Gestión de incidentes de seguridad informática. IFCT0109 E-Book

Gestión de incidentes deseguridad informáticaIFCT0109

Ester Chicano Tejada

iceditorial

Gestión de incidentes de seguridad informática. IFCT0109

© Ester Chicano Tejada

1ª Edición

© IC Editorial, 2025

Editado por: IC Editorial

c/ Cueva de Viera, 2, Local 3

Centro Negocios CADI

29200 Antequera (Málaga)

Teléfono: 952 70 60 04

Fax: 952 84 55 03

Correo electrónico: [email protected]

Internet: www.iceditorial.com

IC Editorial ha puesto el máximo empeño en ofrecer una información completa y precisa. Sin embargo, no asume ninguna responsabilidad derivada de su uso, ni tampoco la violación de patentes ni otros derechos de terceras partes que pudieran ocurrir. Mediante esta publicación se pretende proporcionar unos conocimientos precisos y acreditados sobre el tema tratado. Su venta no supone para

IC Editorial ninguna forma de asistencia legal, administrativa ni de ningún otro tipo.

Reservados todos los derechos de publicación en cualquier idioma.

Cualquier forma de reproducción, distribución, comunicación pública o transformación de esta obra solo puede ser realizada con la autorización de sus titulares, salvo excepción prevista por la ley. Diríjase a CEDRO (Centro Español de Derechos Reprográficos) si necesita fotocopiar o escanear algún fragmento de esta obra (www.cedro.org).

Según el Código Penal, el contenido está protegido por la ley vigente que establece penas de prisión y/o multas a quienes intencionadamente reprodujeren o plagiaren, en todo o en parte, una obra literaria, artística o científica.

ISBN: 978-84-1184-799-5

Presentación del manual

El Certificado de Profesionalidad es el instrumento de acreditación, en el ámbito de la Administración laboral, de las cualificaciones profesionales del Catálogo Nacional de Cualificaciones Profesionales adquiridas a través de procesos formativos o del proceso de reconocimiento de la experiencia laboral y de vías no formales de formación.

El elemento mínimo acreditable es la Unidad de Competencia. La suma de las acreditaciones de las unidades de competencia conforma la acreditación de la competencia general.

Una Unidad de Competencia se define como una agrupación de tareas productivas específica que realiza el profesional. Las diferentes unidades de competencia de un certificado de profesionalidad conforman la Competencia General, definiendo el conjunto de conocimientos y capacidades que permiten el ejercicio de una actividad profesional determinada.

Cada Unidad de Competencia lleva asociado un Módulo Formativo, donde se describe la formación necesaria para adquirir esa Unidad de Competencia, pudiendo dividirse en Unidades Formativas.

El presente manual desarrolla el Módulo Formativo MF0488_3: Gestión de incidentes de seguridad informática,

asociado a la unidad de competencia UC0488_3: Detectar y responder ante incidentes de seguridad,

del Certificado de Profesionalidad Seguridad informática.

Índice

Portada

Título

Copyright

Presentación del manual

Índice

Capítulo 1Sistemas de detección y prevención de intrusiones (IDS/IPS)

1. Introducción

2. Conceptos generales de gestión de incidentes, detección de intrusiones y su prevención

3. Identificación y caracterización de los datos de funcionamiento del sistema

4. Arquitecturas más frecuentes de los sistemas de detección de intrusos

5. Relación de los distintos tipos de IDS/IPS por ubicación y funcionalidad

6. Criterios de seguridad para el establecimiento de la ubicación de los IDS/IPS

7. Resumen

Ejercicios de repaso y autoevaluación

Capítulo 2Implantación y puesta en producción de sistemas IDS/IPS

1. Introducción

2. Análisis previo de los servicios, protocolos, zonas y equipos que utiliza la organización para sus procesos de negocio

3. Definición de políticas de corte de intentos de intrusión en los IDS/IPS

4. Análisis de los eventos registrados por el IDS/IPS para determinar falsos positivos y caracterizarlos en las políticas de corte del IDS/IPS

5. Relación de los registros de auditoría del IDS/IPS necesarios para monitorizar y supervisar su correcto funcionamiento y los eventos de intentos de intrusión

6. Establecimiento de los niveles requeridos de actualización, monitorización y pruebas del IDS/IPS

7. Resumen

Ejercicios de repaso y autoevaluación

Capítulo 3Control de código malicioso

1. Introducción

2. Sistemas de detección y contención de código malicioso

3. Relación de los distintos tipos de herramientas de control de código malicioso en función de la topología de la instalación y las vías de infección a controlar

4. Criterios de seguridad para la configuración de las herramientas de protección frente a código malicioso

5. Determinación de los requerimientos y técnicas de actualización de las herramientas de protección frente a código malicioso

6. Relación de los registros de auditoría de las herramientas de protección frente a códigos maliciosos necesarios para monitorizar y supervisar su correcto funcionamiento y los eventos de seguridad

