Para la mayoría de las organizaciones de nivel empresarial, el número cada vez mayor y la gravedad paralizante de los incidentes de violación de datos en los últimos años ha llevado a un fuerte aumento en sus costos de seguridad cibernética.
En medio de la compulsión de invertir en la tecnología más sofisticada lo más rápido posible, se ha vuelto cada vez más importante comprender qué soluciones existen y si son adecuadas.
Uno de los sectores de productos de seguridad de más rápido crecimiento son las herramientas de análisis del comportamiento del usuario, como la información de seguridad y la gestión de eventos (SIEM), que recopilan datos de eventos y registros de autenticación para determinar una línea base de actividad normal y luego usan esta línea base para detectar usuarios malintencionados. comportamiento y otras anomalías. (Para obtener más información sobre la seguridad, consulte Más allá de la gobernanza y el cumplimiento: por qué es importante el riesgo de seguridad de TI).
Si las analogías ayudan, piense en un monitor de UCI donde la observación continua desde una pantalla central ayuda a identificar anomalías que a su vez activan alertas y luego inician inmediatamente una acción correctiva. Y de forma similar a la colocación de electrodos en la piel de un paciente para crear un conducto para el gasto cardíaco, los agentes se utilizan como middleware para establecer una conexión con el servidor y crear una ruta para la transmisión de datos a un Virtual Log Collector (VLC).
Para las empresas que podían permitírselo, la noticia de esta tecnología fue una bendición en la década de 1990, cuando el tsunami de registros causado por los sistemas de detección y prevención de intrusiones creó un enorme vacío para los sistemas de administración de registros. Hoy, sin embargo, las herramientas SIEM han recorrido un largo camino desde los sistemas centrados en registros que estaban destinados principalmente a la gestión de registros, y también lo han hecho los costos de implementarlos.
En los últimos años, la tecnología SIEM se ha vuelto más avanzada, con funciones como la captura de paquetes sin procesar y metodologías de aprendizaje automático, como la correlación de eventos, para ayudar a identificar amenazas que normalmente eluden los controles preventivos. «Pasar a la detección continua de ataques y la protección adecuada es un viaje, y SIEM es un habilitador clave en ese proceso», dice Lalit Ahluwalia, directora de seguridad para el sector público de América del Norte en Accenture.
Para que cualquier empresa implemente SIEM, debe pasar por una fase exhaustiva de recopilación de requisitos en la que se documenten todas las rutas de registro de eventos relacionadas con la seguridad producidas por sus dispositivos críticos, incluidos los dispositivos de red, VoIP, seguridad y administración de sistemas. .
Una vez completados, los agentes de middleware se configuran para enviar esos registros a un VLC, que captura paquetes de datos sin procesar y los distribuye a un host de amenazas cibernéticas que facilita la detección y prevención de amenazas mediante algoritmos de análisis de comportamiento y un sistema de monitoreo de alertas.
Sin embargo, los costos de implementación y capacitación son solo una parte de la ecuación. El monitoreo continuo es la otra parte.
La segunda mitad
La empresa cliente necesitará personal dedicado, como ingenieros y arquitectos de seguridad de la información, para garantizar que se envíen nuevos registros al agente, se actualicen los filtros para reducir los falsos positivos, se ajuste constantemente el rendimiento, se supervise el espacio en disco y se equilibre la carga. las soluciones se implementan cuando la red comienza a pedir a gritos más ancho de banda.
Perspectiva de la nube
Uno de los principales factores que determinan el costo de implementación de un SIEM para una empresa es si elige utilizar un servicio en la nube (SIEMaaS). A medida que más empresas se pasan a IaaS, SaaS y PaaS, tiene más sentido tener tecnología para integrarse con ella, o al menos la opción si es necesario.
Cuando una solución se vuelve más escalable, es probable que sea más barata y más rápida de implementar que la alternativa. Sin embargo, en comparación con una solución local, la conectividad con otros dispositivos puede no ser tan sencilla.
Aunque depende del plan de copia de seguridad del proveedor de servicios, SIEMaaS probablemente proporcionaría una seguridad de copia de seguridad más fiable en caso de conmutación por error, ya que es más probable que un servicio en la nube accesible permanezca activo mientras un centro de datos aislado deja de funcionar. Por otro lado, si la interrupción es causada por el proveedor de servicios en la nube, la empresa cliente podría terminar con mucha anarquía técnica en sus manos.
