Según el sondeo de Gartner, el 45% de las empresas en el mundo entero habrán sido objeto de ciberataques de aquí al 2025. Hoy en día, un ciberataque ocurre cada 39 segundos. Ante el recrudecimiento y la complejidad de estos ataques, el registro de los sistemas de información (SI) se convierte en el pilar central de la ciberseguridad. Este registro permite reaccionar a los incidentes de seguridad pero también prepararse y protegerse contra ellos.
A escala internacional, de acuerdo con la norma ISO 27002, sincronizar los relojes de un sistema de información entero es imprescindible para registrar los eventos y generar pruebas.
En Francia por ejemplo, la Agencia Nacional de Seguridad de los Sistemas de Información (ANSSI) subraya la importancia de implementar una estrategia de registro eficaz.
La importancia del registro
En un sistema de información, cada acción llevada a cabo es un evento de seguridad que debe registrarse, especialmente para garantizar la trazabilidad de las acciones, de las modificaciones de archivos, de los accesos a los datos, etc. Este registro adopta la forma de archivos de registro (logs en inglés) que contienen la integralidad de las acciones realizadas, la identidad de las personas o entidades en cuestión, así como el momento exacto en el que se ha llevado a cabo la acción.
Estos registros ofrecen una base sólida para investigar y responder a los incidentes ocurridos. Los datos colectados permiten:
- Detectar incidentes.
Los registros permiten identificar actividades anómalas, que a menudo indican un intento de ciberataque.
- Analizar la fase posterior al incidente.
Lo que también se conoce como análisis forense consiste en analizar los registros para comprender la secuencia de eventos, identificar las vulnerabilidades explotadas y los vectores de ataque.
- La conformidad reglamentaria.
Ciertos datos se deben conservar en un marco reglamentario: por ejemplo, el hecho de archivar las condiciones de acceso a ciertas bases de datos resulta útil en caso de un recurso vinculado a un procedimiento RGPD (Reglamento General de Protección de Datos).
Las buenas prácticas que adoptar para un registro seguro y eficaz
En Francia, la ANSSI ofrece recomendaciones detalladas sobre la gestión del registro, tales como:
- La integridad de los registros.
Se recomienda implementar soluciones de cifrado y de firma numérica de los registros. De hecho, lo que los piratas informáticos suelen hacer primero es modificar los registros para borrar todo rastro de sus fechorías. Utilizar herramientas de registro adecuadas evita que esto ocurra. Las buenas prácticas empiezan por el uso de protocolos de sincronización, como por ejemplo el uso de NTS en NTP.
- La configuración de los registros.
Se recomienda tener una granularidad razonable, suficiente para responder a las necesidades, pero sin crear una masa de datos que sería imposible analizar.
- La conservación de los registros.
Hace falta una política razonable de limpieza de los registros. Esto requiere una duración de conservación compatible con las obligaciones legales y la capacidad de almacenamiento de la organización.
- Una supervisión continua.
Se aconseja analizar los registros en tiempo real para activar alertas durante los ataques y ser proactivo. Así, se recomienda equiparse con una herramienta de gestión de información y eventos de seguridad (en inglés: Security Information and Event Management, SIEM).
Establecer un registro de acciones a nivel del sistema de información nunca evitará que una organización sea objeto de ciberataques. Sin embargo, esto permite evitar una mayor parte de los ataques, comprender los ataques frustrados para evitarlos en el futuro, y atrapar a los culpables.
Para reforzar la implementación de un sistema de registro, la ANSSI también recomienda utilizar un servidor de tiempo NTP interno.
El papel esencial de los servidores de tiempo en el registro
En un sistema de información, el servidor de tiempo desempeña un papel fundamental en el registro. De hecho, sincroniza los relojes de todos los equipos del sistema de información. Así, el servidor de tiempo es el referente horario y garantiza la exactitud y la coherencia de todos los sellados de tiempo indicados en los registros. Es imprescindible asegurar la exactitud de estos sellados de tiempo para detectar las anomalías ocurriendo en la red pero también para prevenir las desviaciones horarias.
En efecto, los relojes de todos los equipos derivan naturalmente en el tiempo. Al cabo de unas semanas, esta desviación puede medirse en segundos e incluso en minutos, lo que puede hacer que falle el registro.
Con su propia base de tiempos, un servidor de tiempo NTP instalado localmente asegura la coherencia de los sellados de tiempo y correlaciona los eventos para reconstruir secuencias de acciones.
A posteriori, los analistas podrán comprender cómo se ha realizado un ataque, lo que constituye el primer paso para implementar correcciones. Finalmente, los sellados de tiempo resultan imprescindibles para garantizar la validez de los registros en el marco de un procedimiento judicial.
Con más de 150 años de experiencia en gestión del tiempo y presente en más de 140 países, Bodet Time es el líder francés en sincronización horaria y en tiempo frecuencia. Los servidores de tiempo NTP Netsilon sincronizan todos los equipos de una red y realizan un sellado de tiempo exacto que garantiza el registro de los eventos.
