Vigilar el uso malicioso para evitar cortes

Vigilancia de los eventos relacionados con la seguridad es esencial para los esfuerzos continuos de seguridad para disuadir la piratería. Esto puede ser tan básico y cotidiano como el seguimiento de los archivos de registro en los routers, firewalls y servidores críticos cada día. monitoreo avanzado podría incluir la implementación de un sistema de gestión de incidentes de seguridad de correlación para controlar cada pequeña cosa que sucede en su entorno. Un método común es el despliegue de un sistema de prevención de fugas del sistema de prevención de intrusiones o datos.

El problema con el seguimiento de eventos relacionados con la seguridad es que los seres humanos resulta muy aburrido y muy difícil de hacer con eficacia. Cada día, se podría dedicar un tiempo para comprobar los archivos de registro críticos de la noche o el fin de semana anterior a descubrir a las intrusiones y otros problemas de la computadora y la seguridad de la red. Sin embargo, lo que realmente quiere someter a sí mismo oa otra persona para ese tipo de tortura?

Sin embargo, tamizar manualmente a través de los archivos de registro no es probablemente la mejor manera de controlar el sistema. Tenga en cuenta los siguientes inconvenientes:

  • Encontrar a eventos críticos de seguridad en los archivos de registro del sistema es difícil, si no imposible. Es demasiado tediosa tarea del ser humano medio para llevar a cabo con eficacia.

  • Dependiendo del tipo de registro y seguridad de equipos que utilice, puede que ni siquiera detectar algunos eventos de seguridad, tales como técnicas de evasión sistema de detección de intrusos (IDS) y los cortes que llegan a puertos permitidos en la red.

En lugar de paneo a través de todos los archivos de registro de la dificultad de encontrar las intrusiones, intente lo siguiente:

  • Habilitar el registro de sistema en el que es razonable y posible. Usted no necesariamente necesita para capturar todos los eventos informáticos y de red, pero que sin duda debe buscar ciertas obvias, tales como fallos de conexión, paquetes mal formados, y el acceso no autorizado al archivo.

  • Registrar eventos de seguridad utilizando syslog o en otro servidor central en la red. No mantener los registros en el host local, si es posible, para ayudar a prevenir los malos de la manipulación de archivos de registro para cubrir sus huellas.

Los siguientes son un par de buenas soluciones al dilema de vigilancia de la seguridad:

  • Comprar un sistema de registro de sucesos. Algunas soluciones de bajo costo pero eficaces están disponibles, tales como GFI EventsManager. Normalmente, los sistemas de registro de eventos de menor precio por lo general sólo soportan una plataforma de sistema operativo - Microsoft Windows es el más común. soluciones de extremo superior, tal como HP ArcSight Logger, ofrecer tanto la administración de registros a través de diversas plataformas y correlación de eventos para ayudar a rastrear el origen de los problemas de seguridad y los diversos sistemas afectados durante un incidente.

  • Externalizar la supervisión de seguridad a un tercero proveedor de servicios de seguridad (MSSP) en la nube a administrar. Unos MSSP están disponibles, tales como Asegurar un servicio gestionado de BT, Dell SecureWorks y La lógica de alerta. considerada en la actualidad los proveedores de servicios en la nube, estas empresas suelen tener herramientas que probablemente no sería capaz de pagar y mantener. También tienen los analistas que trabajan todo el día y las experiencias de seguridad y el conocimiento que obtienen de otros clientes.

    Cuando estos proveedores de servicios cloud descubre una vulnerabilidad de seguridad o intrusión, por lo general pueden abordar el problema de inmediato, a menudo sin su participación. Comprobar si las empresas de terceros y sus servicios puede liberar algo de su tiempo y recursos. No dependa únicamente de su supervisión esfuerzos- un proveedor de servicio en la nube puede tener problemas para controlar el abuso de información privilegiada, ataques de ingeniería social, y los cortes de aplicaciones web a través de Secure Sockets Layer. Es necesario estar involucrado.

Artículos Relacionados
Lista de compras cortafuegos
Linux: la aplicación de una metodología de prueba de seguridad
En cuanto a la detección de intrusos en el sombrero rojo enterprise linux 4
Cómo revisar los eventos en windows xp
Cómo utilizar el visor de sucesos en windows 10
Cómo revisar los eventos en windows 7 y vista
Aspectos de la gestión de identidad en la nube
Detección y análisis forense en la nube
Las capacidades clave en la gestión de la prestación de servicios nube
Seguimiento de abuso del sistema con tng unicenter
Seguridad de red: prevención de intrusiones y detección de intrusos
Copias de seguridad de dispositivos móviles de la empresa
Cómo crear un plan de seguridad informática en la nube
Cómo configurar el sistema de registro y rastreo en junos
Cómo incluir los valores de gravedad de los mensajes de registro del sistema junos
Cómo iniciar sesión y eventos con sistema operativo junos trazar
Cómo controlar un dispositivo junos utilizando el registro de seguimiento
Cómo utilizar los registros del sistema para solucionar una red junos
Conocer las vulnerabilidades del sistema de mensajes para evitar los cortes
Realizar pruebas de seguridad generales en los sistemas linux