Categories: CortafuegosSeguridad

Detección de intrusiones basada en eventos de seguridad de Windows

Cuando se habla de detección de intrusos existe cierta deformación profesional a centrarse en los NIDS, basados en el análisis de tráfico, pese a que los IDS a nivel de hosts (HIDS) son más veteranos. El éxito de los NIDS puede deberse, entre otros factores, a su facilidad de configuración e instalación, o al hecho de que pueden abarcar a varios hosts desde un sólo punto de la red de forma transparente para los sistemas.

Sin embargo los NIDS tienen una serie de debilidades intrínsecas, como por ejemplo el hecho de que no pueden analizar el tráfico cifrado, de manera independiente al volumen de notificaciones y falsos positivos que suele ser una queja recurrente pero abordable con un “tunning” adecuado.

En este punto los HIDS se presentan como una tecnología complementaria muy recomendable que junto a los NIDS permiten implantar soluciones híbridas, y de esta forma proporcionar un mayor control al cubrir varias capas con diferentes recursos y enfoques.

Particularmente, en mi experiencia en Hispasec, he dedicado más tiempo al campo de las soluciones HIDS por su íntima relación con un área que me toca de lleno como es la detección proactiva del malware.

Uno de los principales temores iniciales de las grandes empresas cuando se abordan los HIDS es el costo, en todos los sentidos, de desplegar agentes en un parque importante de máquinas típicamente basadas en Windows.

La realidad es que es posible diseñar sistemas IDS básicos, pero no por ello menos efectivos, sin recurrir a agentes y soluciones de terceros, basándose en la centralización y correlación de los propios eventos de Windows.

El hecho de que Microsoft desarrolle sistemas operativos fáciles de usar parece que se les vuelve en contra en ocasiones, y es que el grado de abstracción con el que es posible administrar sus sistemas tiene el efecto colateral de que no exige profundizar en sus interioridades y posibilidades. Por lo que en muchas ocasiones, en el mejor de los casos, no se explota el potencial real que pueden llegar a ofrecer.

La solución no es que Microsoft vuelva a la línea de comandos y a que tengamos que editar archivos de configuración para lanzar los servicios, sino que, por la parte que nos toca a los técnicos, y a los departamentos de recursos humanos y formación de las empresas, se dediquen mayores esfuerzos de cara a la especialización.

Volviendo al tema que nos ocupaba, Microsoft ha publicado un interesante documento que, aunque de forma básica, aborda la planificación de sistemas de monitorización de seguridad y detección de ataques en sistemas Windows. Desde la recopilación y filtrado de logs a través de Event Comb MT y MOM así como referencias a soluciones de terceros más especializadas, pasando por una descripción de los eventos más críticos a la hora de monitorizar la seguridad de Windows y aspectos generales de la planificación.

The Security Monitoring and Attack Detection Planning Guide (PDF) http://go.microsoft.com/fwlink/?LinkId=41310

Redacción

Recent Posts

Google paga 5.000 millones de dólares para resolver una demanda colectiva

Los usuarios denunciaban que la compañía los había rastreado incluso cuando usaban el modo privado…

11 meses ago

Las pymes valencianas pueden optar a ayudas de 5,5 millones de euros por proyectos de I+D

El Instituto Valenciano de Competitividad Empresarial financiará aquellas iniciativas que puedan solucionar incertidumbres científicas o…

11 meses ago

La guerra entre Israel y Gaza no acobarda a los inversores extranjeros de startups

Solo en el cuarto trimestre las empresas emergentes del país han levantado 1.500 millones de…

11 meses ago

Navarra ya cuenta con más de 80 startups

La región tiene 13 scaleups y destaca por sus empresas emergentes de salud y agrotech.

11 meses ago

Las startups valencianas progresaron adecuadamente en 2023

Valencia ha atraído en el primer semestre del año 30 millones de euros de inversión…

11 meses ago

El New York Times acusa a Open AI y Microsoft de infringir sus derechos de autor

El diario estadounidense demanda a las dos compañías tecnológicas por haber usado sus contenidos para…

11 meses ago