Privacidad de datos: Descripción general

Document created by RSA Information Design and Development on Apr 23, 2018
Version 1Show Document
  • View in full screen mode
 

En este tema se presenta el concepto y las consideraciones de implementación para un encargado de la privacidad de datos o un administrador que controlan la exposición de datos confidenciales en RSA NetWitness® Suite. Además, se incluye información sobre casos de uso recomendados.

Nota: Un plan de privacidad de datos es pertinente a la mayoría de los componentes de NetWitness Suite. La persona que configura la privacidad de datos debe comprender los componentes de red de NetWitness Suite, la configuración de hosts y servicios de NetWitness Suite como se describe en la Guía de introducción de hosts y servicios y los tipos de información que se deben proteger.

Las disposiciones normativas de algunos lugares, como la Unión Europea (UE), exigen que los sistemas de información cuenten con medios de protección de los datos confidenciales. Todos los datos que puedan identificar directa o indirectamente “quién hizo qué y cuándo” se pueden considerar datos confidenciales. Algunos ejemplos son nombres de usuario, direcciones de correo electrónico y nombres de host. NetWitness Suite ofrece una variedad de controles que los clientes pueden aprovechar para proteger los datos confidenciales. Estos controles se pueden usar en una variedad de combinaciones para proteger los datos confidenciales, sin que la funcionalidad analítica disminuya considerablemente.

Una función de usuario para un Encargado de la privacidad de datos (DPO) se agregó en NetWitness Suite 10.5 para apoyar la administración de datos confidenciales. El DPO puede configurar NetWitness Suite para limitar la exposición de metadatos y contenido crudo (paquetes y registros) mediante una combinación de técnicas. Entre los métodos disponibles para proteger los datos en NetWitness Suite se incluyen:

  • Ocultamiento de datos
  • Aplicación de la retención de datos
  • Registro de auditoría

Ocultamiento de datos

NetWitness Suite ofrece opciones configurables para el ocultamiento de datos. Los encargados de la privacidad de datos y los administradores pueden especificar qué claves de metadatos son confidenciales en su ambiente y limitar dónde se muestran los valores de metadatos y los datos crudos para ellas en la red de NetWitness Suite. En lugar de los valores originales, NetWitness Suite puede proporcionar representaciones ocultas para permitir la investigación y la analítica. Además, los DPO y los administradores pueden impedir la persistencia de valores de metadatos confidenciales y registros o paquetes crudos.

Tres métodos actúan en conjunto para implementar el ocultamiento de datos:

  • Ocultamiento de valores de metadatos para claves de metadatos confidenciales con un valor de sal opcional. Las claves de metadatos configuradas como protegidas se representan con valores ocultos en el momento de la creación en un Decoder o un Log Decoder. Se aplica hash a los valores ocultos y se considera que no es posible leerlos. Para implementarlo, debe configurar el algoritmo hash y el valor de sal de Decoder y Log Decoder, y configurar claves de idioma confidenciales como protegidas en todos los servicios principales.
  • Acceso basado en funciones (RBAC) a los registros o los paquetes crudos y los valores de metadatos confidenciales. El DPO puede usar funciones con funcionalidades de permisos granulares para restringir lo que puede ver un analista en comparación con un encargado de la privacidad de datos durante la configuración, el análisis y la investigación. En la Guía de administración de usuarios y seguridad del sistema se proporciona un análisis en profundidad de la implementación del RBAC en NetWitness Suite. Para implementarlo, debe configurar la visibilidad de metadatos y contenido por función en Brokers, Concentrators, Decoders, Log Decoders y Archivers individuales.
  • Impedimento de la persistencia de valores de metadatos confidenciales y registros o paquetes crudos. Para implementarlo, debe configurar como transitorias las claves de metadatos en los analizadores para Decoders y Log Decoders individuales.