7. Establecimiento de la monitorización y pruebas de las herramientas de protección frente a código malicioso

8. Análisis de los programas maliciosos mediante desensambladores y entornos de ejecución controlada

9. Resumen

Ejercicios de repaso y autoevaluación

Capítulo 4Respuesta ante incidentes de seguridad

1. Introducción

2. Procedimiento de recolección de información relacionada con incidentes de seguridad

3. Exposición de las distintas técnicas y herramientas utilizadas para el análisis y correlación de información y eventos de seguridad

4. Proceso de verificación de la intrusión

5. Naturaleza y funciones de los organismos de gestión de incidentes tipo CERT nacionales e internacionales

6. Resumen

Ejercicios de repaso y autoevaluación

Capítulo 5Proceso de notificación y gestión de intentos de intrusión

1. Introducción

2. Establecimiento de las responsabilidades en el proceso de notificación y gestión de intentos de intrusión o infecciones

3. Categorización de los incidentes derivados de intentos de intrusión o infecciones en función de su impacto potencial

4. Criterios para la determinación de las evidencias objetivas en las que se soportará la gestión del incidente

5. Establecimiento del proceso de detección y registro de incidentes derivados de intentos de intrusión o infecciones

6. Guía para la clasificación y análisis inicial del intento de intrusión o infección contemplando el impacto previsible del mismo

7. Establecimiento del nivel de intervención requerido en función del impacto previsible

8. Guía para la investigación y diagnóstico del incidente de intento de intrusión o infecciones

9. Establecimiento del proceso de resolución y recuperación de los sistemas tras un incidente derivado de un intento de intrusión o infección

10. Proceso para la comunicación del incidente a terceros, si procede

11. Establecimiento del proceso de cierre del incidente y los registros necesarios para documentar el histórico del incidente

12. Resumen

Ejercicios de repaso y autoevaluación

Capítulo 6Análisis forense informático

1. Introducción

2. Conceptos generales y objetivos del análisis forense

3. Exposición del principio de Locard

4. Guía para la recogida de evidencias electrónicas

5. Guía para el análisis de las evidencias electrónicas recogidas, incluyendo el estudio de ficheros y directorios ocultos, información oculta de sistema y la recuperación de ficheros borrados

6. Guía para la selección de las herramientas de análisis forense

7. Resumen

Ejercicios de repaso y autoevaluación

Bibliografía

Capítulo 1

Sistemas de detección y prevención de intrusiones (IDS/IPS)

Contenido

1. Introducción

2. Conceptos generales de gestión de incidentes, detección de intrusiones y su prevención

3. Identificación y caracterización de los datos de funcionamiento del sistema

4. Arquitecturas más frecuentes de los sistemas de detección de intrusos

5. Relación de los distintos tipos de IDS/IPS por ubicación y funcionalidad

6. Criterios de seguridad para el establecimiento de la ubicación de los IDS/IPS

7. Resumen

1. Introducción

En una economía donde las tecnologías de la información están cada vez más en auge y más extendidas, las organizaciones deben definir políticas de seguridad más exhaustivas en sus sistemas de información para evitar el acceso a ellos por personal no autorizado y para impedir un uso malintencionado de sus datos.

Hay numerosas motivaciones por las que un atacante puede actuar en una organización: desde motivos económicos, por simple diversión, por disconformidad con sus directrices o valores o por la mera autorrealización personal, entre muchas otras.

A medida que avance el manual se irán comentando los distintos tipos de ataques y cómo prevenirlos y combatirlos y, en este capítulo en particular se van a identificar y caracterizar los distintos datos de funcionamiento del sistema donde localizar las incidencias que le suceden.

También se van a describir y analizar varias técnicas para detectar y prevenir el ataque de intrusos mediante una serie de herramientas como son los sistemas de prevención de intrusiones o IPS y los sistemas de detección intrusos o IDS, comentando detalladamente sus características principales y sus funcionalidades.

Para concluir el capítulo, una vez que ya se han descrito las herramientas necesarias para decidir qué sistema de prevención o detección de intrusos van a implantar las organizaciones en sus sistemas de información, se aportan una serie de pautas a tener en cuenta en el momento de elegir la ubicación de estos IDS y/o IPS atendiendo a las necesidades concretas de cada organización.

2. Conceptos generales de gestión de incidentes, detección de intrusiones y su prevención

Antes de definir los conceptos de gestión de incidentes y sus relaciones es imprescindible conocer tres conceptos básicos referentes a la información:

Confidencialidad:

la confidencialidad de la información es la propiedad mediante la que se garantiza el acceso a la misma solo a usuarios

autorizados.

Integridad:

propiedad de la información que garantiza que no ha sido alterada y que se ha mantenido intacto el documento original que contenía dicha información. La información solo puede ser modificada por los usuarios autorizados.

Disponibilidad:

propiedad de la información en la que se garantiza que esté disponible para los usuarios cuando estos lo requieran.

En términos de seguridad informática para que la información cumpla unos estándares de seguridad adecuados debe contener las tres propiedades mostradas en la imagen: integridad, confidencialidad y disponibilidad.