Algunos expertos creen que exponer SIEM a la nube podría aumentar la superficie de ataque de una organización a medida que su plataforma de red se vuelva menos aislada. Sin embargo, Rahim Karmali, arquitecto de soluciones de seguridad de Hewlett Packard Enterprises, cree que nada más lejos de la realidad. “Son los puntos de entrada de los que debe preocuparse: móvil, tableta, computadora portátil, etc. Muy a menudo, esos dispositivos flotan en redes que pueden no ser seguras”.
Ventajas (SIEM en general)
Dejando a un lado las perspectivas de la nube, lo que es evidente es que una organización está mejor con un SIEM que sin uno. Muchos requisitos de informes de cumplimiento estándar, como los de la Ley de responsabilidad y portabilidad de seguros y salud (HIPAA), el Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) y la Ley Sarbanes-Oxley (SOX), se cumplen a través de una recopilación centralizada. de diarios
La gestión de incidentes se vuelve mucho más eficiente porque nadie revisa manualmente los registros para encontrar la ruta del atacante a través de la red o todos los hosts y servidores en el vector de ataque; en cambio, el sistema SIEM identifica y correlaciona estos eventos, a vista de pájaro, y luego reconstruye la secuencia de eventos para determinar la naturaleza del ataque.
«Sirve como una herramienta de alerta con la capacidad de identificar con precisión eventos sospechosos mediante la correlación de información de registro de aplicaciones, bases de datos, sistemas operativos, redes y dispositivos de seguridad», dice Ahluwalia.
Los ataques graves ya no están aislados y los eventos se pueden distribuir en varios sistemas para evitar la detección. Sin un SIEM implementado, los eventos maliciosos pueden propagarse como la pólvora.
Algunos productos SIEM también tienen la capacidad de detener ataques enviando alertas a otros controles de seguridad, como firewalls y sistemas de prevención de intrusiones. «Las empresas ya no pueden adoptar un enfoque reactivo frente a cosas como el malware y el ransomware», dice Karmali. «Necesitan un sistema que proporcione información útil». (Para obtener más información sobre seguridad, consulte El cifrado simplemente no es suficiente: 3 verdades críticas sobre la seguridad de los datos).
Contras (SIEM en general)
SIEM automatiza muchas actividades en las que una empresa gastaría horas de trabajo manual, pero también requiere un nuevo conjunto de habilidades para mantener la eficiencia. Una empresa cliente requeriría la participación activa de todos los departamentos para garantizar que se envíen los registros correctos al agente, ya que los motores de correlación funcionan de manera más eficiente cuando no buscan datos irrelevantes o falsos positivos. Cuanto más grande sea la organización, mayor será la tendencia de sus registros a abrumar el sistema SIEM.
Además, si bien la tecnología SIEM ha logrado grandes avances desde su creación en 1996, no es un sistema independiente. Se necesita una combinación de «personas, procesos y tecnología», dice Karmali.
La eficiencia óptima generalmente se logra cuando los sistemas SIEM se combinan con firewalls, sistemas de detección/prevención de intrusiones, aplicaciones antimalware y otros controles.
Conclusión
La mayoría de las organizaciones de nivel empresarial están más seguras con un sistema SIEM funcional y efectivo; sin embargo, elegir el sistema SIEM que mejor se adapte puede resultar un desafío. Las empresas más pequeñas, por ejemplo, están mejor con una solución en la nube que podría ser más escalable y más rápida de implementar. Para las empresas más grandes, podría valer la pena invertir en lo que podría ser una solución híbrida más costosa, donde la nube y las instalaciones ofrecen sus propias economías de escala.
En cualquier caso, para organizaciones de cualquier tamaño, la forma de lograr una eficiencia óptima y un alto retorno de la inversión es contar con personal dedicado para realizar el monitoreo y mantenimiento continuo del sistema.
Muchas empresas implementan un SIEM por motivos de cumplimiento y, si no tienen suficientes recursos para administrar, mantener y ajustar el sistema, podrían terminar con un recopilador de registros muy costoso e ineficiente.