Aplicación de la retención de datos

NetWitness Suite puede asegurarse de que los datos se conserven solo el tiempo que sea necesario o lo que se especifique. Un administrador puede configurar la retención de datos mediante el uso de umbrales de antigüedad y tiempo por servicio. Los programadores que se ejecutan en cada servicio eliminan automáticamente los datos que alcanzan esos umbrales. Cuando los datos se eliminan, dejan de estar disponibles a través de las interfaces del usuario, las consultas o las llamadas a la interfaz de programación de aplicaciones (API). Algunos de los componentes de NetWitness Suite también son compatibles con la depuración de datos por medio de sobrescrituras.

Un administrador puede administrar la retención de datos de varias maneras:

  • Configurar durante cuánto tiempo persisten los datos en el almacenamiento del sistema.
  • Para los servicios Core, quitar estratégicamente los datos confidenciales que se pueden haber escrito mediante la configuración de la eliminación automática de datos de una antigüedad específica.
  • ConfigurarNetWitness Suite de modo que los datos originales no se envíen ni se guarden en los otros componentes. Si los datos confidenciales llegan a otra base de datos en los servidores de Reporting Engine, Malware Analysis y Servidor de NetWitness, la retención de datos también se puede administrar ahí. Esta configuración para Event Stream Analysis se administra en la vista Explorador de servicios.

Nota: si se presenta una situación en la cual el DPO decide que los datos ya recopilados son confidenciales una vez que el sistema está funcional, el administrador puede sobrescribir manualmente los datos de las bases de datos o los archivos donde están guardados.

Registro de auditoría

Los administradores pueden aprovechar los registros de auditoría que crea NetWitness Suite mediante la función Registro de auditoría global. La función del registro de auditoría genera entradas del registro de auditoría acerca de muchas actividades y los siguientes son ejemplos de entradas del registro que son pertinentes a la privacidad de datos:

  • Modificaciones a permisos y usuarios asignados a funciones.
  • Intentos de inicio de sesión en NetWitness Suite fallidos y correctos y cierres de sesión.
  • Eliminación de datos.
  • Exportaciones y descargas de datos.
  • Navegación de usuarios a interfaces del usuario y consultas que realizaron los usuarios.
  • Intentos (satisfactorios o no) de ver o modificar datos confidenciales, incluida una identificación del usuario que hizo los intentos.

Todas las entradas del registro de auditoría son parte de una pista de auditoría estándar para NetWitness Suite. Los administradores pueden configurar NetWitness Suite de modo que reenvíe registros de auditoría a un destino especificado, incluidos sistemas de otros fabricantes, para proporcionar funcionalidades adicionales de filtrado y creación de informes. Para obtener más información acerca del registro de auditoría global, consulte Configurar el registro de auditoría global en la guía Configuración del sistema.

Componentes que cubre la función de privacidad de datos

En la siguiente figura se identifican con una marca de verificación verde los componentes de NetWitness Suite que cubre la función de privacidad de datos de 10.5 o superior. Las funciones de privacidad de datos no son compatibles con los componentes marcados con una X. La NetWitness Suite Guía de introducción proporciona una descripción funcional de componentes de NetWitness Suite.

Nota: las funciones de privacidad de datos de NetWitness Suite no son compatibles con Warehouse, ya que este puede recibir metadatos protegidos a través de Warehouse Connector, a menos que se configure explícitamente su filtrado mediante filtros de metadatos de Warehouse Connector. Si los metadatos protegidos llegan a Warehouse, los usuarios que tienen acceso directo a él pueden consultarlos. Los encargados de la privacidad de datos deben impedir esto mediante controles administrativos, técnicos y procedimentales fuera de NetWitness Suite.

Implementación de las funciones de privacidad de datos por componente

En la siguiente tabla se identifican las funciones de privacidad de datos compatibles con cada componente de NetWitness Suite. Para cada componente, una marca de verificación indica si el componente es compatible con el ocultamiento de datos, la aplicación de la retención de datos, la sobrescritura de datos y el registro de auditoría.

