Detección de intrusiones basada en eventos de seguridad de Windows

Cuando se habla de detección de intrusos existe cierta deformación profesional a centrarse en los NIDS, basados en el análisis de tráfico, pese a que los IDS a nivel de hosts (HIDS) son más veteranos. El éxito de los NIDS puede deberse, entre otros factores, a su facilidad de configuración e instalación, o al hecho de que pueden abarcar a varios hosts desde un sólo punto de la red de forma transparente para los sistemas.

Sin embargo los NIDS tienen una serie de debilidades intrínsecas, como por ejemplo el hecho de que no pueden analizar el tráfico cifrado, de manera independiente al volumen de notificaciones y falsos positivos que suele ser una queja recurrente pero abordable con un “tunning” adecuado.

En este punto los HIDS se presentan como una tecnología complementaria muy recomendable que junto a los NIDS permiten implantar soluciones híbridas, y de esta forma proporcionar un mayor control al cubrir varias capas con diferentes recursos y enfoques.

Particularmente, en mi experiencia en Hispasec, he dedicado más tiempo al campo de las soluciones HIDS por su íntima relación con un área que me toca de lleno como es la detección proactiva del malware.

Uno de los principales temores iniciales de las grandes empresas cuando se abordan los HIDS es el costo, en todos los sentidos, de desplegar agentes en un parque importante de máquinas típicamente basadas en Windows.

La realidad es que es posible diseñar sistemas IDS básicos, pero no por ello menos efectivos, sin recurrir a agentes y soluciones de terceros, basándose en la centralización y correlación de los propios eventos de Windows.

El hecho de que Microsoft desarrolle sistemas operativos fáciles de usar parece que se les vuelve en contra en ocasiones, y es que el grado de abstracción con el que es posible administrar sus sistemas tiene el efecto colateral de que no exige profundizar en sus interioridades y posibilidades. Por lo que en muchas ocasiones, en el mejor de los casos, no se explota el potencial real que pueden llegar a ofrecer.

La solución no es que Microsoft vuelva a la línea de comandos y a que tengamos que editar archivos de configuración para lanzar los servicios, sino que, por la parte que nos toca a los técnicos, y a los departamentos de recursos humanos y formación de las empresas, se dediquen mayores esfuerzos de cara a la especialización.

Volviendo al tema que nos ocupaba, Microsoft ha publicado un interesante documento que, aunque de forma básica, aborda la planificación de sistemas de monitorización de seguridad y detección de ataques en sistemas Windows. Desde la recopilación y filtrado de logs a través de Event Comb MT y MOM así como referencias a soluciones de terceros más especializadas, pasando por una descripción de los eventos más críticos a la hora de monitorizar la seguridad de Windows y aspectos generales de la planificación.

The Security Monitoring and Attack Detection Planning Guide (PDF) http://go.microsoft.com/fwlink/?LinkId=41310