Antes que nada, debo aclarar que los puntos que voy a redactar a continuación, no son exclusivamente de mi autoría, sino que en su mayoría derivan de una conversación suscitada en el foro de correo «Security Basics» de Security Focus. Mi único mérito, en todo caso, será el de ordenar las ideas y dar mis, como siempre, humildes traducciones.
Voy a traducir textualmente el planteo del primer e-mail que origina el debate. Se supone la siguiente situación:
«Un jefe, o coordinador, convoca al grupo de IT todo junto, y realiza la siguiente pregunta: ¿Sabemos, en este preciso momento, si nuestros sistemas públicos han sido o no comprometidos?»
La pregunta es por demás interesante. Vale la pena pensarla un instante. Uno probablemente pueda contestar que sabe qué medidas de seguridad tiene instaladas. Uno probablemente pueda contestar cuáles fueron los reportes de esas herramientas. Uno puede contestar un montón de cosas, ¿pero puede aseverar que ningún equipo ha sido comprometido-atacado-violado?
Y por lo tanto, y así se planteó en el foro, «uno no puede contestar esta pregunta con 100% de certeza». Entonces, la respuesta correcta (si uno hizo bien las cosas) debería ser: «Sabemos, con un importante nivel de certeza que no tuvimos ninguna violación en un sistema, porque cuando observamos en nuestros sistemas observamos lo siguiente:»
Entonces, se listará a continuación, los diferentes elementos que podemos observar en nuestra infraestructura para apoyar el hecho de que nuestros sistemas no han sido comprometidos:
- No se han visto IDs de usuarios no autorizados en los sistemas.
- No se han encontrado servicios en ejecución desconocidos.
- Todos los sistemas están actualizados a la fecha.
- Los sistemas están desarrollados bajo los estándares y normas.
- No existen vulnerabilidades detectadas y sin parchear.
- No se detectó actividad desautorizada del usuario administrador/root.
- No se detectó actividad inusual en el IDS ni se recibieron alertas inusuales.
- Los espacios en disco de los servidores no han cambiados significativamente.
- No se detectó tráfico inusual en el Firewall.
- Los equipos poseen protección anti-malware actualizada y a la fecha y no se han detectado amenazas.
- No se detectaron logons fallidos en nuestros sistemas públicos.
- No se detectaron eventos de errores en los logs de los sistemas operativos.
- No se detectaron eventos de errores en los logs de las aplicaciones.
- No se registraron accesos físicos no autorizados a los activos más importantes de la infraestructura.
- El monitoreo de los servidores no detectó ningún downtime que no ha sido investigado y explicado.
Como cierre, y parte de una de las respuestas del foro, es importante destacar que estos puntos sirven internamente para el área IT/Seguridad para poder conocer la respuesta a la pregunta. Sin embargo, a un jefe fuera del área IT, será necesario dar una respuesta más precisa e inteligente para lograr la comprensión. Una sugerencia brindada fue: «El análisis y los registros actuales de los diferentes sistemas muestra un comportamiento normal lo que indica que los sistemas públicos están seguros. Si ustede lo desea, puedo enviarle un informe detallado con la información recopilada para llegar a esta conclusión»
Obviamente que el punto siguiente es pensar cuántas áreas de IT/Seguridad están en condiciones de cumplir siquiera la mitad de estos puntos.
Bueno, a esto se debería apuntar: a poseer una serie de medidas de seguridad trabajando en conjunto que nos permiten despejar y minimizar la probabilidad de que nuestros sistemas sean comprometidos.
Repito con lo que empecé, la mayor parte de los puntos aquí indicados fueron leídos de la lista de correo citada, pero me pareció una conversación muy interesante para compartir.
¿Y ustedes qué opinan? ¿Algunos puntos para agregar?
Un Mundo (no tan) Binario 
HolaSeba, excelene post! Yo lo que noto es que TODOS los de IT solo reportaron el estado de las herrramientas para defenderse de posibles amenazas tecnologicas… pero no tuvieron en cuenta un factor no tecnologico muy importante… el factor humano, quien dice que en esos dias no se estuvo realizando ingenieria social?
Que los usuarios estan capacitados para detectar preguntas relativas a la informacion que manejan que no deben suministrar a quien no corresponde?
Que todos los sistemas de deteccion/prevencion esten al dia y sin reportar nada extraño es un buen sintoma, pero puede ser la calma del ojo del huracan 🙂
Si la amenaza es un script kiddie seguro que dejara en los logs infinidad de muestras de sus intentos de ataque, pero si es un profesional o un hacker de la vieja escuela seguro que mientras este haciendo «information gathering» lo hara de la forma mas silenciosa posible para no levantar ninguna sospecha, si de servicios publicos de la empresa se trata incluso buscara en el cache de google para no levantar sospechas 🙂
Veo bien la parte del informe que una cosa es tener un informe tecnico y otra muy distinta es llegar a la direccion con ese informe, hay que traducirlo para que un directivo lo entienda.
Saludos