                                                                                                         
ComponenteOcultamiento de datosAplicación de la retención de datos Sobrescritura de datosRegistro de auditoría
Recopilación
Decoder marca de verificación
Log Decoder
Agregación de metadatos
Concentrator
BrokerN/D (almacenado únicamente en la caché de DPO)1 
Analítica en tiempo real  
Investigation (almacenado únicamente en la caché de DPO)2 
Event Stream Analysis   
Malware Analysis  
Respond  
Reporting
Reporting Engine  
Analítica a largo plazo
Archiver (sin comprimir)3
Warehouse    

Notas:
1. Los Brokers pueden almacenar datos en caché, los cuales se deben borrar mediante la configuración de una transferencia independiente y de otra forma de eliminación de la caché según sea necesario. El administrador puede configurar la transferencia de la caché para un Broker mediante el programador en la pestaña Archivos de la vista Configuración de servicios.
2. Datos de la caché de Investigation y del Servidor de NetWitness, los cuales se borran automáticamente cada 24 horas.
3. El procedimiento de sobrescritura que se describe en Configurar retención de datos se aplica a los datos sin comprimir.

Reglas de configuración específicas de los componentes

Los componentes y los módulos de NetWitness Suite que obtienen acceso a metadatos confidenciales y a sus equivalentes ocultos son Investigation, Event Stream Analysis (ESA), Malware Analysis, Respond y Reports. Obtienen acceso a los datos en función de los permisos definidos para la función a la cual pertenece el usuario. El administrador o el DPO configuran cada Decoder o Log Decoder para identificar claves de metadatos marcadas para ocultamiento.

Estos componentes tienen reglas adicionales que permiten verificar el funcionamiento esperado con un esquema de privacidad de datos:

  • Event Stream Analysis. Cuando ESA recibe datos confidenciales de NetWitness Suite Core, solo transmite la versión oculta de los datos. ESA no almacena ni muestra datos protegidos. Existen algunas reglas adicionales para configurar reglas de EPL avanzado y orígenes de enriquecimiento (las cuales se describen en el tema Datos confidenciales de la guía Alertas mediante ESA). Vaya a la Tabla maestra de contenido para la versión 11.0 para buscar los documentos de NetWitness Suite 11.0.
  • Malware Analysis. Malware Analysis hace referencia a ciertas claves de metadatos durante el puntaje, incluidas alias.host, client y otras. Para asegurarse de que no se pierda funcionalidad analítica, Malware Analysis se debe configurar como un cliente de confianza; es decir, se debe configurar de modo que se conecte a la infraestructura de NetWitness Suite Core con una cuenta equivalente a un usuario con la función de DPO. De lo contrario, si las claves de metadatos a las cuales hace referencia Malware Analysis se etiquetan para ocultamiento y Malware Analysis no puede acceder a ellas, algunos de los indicadores de riesgo (IOC) pueden volverse ineficaces.
  • Servicio servidor de Respond. Servicio servidor de Respond usa un archivo de mapeo de privacidad de datos para mostrar datos ocultos en alertas (consulte el tema Ocultar datos privados en la guía del usuario de Respond) y tiene un período de retención de datos configurable para las alertas (consulte el tema Configurar un período de retención para alertas e incidentes en la guía del usuario de Respond). Vaya a la Tabla maestra de contenido para la versión 11.0 para buscar los documentos de NetWitness Suite 11.0.
  • Informes. En Reporting Engine, cada servicio Core se agrega como dos orígenes de datos por separado con el uso de las dos cuentas de servicio por separado; un origen de datos tiene una cuenta de servicio que representa a la función Encargado de la privacidad de datos y el otro, una cuenta de servicio que representa a una función distinta a Encargado de la privacidad de datos. En el tema Configurar la privacidad de datos para Reporting Engine de la Guía de configuración de Reporting Engine se proporcionan procedimientos para configurar la privacidad de datos para Reporting Engine. Vaya a la Tabla maestra de contenido para la versión 11.0 para buscar los documentos de NetWitness Suite 11.0.
You are here
Table of Contents > Descripción general de la privacidad de datos

Attachments

    Outcomes