Gestión de eventos de seguridad y respuesta ante incidentes
Gestión de eventos de seguridad y respuesta ante incidentes
"SIEM" (Security Information and Event Management) o (Sistema de gestión de eventos e información de seguridad)
Es una plataforma que centraliza, almacenamiento interpreta y categoriza los eventos relevantes de seguridad. De esta forma permite un análisis centralizado de la situación de múltiples tecnologías que conviven en nuestra infraestructura en diferentes ubicaciones desde un punto de vista unificado, situación esta, que facilita la detección de tendencias y patrones no habituales.
La mayoría de los sistemas de información SIEM funcionan desplegando múltiples agentes o sensores que recopilan eventos relacionados con la seguridad, de diferentes orígenes de datos de diferentes entornos e incluso de diferentes ubicaciones físicas.
¿Por qué necesitamos una solución SIEM y qué es lo que hace?
Si hablamos de Seguridad IT, el tiempo y la capacidad de respuesta temprana, son factores importantes; puesto que, solo aquellos que reconocen a tiempo los patrones de comportamiento sospechosos y no habituales en la red corporativa, pueden reaccionar rápidamente y evitar daños mayores.
No hay duda sobre el hecho de que la ciberdelincuencia y los ciberataques a cualquier sistema informático está en constante aumento.
Esta es una de las principales razones, por las que la monitorización de sistemas y redes desempeña un papel crucial para ayudar a las compañías a protegerse, y es aquí donde los SIEM están tomando un papel determinante en el aumento del grado de seguridad corporativa; junto con la evolución y mejora a lo largo de los años de las diferentes metodologías y técnicas relacionadas con estos sistemas.
Los beneficios de SIEM incluyen respuesta eficiente a incidentes.
Las diversas tipologías de Compañías utilizan los sistemas SIEM para diferentes propósitos, por lo que los beneficios de estos sistemas varían según las organizaciones; si bien, podemos destacar que todos los sistemas SIEM ingieren, almacenan, procesan e interpretan gran cantidad de datos, unificando la visión de los resultados.
Informes automatizados al personal de seguridad informática.
Uno de los mayores objetivos, para el que las empresas implementan este tipo de herramientas, es el de poder obtener diferentes informes y métricas, del grado de seguridad de la empresa a través de los diferentes registros centralizados y la información que ellos contienen.
Los reportes e informes generados de este análisis se distribuyen entre el personal de seguridad o gestión de áreas TIC e Instrumentación (OT) para poder analizar los mismos y anteponerse a posibles fallos, ataques o errores en los sistemas.
Cada origen de datos registra sus propios eventos de seguridad en sus logs y el sistema SIEM se encarga de recoger estos logs de manera activa o pasiva y unificarlos en un único log de eventos de seguridad.
Posteriormente, como hemos indicado, el sistema será capaz de poner a disposición una información clara y unificada del grado de seguridad de la Compañía; así como los posibles ataques y amenazas detectadas.
El hecho de carecer de sistema SIEM, limita el conocimiento que una compañía tiene a través de la propia información que genera, la cual por otro lado está contenida en los logs de la propia organización.
Mediante el uso de sistemas SIEM, una organización puede ahorrar tiempo y recursos de forma considerable, dotándose de una colección de informes en el entorno de la seguridad de forma ágil y dinámica, los cuales la provean de la mayoría de los indicadores necesarios, para la toma de decisiones y la ejecución de procedimientos en "pos" de la prevención y respuesta a los posibles incidentes de seguridad.
Los sistemas SIEM pueden detectar amenazas, no perceptibles para otros métodos tradicionales de detección; la mayor dificultad cuando nos referimos a ciber-amenazas, es la de prevenir las mismas; pero los sistemas SIEM, contribuyen a la detección temprana.
Gracias a esta detección temprana, los responsables de seguridad pueden tomar medidas apropiadas rápidamente, siguiendo los protocolos establecidos, para evitar daños mayores e irreversibles en algunos casos.
Poco a poco es más habitual que la Inteligencia Artificial se implemente en sistemas SIEM, dotándoles de mayor autonomía y capacidades; por lo que cada vez se acortan más los tiempos de respuesta ante incidentes, así es que todas las compañías con planes de seguridad ambiciosos debieran de tener en sus roadmap contar con herramientas de este tipo en sus infraestructuras.
Analizar, advertir y descubrir vulnerabilidades
Pongamos unos ejemplos:
- El hecho de que un usuario intenta repetidamente iniciar sesión en diferentes sistemas, teniendo un repentino éxito; puede ser indicador de un posible incidente de seguridad.
- El hecho de que alguien acceda a la red corporativa en un corto espacio de tiempo desde diferentes ubicaciones físicas es otro indicador de un posible incidente de seguridad.
Configurado de una manera correcta, el sistema es también capaz de tomar medidas por sí mismo para mitigar el riesgo descubierto; en función del tipo de correlaciones que sea capaz de reconocer y monitorizar; por ejemplo, cambiando reglas en un firewall corporativo.
Dentro de los sistemas SIEM hay herramientas que se encargan de que observar y analizar el comportamiento tanto de los usuarios como de los dispositivos; creando con los datos obtenidos perfiles de comportamiento que tienen en cuenta diferentes aspectos relativos a la seguridad, como pueden ser los inicios de sesión, las actividades dentro de una red o el acceso a archivos y carpetas... etc
Hemos de hablar también de la valiosa asistencia que los sistemas SIEM proporcionan en materia de análisis forense de incidentes de seguridad.
El análisis de datos permite a los administradores y personal IT/OT comprender exactamente lo que sucedió (operaciones y actividad previa al ataque) y el porqué (análisis de las debilidades del sistema), pudiendo entonces poner medidas para evitar nuevos ataques en el futuro.
Mejorar la eficiencia de diferentes incidencias:Como hemos hablado en puntos anteriores, SIEM aumenta significativamente la eficiencia a la hora de detectar incidentes, lo que a su vez conlleva un ahorro de tiempo para aquellos que se encargan de manejar los diferentes incidentes o trabajos derivados de los mismos.
Una toma de decisiones rápida combinado con un manejo rápido y profesional de los diferentes sistemas, proporcionan respuestas tempranas ante los posibles ciberataques y contribuyen a reducir los daños que provocan.
Los sistemas SIEM identifican rápidamente la ruta de un ataque, detectan rápidamente todos los orígenes de datos que se vieron afectados por un ataque en particular y proporciona mecanismos automatizados para detener ataques que aún están en curso.
- Los sistemas SIEM, aportan a las compañías diferentes beneficios, permitiéndolas Ingerir y analizar grandes volúmenes de información para identificar en dicha información, indicios de ataques y amenazas en tiempo real
- La posibilidad de buscar amenazas en registros archivados, mediante el análisis exhaustivo de datos
- Una mayor rapidez a la hora de llevar a cabo la investigación de las alertas y proceder a dar respuesta a las mismas.
- La detección de amenazas previamente desconocidas, basadas en anomalías de los patrones de comportamiento analizados y almacenados.
- La monitorización de las actividades que se llevan a cabo dentro de la Compañía, dotándole a la misma de la información necesaria sobre la actividad de usuarios y dispositivos.