Un incidente de seguridad es cualquier evento que puede afectar a la integridad, confidencialidad y disponibilidad de la información. En otras palabras, y atendiendo a la norma ISO 27001:2022, un incidente de seguridad es un evento no deseado o no esperado que puede comprometer significativamente las operaciones de negocio y amenazar la seguridad de la información.

Nota

ISO es la Organización Internacional de Normalización. Esta organización elaboró una serie de normas internacionales que formulan recomendaciones de buenas prácticas para las empresas, entre ellas la ISO 2700 que hace referencia a la seguridad de la información.

2.1. Tipos de incidentes de seguridad

Son numerosos los tipos de incidentes de seguridad que pueden ocurrir en un sistema. Una posible clasificación sería la siguiente:

Accesos no autorizados:

son ingresos y operaciones no autorizadas a los sistemas, con éxito o no. Forman parte de esta categoría:

Robo de información.

Borrado de información.

Alteración de la información.

Intentos recurrentes y no recurrentes de acceso no autorizado.

Abuso o mal uso de los servicios informáticos (tanto internos como externos) que requieran autenticación.

Malware:

son incidentes provocados de forma autónoma, por un programa o código malicioso, que ocurren en un sistema de información sin autorización del propietario. Hay una gran cantidad de

malware

, pero los más importantes y activos a día de hoy son los siguientes tipos:

Virus informáticos: la característica principal es que se adhieren a un programa o archivo para poder propagarse entre equipos o sistemas, y realizar acciones dañinas. Un virus siempre es accionado por un usuario, casi siempre de manera involuntaria, lo que provoca iniciar su ejecución y propagación.

Gusanos informáticos: según algunos autores, se consideran una clase secundaria de virus por las características similares que comparten con estos. Sin embargo, la diferencia más notable es que no necesitan la acción de un usuario para propagarse entre sistemas. Para ello, aprovechan funciones de transferencia de archivos o de información del sistema, pudiendo replicarse centenares o miles de veces desde un solo dispositivo.

Troyanos: este tipo de

malware

se hace pasar por un programa auténtico, pero en cambio al ejecutarlo normalmente se crea una puerta trasera que sirve de acceso a usuarios o aplicaciones ilegítimas del sistema. Su objetivo principal no es replicarse, a diferencia de los virus y gusanos.

Ransomware:

aunque algunas versiones pueden considerarse un tipo especial de virus, la cantidad de ataques realizados usando esta familia de

malware

han hecho que sean tratados como un nuevo tipo. Su

modus operandi

siempre comienza por cifrar los archivos de un sistema, para posteriormente pedir un rescate al usuario por desbloquearlos y recuperar su estado normal. La mayoría suelen replicarse a otros sistemas de la misma red al igual que lo haría un virus.

Denegación del servicio:

eventos que producen la pérdida de un servicio en particular, impidiendo su ejecución normal. Suelen ser incidentes de denegación del servicio cuando en el sistema se nota que hay tiempos de respuesta muy bajos y servicios internos y externos inaccesibles sin motivos aparentes.

Pruebas, escaneos o intentos de obtención de información de un sistema de información:

son eventos que intentan obtener información sobre las acciones que se producen en un sistema informático. Algunos de estos eventos son:

Sniffers:

aplicaciones cuya función es obtener la información que envían los distintos equipos de una red.

Detección de vulnerabilidades: aplicaciones que buscan las vulnerabilidades de un sistema de información para aprovecharse de ello maliciosamente.

Mal uso de los recursos tecnológicos: eventos que atacan a los recursos tecnológicos de un sistema de información a causa de un mal uso de los mismos. Forman parte de este tipo de eventos:

Violación de la normativa de acceso a internet.

Abuso o mal uso de los servicios informáticos externos o internos.

Abuso o mal uso del correo electrónico.

Violación de las políticas, normas y procedimientos de seguridad informática de una organización.

Incidentes de seguridad

Tipo de incidente

Incidente

Acceso no autorizado

Robo de información.

Alteración de la información.

Borrado de la información.

Intentos de acceso no autorizado recurrentes y no recurrentes.

Mal uso o abuso de los servicios informáticos que necesitan autenticación.

Malware

Virus informáticos.

Troyanos.

Gusanos informáticos.

Ransomware.

Denegación del servicio o DoS

Ataques a páginas web o servidores para saturarlos.

Intentos de obtención de información

Sniffers.

Detección de vulnerabilidades.

Mal uso de los recursos

Abuso o mal uso de los servicios informáticos (internos o externos).

Violación de la normativa de acceso a internet.

Abuso o mal uso del correo electrónico.

Violación de políticas de seguridad informática.

2.2. Gestión y medidas de incidentes de seguridad

Ante la posibilidad de que haya algún tipo de incidente de seguridad en la organización hay que tomar una serie de medidas que pueden ser:

Medidas preventivas:

aquellas medidas que se aplican para evitar la ocurrencia de incidentes de seguridad ante amenazas conocidas y riesgos identificados. Algunos ejemplos son: utilización de contraseñas, cifrado de información, establecimiento de

firewalls, honeypots

, creación de copias de seguridad, etc.

Medidas de detección:

medidas que sirven para detectar y controlar los incidentes de seguridad. Por ejemplo: sistemas de detección de intrusiones, revisiones de seguridad, etc.

