[31/03/2022] Las herramientas de gestión de eventos e información de seguridad (SIEM) recopilan y agregan datos de registro y eventos para ayudar a identificar y rastrear las infracciones. Son sistemas potentes que brindan a los profesionales de la seguridad empresarial una visión de lo que está sucediendo en su entorno de TI en este momento y un historial de eventos relevantes que han ocurrido en el pasado.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
El software SIEM (pronunciado 'sim'; la 'e' es silenciosa) recopila y agrega datos de registro y eventos generados en toda la infraestructura tecnológica de la organización, desde sistemas y aplicaciones host hasta dispositivos de red y seguridad, como firewalls y filtros antivirus. El objetivo de una herramienta SIEM es correlacionar las señales de todos esos datos para proporcionar a los equipos de seguridad la información que necesitan para identificar y rastrear las brechas y otros problemas.
El término "SIEM" en realidad fue acuñado por los analistas de Gartner en el 2005, y continúan calificando a los distintos proveedores utilizando su metodología de Cuadrante Mágico. Aquí se puede ver el Cuadrante Mágico de SIEM del 2021. Entre las empresas del cuadrante de los "líderes” están Splunk, IBM, Exabeam, Securonix y LogRythm.
SIM versus SIEM
Antes de sumergirnos en los detalles de cómo funciona el software SIEM, debemos comprender dos acrónimos relacionados: SIM y SEM.
SIM, que significa gestión de información de seguridad, es una herramienta que brinda análisis e informes de eventos históricos de seguridad; entendiendo por histórico no el hecho de que estos eventos formen parte de algún acontecimiento épico e importante, sino simplemente que sucedieron en el pasado. Los sistemas SIM surgieron de la disciplina de gestión de registros, y trabajan para automatizar la recopilación de datos de registro de varias herramientas y sistemas de seguridad y hacer que esa información llegue a los gestores de seguridad.
SEM, que significa gestión de eventos de seguridad, es similar a SIM, aunque en lugar de centrarse en los datos de registro históricos, intenta trabajar en tiempo real -o lo más cerca posible- para identificar eventos específicos relevantes para los profesionales de la seguridad. Por ejemplo, si un usuario en algún lugar de su red logra elevar sus privilegios a la categoría de administrador de una manera fuera de lo común, un sistema SEM debería informar al respecto.
Un sistema SIEM es simplemente una herramienta que combina la funcionalidad del software SIM y SEM. A estas alturas es bastante raro encontrar software que ofrezca solo funcionalidad SIM o SEM, y SIEM ha estado a la orden del día durante una década o más.
A primera vista, puede parecer extraño que SEM haya terminado combinándose con SIM en lugar de reemplazarlo. El atractivo de recibir alertas sobre eventos de seguridad en tiempo real es obvio y, si puede hacerlo, ¿de qué sirve extraer información de un registro viejo y polvoriento? De hecho, gran parte del trabajo de un profesional de la seguridad implica trabajar hacia atrás, a partir de alertas en tiempo real, para tratar de averiguar lo que sucede en su red. Una vez que reciba esa advertencia sobre el usuario que logró convertirse en administrador, deberá consultar el historial de inicios de sesión y el comportamiento de ese usuario para tratar de llegar al fondo de lo que está sucediendo, y se necesitan herramientas SIM que puedan rápidamente encontrar esa información en los registros.
El software SIEM, por lo tanto, tiene dos objetivos principales:
- Proporcionar informes sobre incidentes y eventos relacionados con la seguridad, como inicios de sesión exitosos y fallidos, actividad de malware y otras posibles actividades maliciosas; y
- Enviar alertas si el análisis muestra que una actividad se ejecuta contra conjuntos de reglas predeterminados y, por lo tanto, indica un posible problema de seguridad.
¿Cómo funciona SIEM?
Los registros y otros datos deben exportarse desde todos los sistemas de seguridad a la plataforma SIEM. Esto se puede lograr mediante agentes SIEM -programas que se ejecutan en los diversos sistemas y que analizan y exportan los datos al SIEM- o, alternativamente, la mayoría de los sistemas de seguridad tienen capacidades integradas para exportar datos de registro a un servidor central, y la plataforma SIEM puede importarlos desde ahí.
