El análisis de archivos de logs (bitácoras) de eventos de aplicaciones tiene que ver con las fases de desarrollo y mantenimiento de software. Es útil para comprobar que el software se ajusta a las especificaciones. Los logs generados por las aplicaciones o tambien por algunas herramientas de monitoreo son sujetos de análisis para extraer información que puede ser útil en una investigación.
En computación un archivo de log (bitácora) es un archivo que registra todos los eventos que ocurren en un sistema operativo o algún otro tipo de software. Los logs proveen una panorámica de lo que sucede dentro de un sistema.
Los archivos de logs pueden usarse en el evento de un fallo, para sacar estadísticas, y también para backup y recuperación.
el análisis de logs ayuda a la optimización o depuración del desempeño de un sistema. Los datos del log pueden usarse para provisionar y hacer predicciones hacia el futuro. Otro uso del análisis de logs es crear un perfil de uso de los sistemas, crear un perfil de utilización de recursos, de carga de trabajo, y de comportamiento del usuario.
Los logs también se usan para aplicaciones de seguridad como detección de brechas, comportamiento anómalo y desempeño. Dependiendo del sistema y del modelo de amenaza, log de todo tipo son susceptibles de análisis de seguridad: logs de firewalls, inicios de sesión, llamadas a sistema, flujos de red, etc.
El análisis de logs para seguridad puede ser basado en signatura ser basado en anomalías. En el basado en signatura, detecta un comportamiento específico que se sabe que es malicioso, mientras que el el basado en anomalías busca una desviación del comportamiento específico e identifica esta como sospechosa.
Los métodos de signatura pueden detectar ataques que coinciden con signaturas conocidas. Los métodos de anomalías, por otra parte, enfrentan la dificultad de establecer el umbral determinado para llamar a una anomalía sospechosa.
Una vulnerabilidad es tipo de bug que puede ser utilizado por un atacante para alterar la operación de un programa de software de forma maliciosa. La principal fuente de estos bugs son insuficientes habilidades de programación o la falta de conciencia de la seguridad. Las vulnerabilidades existen en sistemas operativos, aplicaciones y hardware.
- Estas tareas demandan un alto nivel de conocimiento y experiencia y son altamente demandantes en tiempo si se realizan manualmente.
- Las tareas de análisis son difíciles de automatizar porque no existe una metodología comúnmente usada para almacenar y clasificar el conocimiento experto.
- Se complica aún más cuando se requiere correlacionar información extraída de diferentes ubicaciones en el mismo archivo de log o en múltiples archivos.
Qué son los logs?
En computación un archivo de log (bitácora) es un archivo que registra todos los eventos que ocurren en un sistema operativo o algún otro tipo de software. Los logs proveen una panorámica de lo que sucede dentro de un sistema.
Los archivos de logs pueden usarse en el evento de un fallo, para sacar estadísticas, y también para backup y recuperación.
el análisis de logs ayuda a la optimización o depuración del desempeño de un sistema. Los datos del log pueden usarse para provisionar y hacer predicciones hacia el futuro. Otro uso del análisis de logs es crear un perfil de uso de los sistemas, crear un perfil de utilización de recursos, de carga de trabajo, y de comportamiento del usuario.
Los logs también se usan para aplicaciones de seguridad como detección de brechas, comportamiento anómalo y desempeño. Dependiendo del sistema y del modelo de amenaza, log de todo tipo son susceptibles de análisis de seguridad: logs de firewalls, inicios de sesión, llamadas a sistema, flujos de red, etc.
El análisis de logs para seguridad puede ser basado en signatura ser basado en anomalías. En el basado en signatura, detecta un comportamiento específico que se sabe que es malicioso, mientras que el el basado en anomalías busca una desviación del comportamiento específico e identifica esta como sospechosa.
Los métodos de signatura pueden detectar ataques que coinciden con signaturas conocidas. Los métodos de anomalías, por otra parte, enfrentan la dificultad de establecer el umbral determinado para llamar a una anomalía sospechosa.
Vulnerabilidad y exploit
Una vulnerabilidad es tipo de bug que puede ser utilizado por un atacante para alterar la operación de un programa de software de forma maliciosa. La principal fuente de estos bugs son insuficientes habilidades de programación o la falta de conciencia de la seguridad. Las vulnerabilidades existen en sistemas operativos, aplicaciones y hardware.
Un exploit es un ataque a un sistema computacional, en especial uno que
toma ventaja de una de las vulnerabilidades que el sistema ofrece al
intruso. Un exploit es una entrada real que activa la vulnerabilidad con
intención maliciosa y consecuencias devastadoras. El término exploit es
utilizado comúnmente para describir un programa de software que ha sido
desarrollado para atacar un objetivo tomando ventaja de sus
vulnerabilidades. El objetivo de muchos exploits es ganar control sobre
un botín. Por ejemplo, un exploit exitoso sobre una base de datos puede
proveer al atacante acceso a todos los registros de la base de datos.
El uso exitoso de los exploits de este tipo se denomina data breach - brecha de datos. Los exploits también atacan los sistemas operativos para ganar administración remota o privilegios de ejecución en un laptop o en un servidor.
En nuestro próximo artículo de esta serie hablaremos un poco más de estas signaturas de vulnerabilidad y cómo se utilizan en el análisis de logs.
El uso exitoso de los exploits de este tipo se denomina data breach - brecha de datos. Los exploits también atacan los sistemas operativos para ganar administración remota o privilegios de ejecución en un laptop o en un servidor.
En nuestro próximo artículo de esta serie hablaremos un poco más de estas signaturas de vulnerabilidad y cómo se utilizan en el análisis de logs.
No hay comentarios.:
Publicar un comentario