Medidas correctivas:

medidas implementadas una vez ya ha sucedido el incidente de seguridad que sirven para evitar que no vuelvan a ocurrir y para restaurar la situación inicial antes de la incidencia. Suelen ser procedimientos de restauración, eliminación de código malicioso y, en general, auditorías de seguridad.

Medidas proactivas:

medidas centradas en anticipar y prevenir riesgos futuros mediante el análisis de tendencias, datos y predicciones. Algunos ejemplos son: pruebas de penetración, capacitación de empleados, actualización de

software

, segmentación de redes, etc.

La gestión de incidentes tiene como objetivo calcular y utilizar adecuadamente los recursos necesarios para aplicar correctamente estas medidas de prevención, detección y corrección de incidentes de seguridad. Se establecen unas pautas generales a seguir para que esta gestión esté bien ejecutada:

Prevención de los incidentes:

aplicación de las medidas preventivas que eviten la producción de los incidentes.

Detección y reporte de los incidentes:

en caso de producirse el incidente hay que detectarlo y reportar el mismo a los responsables de su gestión.

Clasificación del incidente:

definición del tipo de incidente que ha ocurrido (acceso no autorizado, robo de información, etc.).

Análisis del incidente:

análisis de cómo se ha producido el incidente y de los daños que ha causado.

Respuesta al incidente:

aplicación de las medidas correctivas para restaurar el sistema a la situación inicial antes de producirse el incidente.

Registro de incidentes:

registro del incidente sucedido y de las medidas aplicadas para obtener un historial y un control de todos los registros que han ido ocurriendo.

Aprendizaje:

análisis de los posibles errores causantes de la incidencia para evitar que se vuelvan a producir.

Siguiendo estas fases de gestión de incidentes, las organizaciones pueden obtener numerosos beneficios, entre ellos:

Rápida, eficiente y sistemática respuesta ante la aparición de incidentes.

Rápida restauración del sistema informático garantizando la mínima pérdida de información posible.

Generación de una base de datos con el histórico de los incidentes y de las medidas tomadas para una mayor rapidez ante próximos incidentes.

Mejora continua de la gestión y tratamiento de incidentes.

Eliminación de la aparición de incidentes repetitivos (gracias al registro histórico).

Optimización de los recursos disponibles.

Mayor productividad de los usuarios.

Mayor control de los procesos del sistema de información y del proceso de monitorización del mismo.

Sin embargo, una gestión de incidentes deficiente puede llevar a efectos adversos importantes:

Desperdicio y bajo rendimiento de los recursos.

Pérdida de información valiosa para la organización.

Pérdida de productividad en los servicios y, como consecuencia, peor calidad de servicio a los clientes.

2.3. Detección de intrusiones y su prevención

Los intentos de intrusión son aquellos intentos que pueden afectar negativamente a la confidencialidad, integridad y disponibilidad de la información de un equipo o que intentan evitar los mecanismos de seguridad que hay establecidos.

Estas intrusiones pueden producirse de varios modos: desde usuarios no autorizados que acceden al sistema a través de internet, usuarios que sí están autorizados pero que intentan acceder a privilegios para los que no tienen autorización, hasta usuarios autorizados que utilizan malintencionadamente los privilegios que les han sido otorgados.

Para evitar este tipo de intrusiones están los sistemas de prevención de intrusiones o IPS que son sistemas que permiten establecer una protección adicional a los equipos y redes de una organización ante las posibles amenazas que pueden aparecer debido al uso exhaustivo de las redes y de los sistemas de información externos.

Actividades

1. Ponga varios ejemplos de los distintos tipos de incidencias de seguridad.

2. Busque más información sobre las medidas correctivas, preventivas y de detección y proponga algún ejemplo de cada una de ellas.

Aplicación práctica

Su socio y usted están evaluando la seguridad de los equipos de su empresa y han detectado una serie de ataques de código malicioso y ataques de denegación de servicios. Para conseguir eliminar estos ataques y devolver los sistemas al estado original, ¿qué tipo de medidas deberán tomar? ¿Preventivas, proactivas, de detección o correctivas?

SOLUCIÓN

Las medidas preventivas sirven para evitar que no ocurran los incidentes de seguridad. Las medidas de detección sirven para detectar los distintos tipos de incidentes.

En este caso, los incidentes ya se han producido y se pretende corregir la situación y restaurar los sistemas para minimizar el daño ocasionado e intentar volver a la situación original antes de la producción de las incidencias. Por ello, las medidas que se deberán tomar en esta ocasión son medidas de carácter correctivo que eliminen los ataques y restauren el sistema.

3. Identificación y caracterización de los datos de funcionamiento del sistema

Un log es un registro oficial de los eventos del sistema producidos a lo largo de un período de tiempo determinado. En los logs se registran datos de eventos referentes a:

Qué tipo de evento ha ocurrido.

Quién ha originado el evento.

Cuándo se ha producido el evento.

Dónde se ha producido el evento.

Por qué se ha producido el evento.

