En uno de mis primeros post en este blog, hablaba sobre los sistemas de consolidación de logs y sobre el potencial que podían llegar a tener. Hoy retomo este tema con la satisfacción de ver que mis pronósticos no iban muy desencaminados.
Como exponía en su momento, los sistemas de consolidación de logs tienen un gran potencial. Y aunque hasta el momento se han vendido como motores de correlación de eventos de seguridad, hoy retomo el tema con un ejemplo en el que, como dice el título, el negocio se ha abierto camino.
El caso es sencillo. Una organización que dispone de una herramienta de consolidación de logs. Inicialmente, en ella se replicaban los logs de firewalls, antivirus e IDSs. Vamos, el caso clásico. Pero, desde el punto de vista de la seguridad, a alguien se le ocurrió que también podían consolidar en esa máquina los logs de otros sistemas en los que la seguridad era importante, como el servidor web. O mejor dicho, el cluster de servidores web. Así, se podría llegar a ver el rastro de un ataque que consiguiera llegar hasta el servidor. Así que introdujeron este servidor en el sistema de consolidación de logs. Pero como la visión que ofrecía era incompleta, decidieron introducir también el resto de las capas que daban el servicio web, es decir, el motor de aplicaciones y la base de datos.
Pero resulta que un buen día, y aunque no se había detectado ningún ataque, la aplicación web tuvo un fallo importante. Algo andaba mal... y no estaba muy claro por qué. Un montón de gente estudiando el problema... y nada. Hasta que a alguien se le ocurrió ponerse a revisar logs. Una tarea ardua, porque cada sistema tenía los suyos. Pero... Un momento! Si en el sistema de consolidación de logs están todos juntos! ¿Por qué no intentamos utilizarlo?
Dicho y hecho. En cinco minutos disponían de todos los logs que necesitaban, y en otros diez habían dado con la solución. Eureka! No habían localizado un ataque, pero habían traducido todos los datos que tenían los logs en información útil para identificar el fallo en la aplicación. ¿Por qué no aprender la lección? En unos meses, todos los sistemas críticos estaban integrados en el sistema de consolidación de logs. Y también los entornos de desarrollo y pre-producción.
¿Cuál es la situación actual? La mayor parte de los usuarios de ese sistema son usuarios del área de desarrollo, ya que les permite realizar de forma sencilla y rápida seguimientos y análisis del funcionamiento de sistemas distribuídos y dispersos, que en otro caso serían tediosos o inasumibles. ¿Cuál es la lección aprendida? Que a la hora de la verdad, seguridad y negocio no son elementos tan distantes e irreconciliables como puede parecer. Sencillamente, hay que aprender a transformar los sistemas y recursos "de seguridad" en sistemas y recursos "de negocio". Tener la mente abierta...
Suscribirse a:
Enviar comentarios (Atom)
3 comentarios:
Recomendas algun software en especial para la gestion de los logs?. Saludos,
Pregunta interesante... Aunque me temo que no voy a responder directamente a la pregunta. Prefiero no recomendar ningún software en particular, por dos motivos:
* Prefiero no hacer "propaganda" de ningún fabricante. Mi intención es que este blog sea imparcial, al menos en lo que a mercado se refiere.
* Cada fabricante tiene sus puntos fuertes y débiles. Cada uno apuesta más por unas funcionalidades frente a otras, y sin establecer previamente criterios de valoración y priorización cualquier opinión al respecto es igualmente válida.
Ahora bien, si el objetivo es seleccionar un producto frente a otro, hay que tener en cuenta aspectos como:
- Qué funcionalidades me interesan. Tanto a nivel de seguridad como pensando en alinear el producto con el negocio. Tenemos que tener nuestros requisitos muy claros.
- Qué me ofrece el fabricante, y con qué garantías. No sólo en cuanto a funcionalidades "teóricas" de datasheet, sino también a nivel práctico.
- Qué perspectivas de futuro ofrece el producto. Con estos productos, de coste elevado y periodo de amortización largo, las evoluciones y el ciclo de mejoras y parches del fabricante puede ser fundamental, tanto por nuevas funcionalidades que me puedan interesar como por garantías de estabilidad del producto.
- Qué soporte me ofrecen. Clave para lograr un adecuado tunning, y una personalización efectiva. Y siempre será necesario un teléfono al que recurrir cuando tengamos problemas o dudas.
En definitiva, se trata de evaluar quién es el que realmente se adapta mejor a mis necesidades. No a nivel formal (todos dirán que lo hacen) si no a nivel práctico. Lo más difícil es tener claros los requisitos. Pero a partir de ahí, y si realmente piensas en adquirir algún producto, podrás conseguir incluso que todos ellos te monten una pequeña maqueta con la que puedas evaluar el grado de idoneidad de cada producto. Pero, eso sí, con visión de futuro...
De acuerdo, de acuerdo... :-)
Ya que veo que hay interés en el tema, acepto el "reto" de publicar un post independiente con algún tipo de comparativa. Aunque no me comprometo en lo referente a las fechas de publicación!
Saludos a todos, y gracias por el interés.
Publicar un comentario