Joven hacker sonriendo

Cero falsos positivos

Inteligencia experta + automatización eficaz

REQ.075 Registrar eventos en bitácoras

En el presente documento se detallan los requerimientos de seguridad relacionados con las bitácoras que registran eventos relevantes. En este requerimiento se establece la importancia de registrar todos los eventos excepcionales en una o varias bitácoras.

Requisito

El sistema debe registrar todos los eventos excepcionales y de seguridad en bitácoras.

Descripción

La organización debe registrar apropiadamente los eventos excepcionales y de seguridad en bitácoras debidamente protegidas (confidencialidad), pensando que un evento de este tipo no debe mostrar información confidencial o detallada del problema en mensajes de error para prevenir el uso de esa información de parte de un atacante o usuario malintencionado. Registrar eventos permiten que las páginas de error muestren mensajes genéricos simples, alertando a los usuarios finales que un error ha ocurrido, con alguna opción de contactar a soporte. El detalle de cómo atender estos problemas debe mantenerse seguramente almacenado en un almacenamiento de bitácoras previamente definido. Cuando un evento de estos tipos no es apropiadamente registrado un comportamiento malicioso puede probarse difícil de detectarse o se puede llegar a entorpecer un análisis forense en caso tal que un ataque sea exitoso.

Implementación

  1. Utilizar un mecanismo de registro en bitácoras centralizado que soporte varios niveles de detalle. Asegúrese que todos los eventos relacionados a éxitos y fallos sean registrados.

  2. Asegúrese que el nivel de registro en bitácoras sea configurado apropiadamente para los ambientes de producción. Debe registrarse suficiente información como para permitir a un administrador de sistema detectar ataques, diagnosticar errores y recuperarse de ataques. Al mismo tiempo registrar demasiada información puede causar los mismos problemas (CWE-779).

Ataques

  1. En el caso que la información crítica de seguridad no sea registrada, un atacante puede realizar un ataque que no dejará rastro durante un análisis forense, por lo tanto descubrir la causa del problema o el origen de uno o varios ataques puede probar ser muy difícil o imposible.

Atributos

  • Capa: Capa de Aplicación

  • Activo: Bitácoras

  • Alcance: Responsabilidad

  • Fase: Operación

  • Tipo de Control: Procedimiento

Referencias

  1. OWASP - CodeReview-Error-Handling.

  2. OWASP - Proactive Controls.

  3. OWASP - Exception Handling.

  4. CWE - Insufficient logging.

  5. HIPAA Security Rules 164.312(b): Auditorías de Control: Implementar hardware, software y/o mecanismos procedimentales que registren y examinen la actividad en sistemas de información que contienen o utilizan información sensible protegida electrónicamente.

  6. OWASP-ASVS v3.1-8.3 Verificar que los controles de registro de seguridad registren eventos exitosos y fallidos identificables como relevantes para la seguridad del sistema.


Estado de los servicios - Términos de Uso