Así, para comprobar el correcto funcionamiento del sistema e identificar los distintos eventos sucedidos se recomienda evaluar los logs de los equipos, ya que se podrán detectar fallos y eventos como:

Incidentes de seguridad.

Funcionamientos anómalos.

Cambios de configuración de aplicaciones o dispositivos.

Utilización y rendimiento de los recursos.

Intentos fallidos de acceso de usuarios no autorizados.

Tanto Windows como Linux ofrecen la posibilidad de visualizar estos logs y eventos para detectar y seguir los distintos eventos que han ido sucediendo en el equipo.

En Windows puede utilizarse el “Visor de eventos”. En la versión Windows 10 y posteriores se puede acceder al Visor de eventos siguiendo los pasos que se describen a continuación:

1. Hacer clic en el botón Inicio.

2. Escribir “Visor de eventos” en la barra de búsqueda.

3. Hacer clic en el resultado correspondiente.

Visor de eventos en Windows 11. Pantalla inicial

Con esta herramienta se pueden visualizar distintos tipos de eventos sucedidos junto con la fecha y hora, el origen, su identificador, el usuario que lo ha generado y otras características:

Registros de aplicación:

eventos registrados por aplicaciones o programas.

Registros de seguridad:

eventos ocurridos en los accesos del sistema como los intentos de inicio de sesión (tanto exitosos como fallidos), las introducciones de contraseñas erróneas, la utilización de los recursos, etc.

Registros de instalación:

eventos que hacen referencia a la instalación de aplicaciones en el equipo. Se suelen utilizar para comprobar si se ha instalado algún código malicioso en el equipo.

Registros de eventos reenviados:

eventos que se han reenviado a este registro desde otros equipos.

En este caso, como se pretenden detectar las intrusiones y los distintos fallos de seguridad sucedidos en el equipo, el tipo de registros al que más atención habrá que prestar es a los registros de seguridad:

Visor de eventos de Windows

En cambio utilizando Linux no hay una aplicación gráfica que permita visualizar los eventos de un equipo. Para ello será necesario acceder a los archivos de registro iniciando la sesión como usuario “root” y utilizar una serie de comandos:

Con el comando

tail –f

se ven las últimas líneas de un archivo y sus actualizaciones. Por ejemplo, utilizando

tail –f/var/log/auth.log

se mostrarán los últimos eventos de autenticación como sesiones nuevas.

Con el comando

less +F

en lugar de acceder a las últimas líneas de un archivo de registro se accede a su totalidad, pudiéndose ver, incluso, las actualizaciones del mismo a tiempo real.

Para finalizar estos comandos se pulsa la combinación de teclas [Ctrl + C] y en el caso del comando less +F se pulsa además la tecla [Q].

Los principales archivos de registro que se utilizan para comprobar el funcionamiento del sistema y sus problemas de seguridad se pueden observar en la tabla siguiente:

Nombre de archivo

Funcionalidad

/var/log/auth.log

Eventos de autenticación de usuarios y permisos.

/var/log/boot.log

Eventos y servicios empezados cuando se inicia el sistema.

/var/log/daemon.log

Mensajes sobre permisos o servicios corriendo en el sistema.

/log/dmesg.log

Mensajes del núcleo Linux.

/var/log/errors.log

Errores del sistema.

/var/log/everything.log

Mensajes misceláneos no cubiertos por los otros archivos.

/var/log/httpd.log

Mensajes y errores de Apache.

/var/log/mail.log

Mensajes del servidor de correo electrónico.

/var/log/messages.log

Alertas generales del sistema.

/var/log/secure

Registro de seguridad.

/var/log/syslog.log

Registro del sistema de registro.

/var/log/user.log

Muestra información acerca de los procesos usados por el usuario.

A pesar de no venir instalada por defecto en Linux, una herramienta muy útil para ver los logs de una forma más visual y amigable es Gnome Logs. Esta aplicación permite buscar, filtrar y visualizar los logs del sistema de una forma más sencilla mediante su interfaz gráfica.

De este modo, tanto con Windows como con Linux, mediante las herramientas de visualización de logs y de eventos que se han visto hasta ahora, se pueden comprobar y evaluar los distintos parámetros de funcionamiento de un sistema o de un equipo. Así, se podrán detectar las distintas deficiencias de la gestión de recursos e incidentes de un sistema y analizar de dónde provienen y poder establecer una serie de medidas correctivas que permitan una eficiente gestión del equipo.

Asimismo, mediante el historial de logs y eventos también se pueden observar los eventos repetidos perjudiciales para el equipo y encontrar aquellas medidas que eviten que vuelvan a suceder mejorando significativamente el rendimiento del equipo y aumentando la seguridad del mismo.

Actividades

3. Según el sistema operativo que haya instalado en su equipo, explore con detenimiento el “Visor de eventos” de Windows o los archivos de registro en Linux.

Aplicación práctica

Ana, Carlos y usted pretenden definir la seguridad de los equipos de la organización y quieren observar los distintos eventos de seguridad que se han producido en la última semana. Teniendo en cuenta que en los equipos tienen instalado el sistema operativo Windows, ¿qué herramienta deben utilizar y cómo deben acceder a ella y a los registros de seguridad del sistema?

