Reglas Yara, el camino más seguro de automatización

Los datos del registro son heterogéneos, y tienen una lógica que obedece a ciertas reglas de negocio.

Pueden provenir de fuentes variadas, como dispositivos de red, servidores y estaciones de trabajo Windows, bases de datos, paquetes IP, aplicaciones y firewalls.

Mientras que las cachés de registro son indispensables cuando se trata de solucionar un ataque, el análisis de registro cuidadoso es aún más crítico porque puede ayudar a prevenir ataques en primer lugar.

Aquí es dónde las soluciones de monitoreo de registro e SIEM (seguridad y gestión de eventos) son indispensables para el rescate de la información.

El software de monitoreo de registros automatiza el proceso de auditoría de grandes cantidades de datos.

Proporciona señales reveladoras de brechas de seguridad potenciales desde una consola central. Generar informes de cumplimiento para SOX, GLBA, PCI DSS, HIPAA, FISMA, etc. también es mucho más fácil usando plantillas predefinidas, en un marco normativo claro.

INTELIGENCIA PROACTIVA

Además, puede fortalecer su inteligencia de amenazas e incluir fuentes de código abierto para identificar la lista negra global de direcciones IP.

Esto se logra utilizando sistemas de informes en tiempo real que envían alertas a través de texto o correo electrónico cada vez que se detecta una IP dudosa.

Emplear una solución para analizar datos de registro es un gran punto de partida para mantener las vulnerabilidades de seguridad a raya.

Habitualmente podemos llegar a casos en los cuales no basta con identificar solamente cadenas de caracteres, ya que puede darse lugar a que se incremente la cantidad de falsos positivos que queremos identificar.

En este punto resulta mucho más útil identificar características particulares en el código de cada familia y a partir de esto generar reglas que faciliten mucho más el análisis.

En este caso las reglas Yara se han convertido en una herramienta fundamental para los equipos de seguridad de las diferentes compañías, automatizando de forma inteligente la identificación de amenazas, que afectan la seguridad general del negocio.

 

Por Luis V. Sintes Martinez Analista de Seguridad – Vintegris