Guía de planeamiento de supervisión de la seguridad y detección de ataques

Capítulo 1: Introducción

Actualizado: mayo 23, 2005
En esta página
Resumen ejecutivoResumen ejecutivo
Información general de la guía de planeamientoInformación general de la guía de planeamiento

Resumen ejecutivo

Los numerosos informes de los medios acerca de la propagación de software malintencionado a través de Internet ha aumentado considerablemente el perfil de las amenazas externas existentes para los recursos de red de las organizaciones. No obstante, algunas de las mayores amenazas para la infraestructura de una organización provienen de los ataques que se originan en la red interna. Los ataques internos que presentan el mayor potencial de producir daño derivan de las actividades realizadas por las personas con las posiciones de mayor confianza, como los administradores de red. El análisis de las amenazas internas y externas ha llevado a numerosas organizaciones a llevar cabo investigaciones sobre sistemas capaces de supervisar las redes y detectar ataques.

En el caso de las organizaciones cuyas operaciones están limitadas por normativas, la supervisión de la seguridad es un requisito operativo. El número cada vez mayor de requisitos normativos impuestos por varias instituciones de todo el mundo obliga aún más a las organizaciones a supervisar sus redes, comprobar las consultas de acceso a recursos e identificar a los usuarios que inician y cierran sesión en la red. Las consideraciones normativas también pueden exigir a las empresas que archiven los datos de seguridad supervisados durante ciertos períodos de tiempo.

Los registros de seguridad de Microsoft® Windows® constituyen un punto de inicio para los paquetes que pueden supervisar la seguridad. No obstante, los registros de seguridad por sí solos no proporcionan información suficiente para planear la respuesta a un incidente determinado. Sin embargo, junto con otras tecnologías de recopilación de datos, sí que pueden formar parte importante de un sistema de supervisión de la seguridad y detección de ataques.

En esta guía se describe el modo de planear un sistema de supervisión de la seguridad en redes basadas en Windows. Este sistema puede detectar ataques que se originan en los recursos internos y externos. El objetivo principal de un sistema de supervisión de la seguridad es identificar sucesos no usuales en la red que indican actividad malintencionada o errores de procedimiento.

El desafío empresarial

Las empresas hacen frente a numerosos retos a la hora de implementar sistemas eficaces de supervisión de la seguridad en redes de gran tamaño. Las empresas deben:

Identificar la necesidad de proteger la información.

Definir niveles de autorización para administradores y usuarios.

Implementar una directiva de supervisión completa.

Establecer una correlación de esta directiva con los sucesos de seguridad detectados.

Estos retos también se presentan ante organizaciones con requisitos de red menos complejos.

Las ventajas empresariales

La supervisión de la seguridad aporta dos ventajas principales para las organizaciones, independientemente de su tamaño: la capacidad de identificar ataques de forma instantánea y la capacidad de realizar análisis forenses de los sucesos ocurridos antes, durante y después de un ataque.

Gracias a la capacidad de detectar ataques de forma instantánea, los departamentos de seguridad pueden reaccionar rápidamente para reducir el daño producido en la infraestructura de la red. Los datos forenses también ayudan a los investigadores a identificar la extensión del ataque. Entre otras de las ventajas de la supervisión de la seguridad, se incluyen:

Reduce el efecto de los ataques.

Proporciona personal de seguridad para identificar rápidamente patrones anormales de comportamiento.

Crea información de auditoría para cumplir los requisitos normativos.

Para obtener más información sobre estas ventajas, consulte el capítulo 2 "Enfoques para la supervisión de la seguridad".

Destinatarios de la guía

En esta guía se ofrece información útil para las organizaciones con normas estrictas de privacidad, sobre todo para aquellas que se ven limitadas por las normativas vigentes. Esta guía va dirigida a organizaciones de cualquier tamaño que requieren sistemas de protección de identidad y control de acceso a datos.

Entre los usuarios a los que va dirigida esta guía, se incluyen administradores y especialistas de TI, como arquitectos y administradores de seguridad empresariales. Asimismo, los consultores que deben planear, implementar o trabajar con redes basadas en Windows, y el personal de toma de decisiones, encontrarán esta información de gran utilidad.

Requisitos previos del lector

Para comprender las soluciones que se exponen en esta guía, el lector debe comprender y conocer los problemas de seguridad y el perfil de riesgo de su red. Además, debe estar familiarizado con el servicio de registro de sucesos de Windows.

Esta guía utiliza los cuadrantes de funcionamiento y compatibilidad del modelo de proceso de Microsoft Operations Framework (MOF). También utiliza las funciones de administración de servicio (SMF) de administración de incidentes y seguridad de MOF. Para obtener más información acerca de MOF, visite el sitio Web de Microsoft Operations Framework en http://www.microsoft.com/mof (en inglés).

Información general de la guía de planeamiento

Esta guía consta de cuatro capítulos en los que se tratan los problemas y conceptos fundamentales relativos al planeamiento de una solución de supervisión de la seguridad y detección de ataques. Éstos son:

Capítulo 1: Introducción

En este capítulo se ofrece un resumen ejecutivo, se presentan los desafíos y las ventajas empresariales, se sugieren los destinatarios recomendados de la guía, se indica una lista de requisitos previos del lector y se brinda información general de los capítulos y ejemplos de la solución de esta guía.

Capítulo 2: Enfoques para la supervisión de la seguridad

En este capítulo se ofrece información general acerca de las distintas opciones disponibles para implementar una solución de supervisión de la seguridad y detección de ataques que utiliza tecnologías Microsoft y de terceros.

Capítulo 3: Problemas y requisitos

En este capítulo se describe el modo de establecer la correlación del ámbito de la supervisión de la seguridad con otros requisitos empresariales y con el intervalo conocido de posibles amenazas y ataques a una red empresarial. Por otro lado, se describen los retos empresarial, técnico y de seguridad que suponen:

Detectar infracciones a directivas

Identificar ataques externos

Implementar análisis forenses

Este capítulo define una infracción a directiva como toda desviación de las normativas organizativas. Por último, en este capítulo se incluyen los requisitos de la solución de un sistema de detección de ataques y supervisión de la seguridad.

Capítulo 4: Diseño de la solución

En este capítulo se ofrece información detallada sobre el uso de la supervisión de la seguridad para detectar ataques e implementar archivos de auditorías de seguridad. Se describe la configuración recomendada de un sistema de supervisión de la seguridad y los cambios que deben llevar a cabo las organizaciones para elaborar directivas de seguridad.

Asimismo, se proporcionan instrucciones detalladas con carácter normativo sobre la implementación de sistemas avanzados de supervisión de la seguridad en organizaciones de gran tamaño. Estas directrices describen el modo de tratar los problemas de almacenamiento de auditoría de grandes volúmenes de sucesos de seguridad, así como el modo de planear la detección de ataques en redes distribuidas.


**
**
**
Descargar
DescargarGuía de planeamiento de supervisión de la seguridad y detección de ataques
**