SOLUCIÓN

En Windows 11, para visualizar los distintos eventos de seguridad producidos en un determinado tiempo hay que acceder al Visor de eventos siguiendo los siguientes pasos:

1. Hacer clic en el botón Inicio.

2. Escribir “Visor de eventos” en la barra de búsqueda.

3. Hacer clic en el resultado correspondiente.

Una vez se ha accedido al “Visor de eventos” para ver el historial de los registros de seguridad de cada equipo bastará con hacer clic sobre la pestaña Registros de seguridad y ahí aparecerán los eventos con detalles como su identificador, fecha y hora y usuario, entre otros.

4. Arquitecturas más frecuentes de los sistemas de detección de intrusos

Los sistemas de detección de intrusos o IDS (Intrusion Detection System) son programas cuya utilidad es detectar las intrusiones que se pueden producir en la red o en un equipo. Se encargan de monitorizar los eventos del equipo para buscar intentos de intrusión.

Los IDS son una especie de proceso de auditoría. Son aplicaciones que mediante una amplia base de datos y una serie de configuraciones consiguen prevenir y detectar los posibles ataques que pueden producirse en un sistema. Una visión gráfica del funcionamiento de un IDS podría ser la siguiente:

Las ventajas que proporcionan los sistemas de detección de intrusos son numerosas. No obstante, son varios los motivos que justifican la utilización de IDS en las organizaciones:

Previenen de posibles problemas porque disuaden individuos hostiles: los IDS posibilitan el descubrimiento de atacantes al sistema, lo que resulta un elemento disuasorio ante la posibilidad de ser descubiertos y penalizados.

Detectan ataques y otras vulneraciones de la seguridad que otros sistemas de protección no previenen: en numerosas ocasiones los atacantes acceden sin autorización a los equipos aprovechando sus vulnerabilidades. Mediante los IDS se pueden detectar estos intentos de acceso y reportarlos de inmediato al administrador, de modo que puedan aplicarse medidas correctivas lo antes posible y minimizar el daño.

Detectan preámbulos de ataques: normalmente, antes de intentar acceder y atacar a un sistema, los atacantes suelen examinarlo y hacer pruebas para tantear el ataque. Los IDS detectan estas pruebas de red y accesos al sistema lo que permite aumentar la seguridad cuando hay este tipo de detecciones para poder evitar futuros ataques.

Justifican y documentan el riesgo de la organización: en el momento en el que se elaboran las políticas de seguridad de la empresa es necesario realizar una evaluación de los riesgos justificada con indicadores y datos. Los IDS permiten conocer estos riesgos y documentarlos, de modo que la política de seguridad establecida y las decisiones que se tomen en relación a esta estarán correctamente justificadas.

Aportan información útil sobre las intrusiones y ataques que se producen en el equipo: aparte de bloquear los ataques e intentos de ataque del sistema, los IDS también recogen información útil de estos ataques que puede utilizarse como prueba de delito en el momento de querer emprender acciones legales.

Arquitectura de los IDS

Actualmente hay varias propuestas en el mercado sobre la arquitectura de IDS y no hay ninguna de ellas que se utilice de modo estándar, lo que provoca que las organizaciones que trabajan con distinta arquitectura IDS tengan dificultades para interoperar entre sí.

No obstante, hay ciertas peculiaridades comunes en las distintas arquitecturas de IDS:

La fuente de recogida de datos. Las fuentes pueden ser

logs

, dispositivos de red o el mismo sistema de información.

Las reglas que definen los patrones y directrices para detectar las anomalías de seguridad de un sistema.

Los filtros que comparan los datos o los

logs

que se han obtenido con los patrones definidos en las reglas.

Los detectores de los eventos anormales que suceden en el tráfico de la red.

El sistema que genera los informes y las alarmas en caso de encontrar alguna intrusión o ataque.

Nota

La seguridad de la información en las organizaciones es un asunto primordial para garantizar su éxito. A pesar de que es imposible conocer todas las vulnerabilidades de un sistema y que cada día surgen vulnerabilidades nuevas, los IDS son una herramienta muy útil para detectarlas y solucionarlas. Aún así, como única medida de seguridad no son suficientes: es necesario establecer medidas adicionales como cortafuegos o IPS, entre otras.

A pesar de estos rasgos comunes son muchas las diferencias que hay entre las arquitecturas de los IDS. A continuación, se describirán iniciativas pioneras que han sido la base para el panorama de la seguridad informática actual.

Arquitectura CIDF (Common Intrusion Detection Framework)

La arquitectura CIDF (Common Intrusion Detection Framework) fue promovida por la Agencia Federal de Estados Unidos DARPA (Defense Advanced Research Projects Agency) y, aunque no logró establecerse como un estándar, determinó un modelo y un vocabulario general para tratar las intrusiones.

Esta arquitectura contempla cuatro tipos básicos de equipos:

Equipos generadores de eventos o Equipos E: equipos cuya función principal es la detección de eventos y la emisión de informes.