La opción que elija dependerá de la topografía de su red y de las capacidades de ancho de banda, así como de los tipos de sistemas de los que necesita obtener registros. La cantidad de datos transmitidos y la potencia de procesamiento necesaria en los puntos finales pueden degradar el rendimiento de sus sistemas o red si no se implementan las cosas con cuidado. Los agentes SIEM en el borde pueden aliviar parte de esa carga analizando automáticamente algunos datos, incluso antes de enviarlos a través de la red. En cualquier caso, querrá asegurarse de que toda su infraestructura esté equipada para SIEM, tanto en las instalaciones como en la nube.
Obviamente, la cantidad de datos generados por esta instrumentación SIEM es enorme; más de lo que su personal podría analizar. El valor principal que brindan las suites SIEM es que aplican el análisis de datos para garantizar que solo llegue la información útil a su centro de operaciones de seguridad. Estas plataformas utilizan motores de correlación para intentar conectar entradas de registro dispares u otras señales que no parecen preocupantes por sí mismas, pero que juntas pueden suponer un problema. Estos motores, combinados con la inteligencia artificial específica y las técnicas de aprendizaje automático utilizadas para detectar ataques, son lo que utilizan varios proveedores de SIEM para diferenciar sus ofertas entre sí.
Las herramientas SIEM también extraen información de fuentes de inteligencia de amenazas; es decir, fuentes de datos actualizadas sobre nuevas formas de malware y las amenazas persistentes avanzadas más recientes. Algunos de estos feeds son mantenidos por los proveedores de SIEM, otros son de código abierto o mantenidos internamente por los equipos de seguridad de las grandes organizaciones, y algunas plataformas de SIEM le permiten usar sus favoritos. Otras opciones de personalización incluyen la capacidad de integrar estrechamente la plataforma SIEM con herramientas de seguridad específicas.
Se dijo anteriormente que SIEM fue adoptado en un principio por su capacidad para ayudar al cumplimiento normativo. Ese sigue siendo un papel importante para estas herramientas, y muchas plataformas tienen capacidades integradas que se enfocan en garantizar y documentar el cumplimiento de diversas leyes y estándares. Además, algunas plataformas SIEM también incorporan capacidades SOAR, que pueden automatizar parcial o totalmente las respuestas a las amenazas que detectan.
Principales herramientas y proveedores de SIEM
¿Cómo se deberían evaluar las herramientas SIEM? Tim Ferrill, de CSO, tiene una excelente guía para el comprador sobre las características y consideraciones clave que deberían tomarse en cuenta para la elección de un sistema, incluyendo si es en la nube o en las instalaciones, capacidades de análisis, ingesta de registros, remediación automatizada y acceso basado en roles, entre otros.
La lista de Ferrill también analiza algunos de los principales proveedores de SIEM, que constituyen una buena guía del panorama de este segmento de mercado:
Todos estos proveedores tienen sus propias fortalezas y debilidades. Por ejemplo, la oferta de Azure Sentinel de Microsoft solo está disponible en la nube de Microsoft, pero se integra fácilmente con Microsoft 365 y Windows Defender. La plataforma de RSA está diseñada pensando en un volumen masivo de datos, mientras que Securonix tiene una arquitectura abierta que permite agregar una amplia variedad de plug-ins de análisis de terceros.
Deberíamos tomarnos un momento para destacar a Splunk, ya que fue uno de los primeros proveedores de software en descubrir el oro en el análisis de archivos de registro. Splunk Enterprise Security se basa en las capacidades maduras de análisis y visualización de datos de la empresa para ofrecer una solución SIEM integrada con inteligencia de amenazas y disponible en la nube o en las instalaciones. IDC sostiene que Splunk tiene la mayor cuota de mercado de SIEM.
Llegados a este punto, ya debería tener una buena idea de lo que SIEM puede hacer por su empresa. Pero estas plataformas no son baratas, y eso significa que debe hacer todo lo posible para prepararse antes de implementar una. Por ejemplo, el software SIEM requiere datos de alta calidad para obtener el máximo rendimiento. Además, para ser implementadas, mantenidas y perfeccionadas, las tecnologías SIEM consumen muchos recursos y requieren personal experimentado; personal en el que no todas las organizaciones han invertido todavía.
Basado en el artículo de Josh Fruhlinger (CSO) y editado por CIO Perú