente:  SANS Institute.  Autores: Anton Chuvakin & Lenny Zeltser.

REVISION DE LOGS

ENFOQUE GENERAL.

  1. Identificar cuáles son las fuentes de log disponibles y las herramientas automatizadas que se pueden utilizar para realizar la revisión.
  2. Realizar una copia de los logs a otra ubicación en la que puedan revisarse sin alterar los registros originales.
  3. Eliminar el ruido relacionado con líneas repetitivas, después de confirmar que el evento registrado era benigno.
  4. Considerar la zona horaria al analizar la fecha y hora de los eventos registrados.
  5. Mantener el enfoque en todos los eventos asociados a:
    1. 1 Cambios
    2. 1 Fallas
    3. 1 Errores
    4. 1 Accesos
    5. 1 Eventos Administrativos
    6. 1 Eventos Inusuales.
  6. Revisar los logs un período de tiempo anterior y posterior al incidente de seguridad.
  7. Correlacionar los distintos eventos registrados en los logs para tener una imagen completa de lo que ocurrió.
  8. Desarrollar Teorías acerca de lo que ocurrió y luego verifique si los logs confirman o descartan la teoría.

DONDE BUSCAR.

  • Repositorios de logs de los Sistemas Operativos existentes en los Servidores y Estaciones de Trabajo.
  • Repositorios de los Servidores de Aplicación como WEB y/o Base de Datos.
  • Logs de las herramientas de Seguridad como Antivirus, Firewall, IPS.
  • Registros de Eventos en las Aplicaciones de los Usuarios.
  • No Olvide revisar cualquier otro evento de seguridad aunque provenga de fuentes que no registran Logs.

 

 

 

 

 

Anuncios

Sabes acerca de: “Obfuscated Javascript”

Recientemente en el artículo: “Friends Don’t Let Friends Download Malware” que apareció en el Blog  #Watchguard #Secplicity, llamó mi atención la frase “obfuscated JavaScript file” que traducido vendría siendo “archivo de JavaScript ofuscado”.

Particularmente considero que en el área de tecnología IT, día a día nos encontramos con infinidad de términos técnicos que desconocemos en cuanto a su significado y que empleamos cotidianamente. Terminamos usándolos, aplicándolos y refiriéndonos a ellos sin saber como describirlos.

Así que vamos a comenzar a definir algunos es estos términos. Ofuscado u Ofuscación, es la práctica de hacer algo difícil de entender.

Obfuscated JavaScript

Generalmente aplicado al código de programación para proteger la propiedad intelectual y evitar que un atacante aplique ingeniería inversa a un programa de software propietario. La ofuscación puede implicar cambio del nombre de una clase, nombres de variables, de etiquetas sin sentido o la adición de código no utilizado o sin sentido a una aplicación binaria. En si la idea es crear un código complicado de leer o entender.

No tiene nada que ver con criptografía de la información, es más bien una especie de estrategia para dificultar la ingeniería inversa; de hecho ya existen programas denominados ofuscadores que pueden actuar sobre el código fuente, código objeto o ambos para realizar estos cambios.

Entonces, pudiéramos decir que a través de este método es mucho más fácil para los programadores, incluir algún tipo de virus o malware que pueda de forma indiscriminada, atacar nuestros equipos de escritorio o dispositivos móviles.

(Créditos Fátima Díaz – Revisión José Luis Gomes)