Analizadores de eventos o Equipos A: equipos que reciben los informes emitidos y se encargan de realizar los análisis pertinentes.

Base de datos de eventos o Equipos D: componentes de bases de datos que permiten ver el historial de los eventos sucedidos en el sistema.

Equipos de respuesta o Equipos R: obtienen los datos de los demás tipos de equipos (E, A y D) y responden a los eventos sucedidos en el sistema.

Arquitectura CISL (Common Intrusion Specification Language)

El lenguaje CISL (Common Intrusion Specification Language) o lenguaje de especificación de intrusiones común surge por la necesidad de establecer un estándar común para describir las amenazas con la finalidad de que los distintos sistemas de detección de intrusiones (IDS) pudieran comunicarse entre ellos e intercambiar eficientemente la información.

En este lenguaje deben poder transmitirse los siguientes tipos de información:

Información de eventos en grupo:

aunque puede utilizarse para describir eventos, el lenguaje CISL está enfocado en la definición de las características de los eventos (más que en la relación entre los equipos).

Resultados de los análisis:

une los equipos A y D y facilita información como las características de las anomalías sucedidas en el sistema y de los ataques que se han detectado.

Prescripciones de respuestas:

une los equipos A y R y se encarga de detener ciertas actividades y de modificar los parámetros de seguridad de componentes para responder a posibles ataques.

Arquitectura AusCERT

AusCERT (Australian Computer Emergency Response Team) es una organización australiana sin ánimo de lucro especializada en la seguridad informática, además de un referente en el campo de la ciberseguridad.

Esta organización creó los informes AusCERT; una herramienta de gran valor para cualquier entidad interesada en mejorar la seguridad informática de sus sistemas al facilitar información actualizada y detallada sobre las últimas amenazas y vulnerabilidades descubiertas.

El formato de estos informes es muy conciso, aunque ello no significa que no sean informes complejos o incompletos.

Un ejemplo de informe que proporciona AusCERT podría ser el siguiente:

La principal ventaja de este tipo de informes es su capacidad para facilitar información precisa y relevante sobre las amenazas informáticas, lo que permite que las organizaciones puedan tomar decisiones basadas en información fiable para proteger sus sistemas y la información contenida en estos.

Arquitectura IDWG (Instrusion Detection Working Group)

La arquitectura IDWG (Intrusion Detection Working Group) propone un nuevo formato (el formato IDEF o Instrusion Detection Exchange Format) cuya función principal es la definición de formatos y procedimientos de intercambio de información entre los diversos subsistemas del IDS. Facilita el intercambio de información acerca de los incidentes de seguridad.

En esta arquitectura se distinguen tres módulos distintos:

Sensor: recoge los datos de la fuente de datos, datos que el IDS utiliza para detectar las actividades no autorizadas. Son ejemplos de este tipo de datos los paquetes de red,

logs

de aplicaciones,

logs

del sistema operativo, etc.

Analizador: analiza los datos recopilados por el sensor para detectar los accesos y/o actividades no autorizados.

Manager: componente que gestiona y administra los demás elementos del IDS. Configura los sensores y analizadores, consolida los datos obtenidos, genera los informes mediante los datos facilitados por el analizador, etc.

Con estos tres módulos de la arquitectura IDWG se obtienen resultados como los siguientes:

Lenguaje común que describe el formato de los datos.

Documentos que recogen los distintos requerimientos funcionales de alto nivel que permiten la comunicación entre los IDS y entre los IDS y sus sistemas de gestión de incidentes.

Identificación y definición de los protocolos más apropiados para la comunicación entre IDS y para el establecimiento del formato de los datos.

Como resumen, en la siguiente tabla se muestran las distintas arquitecturas IDS y sus características principales:

Tipo de arquitectura IDS

Características

CIDF (Common Intrusion Detection Framework)

Consta de generador, analizador y base de datos de eventos además de unidades de respuesta ante la aparición de incidentes. Tuvo escasa aceptación en el mercado.

CISL (Common Intrusion Specification Language)

Está enfocado en la definición de las características de los eventos.

AusCERT

Herramienta de gran valor, ya que facilita información actualizada y detallada sobre las últimas amenazas y vulnerabilidades descubiertas en un sistema.

IDWG (Intrusion Detection Working Group)

Facilita el intercambio de información sobre los incidentes de seguridad y permite definir los protocolos y formatos de intercambio de información entre los IDS.

Actividades

4. Busque información adicional sobre las distintas arquitecturas de sistemas de detección de intrusos. ¿Cuál de ellas considera más adecuada para las organizaciones? Justifique su respuesta.

5. En este epígrafe se han mencionado varios motivos por los que se recomienda la implantación de un IDS en las organizaciones. ¿Echa en falta algún motivo adicional? Propóngalo y justifíquelo.

5. Relación de los distintos tipos de IDS/IPS por ubicación y funcionalidad

En este epígrafe se van a describir los distintos tipos de IDS/IPS por ubicación y funcionalidad distinguiendo entre los sistemas de detección de intrusiones (o IDS) y los sistemas de prevención de intrusiones (IPS).

