Estados Unidos lançam guia de boas práticas para event logging e threat detection

O documento intitulado de "Best Practices for Event Logging and Threat Detection" foca-se em event logging e threat detection com registo detalhados de técnicas de LOTL (living-of-the-land) utilizadas por cibercriminosos, de forma a destacar a importância de melhores práticas de segurança na prevenção das ameaças.

As orientações foram concebidas por diversas agências governamentais em vários países incluindo Estados Unidos e o Reino Unido e é destinado a empresas de média e grande dimensão.

“O desenvolvimento e a implementação de uma política de logging aprovada por uma empresa melhora as possibilidades dessa organização detetar comportamentos maliciosos nos seus sistemas e reforça um método consistente de logging em ambientes da empresa”, lê-se no documento.

As políticas de logging devem considerar as responsabilidades que são partilhadas entre as organizações e os fornecedores de serviços, os detalhes dos eventos que precisam de ser logged, os meios de logging que se devem utilizar, a monitorização de logging, a duração da retenção e os detalhes de reavaliação da recolha de registos.

O documento ainda refere que os event logs são úteis para enriquecer a “habilidade de uma rede de segurança para avaliar os eventos de segurança e identificar se serão falsos ou verdadeiros positivos. A implementação de logging de alta qualidade pode ajudar os responsáveis de defesa das redes a descobrir as técnicas de LOTL destinadas a parecerem inofensivas por natureza”.

As entidades reguladoras incentivam a adoção de formatos de log estruturados, como JSON, para estabelecer uma marca temporal precisa e confiável. A retenção destes logs por um período mínimo de 18 meses é crucial para a condução de investigações eficazes em casos de incidentes de segurança.