5.1. Tipos de IDS

Atendiendo a su ubicación hay varios tipos de sistemas de detección de intrusos o IDS que se especificarán a continuación.

IDS basados en red (NIDS)

Los IDS basados en red detectan los ataques mediante la captura y análisis de los paquetes de la red. La gran mayoría de los IDS están basados en red. Una vez capturados y analizados los paquetes de la red, los IDS se encargan de buscar patrones que supongan algún tipo de ataque.

Los NIDS analizan el tráfico de toda la red examinando paquetes para buscar opciones no permitidas y diseñadas para no ser detectadas por los cortafuegos. Además, emite alertas cuando hay intentos de acceso o análisis externo de alguna vulnerabilidad del sistema.

Su funcionamiento consiste en:

Unos sensores o agentes que se sitúan en varios puntos de la red para monitorizar el tráfico buscando tráfico sospechoso. Lo habitual es que estos sensores analicen los paquetes en modo oculto para no ser descubiertos.

Una consola que recibe las alarmas emitidas por los sensores y que, atendiendo al tipo de alarma, producirá algún tipo de respuesta.

Un ejemplo de NIDS está reflejado en la imagen siguiente:

Como se puede observar, hay IDS (sensores) situados en varios puntos de la red que se encargan de monitorizar el tráfico que hay entre ellos. De este modo se pueden detectar las incidencias sucedidas a lo largo de toda la red del sistema y reaccionar ante ellas.

Hay una serie de ventajas de este tipo de IDS:

Detectan accesos no deseados en la red.

No requieren la utilización de un

software

adicional en los servidores para poder funcionar.

Son sistemas de fácil instalación y actualización.

Tienen un bajo impacto en la red al no intervenir en sus operaciones habituales.

Pueden monitorizar redes de grandes dimensiones siempre que haya capacidad suficiente para analizar todo su tráfico.

No obstante, los NIDS también conllevan una serie de desventajas:

A pesar de poder monitorizar redes grandes pueden presentar dificultades en su procesamiento y fallar en el reconocimiento de ataques producidos en momentos de elevado nivel de tráfico de red.

Los NIDS tienen dificultades para detectar los ataques con información cifrada.

Los NIDS se limitan a detectar los ataques lanzados, independientemente de si han tenido éxito o no, lo que implica que ante cada ataque detectado los administradores deben analizarlo uno a uno para comprobar el éxito o fracaso del mismo.

Pueden presentar problemas cuando tienen que detectar ataques que viajan en paquetes fragmentados.

Uno de los NIDS más utilizados es Snort, una herramienta que, además de facilitar la información de los paquetes de red, es diferenciada de las demás por suministrar información completa y precisa en el registro de actividades maliciosas de la red. Además, notifica a los administradores la detección de potenciales violaciones de la red. Como características principales destacan:

Dispone de más de 700 firmas en su base de datos.

Es de distribución gratuita.

Analiza el tráfico de la red en tiempo real.

Permite la utilización de filtros en la detección de ataques.

Página oficial del NIDS Snort

IDS basados en host (HIDS)

Los IDS basados en host o HIDS detectan las intrusiones a nivel de un equipo informático, analizando su tráfico para comprobar si ha habido algún tipo de alteración de los archivos del sistema operativo y para localizar actividades sospechosas. Fueron el primer tipo de IDS desarrollado e implementado.

Al trabajar sobre un equipo y no sobre el tráfico de la red ofrece una gran precisión en el análisis de las actividades, pudiendo detectar de un modo exacto los procesos y usuarios que han estado involucrados en un ataque en concreto dentro de un sistema operativo.

A diferencia de los NIDS, los IDS basados en host informan del resultado del ataque en cuanto a su éxito o fracaso. Además, también monitorizan los ficheros y los procesos del sistema atacado para una mejor detección y respuesta ante los ataques.

Sus funcionalidades principales se concretan en:

Análisis del tráfico sobre un servidor o sobre un equipo concreto.

Detección de los intentos de acceso, tanto fallidos como exitosos.

Detección de las modificaciones realizadas en archivos críticos.

Como ventajas importantes, los HIDS destacan por:

Detectan ataques que no pueden descubrir los NIDS al poder monitorizar los eventos locales del equipo o

host

.

Pueden operar y detectar ataques ante datos cifrados que circulan por la red porque analizan los datos en el

host

de origen antes de ser cifrados o los datos en el

host

de destino una vez ya han sido descifrados.

Facilitan información sobre el éxito o fracaso de los intentos de ataque.

Sin embargo, los IDS basados en host también cuentan con una serie de desventajas:

Suponen un coste mayor que los NIDS ya que hay que gestionarlos y configurarlos en cada

host

que se quiere monitorizar.

No son útiles cuando se pretende detectar ataques a toda una red, ya que los HIDS solo analizan los paquetes de red que entran en el

host

en el que están instalados.

Suponen un consumo de recursos del

host

al que monitorizan, lo que implica una disminución del rendimiento del sistema.

Si el

host

recibe un ataque y cae (como un ataque DoS), no generará ninguna alerta.

Recuerde