La gestión de los eventos de seguridad es uno de los retos principales a los que se enfrentan los equipos encargados de la protección de las organizaciones. El motivo es la gran cantidad de casos de este tipo que generan las diferentes herramientas que se despliegan para velar por la protección de los sistemas de información. Estamos hablando de miles o, incluso millones, generados en diferentes formatos, que deben ser analizados para determinar cuáles requieren de atención y tratamiento. Es aquí donde entra en juego una herramienta fundamental para gestionar de manera eficaz toda esa información: el SIEM (Sistema de Gestión de Eventos e Información de Seguridad).
¿Cómo funciona un sistema SIEM?
Las funcionalidades con las que cuenta un SIEM permiten, en primer lugar, clasificar los eventos de seguridad y normalizarlos. A continuación, aplicando reglas de correlación, se pueden identificar anomalías o comportamientos sospechosos que desencadenan alertas. Como resultado de esta combinación, las organizaciones pueden satisfacer las necesidades de cumplimiento e identificar y contener a los atacantes más rápido.
El origen de la tecnología SIEM está en la evolución y fusión de las herramientas SIM (Gestor de Información de Seguridad) y SEM (Gestor de Eventos de Seguridad). Desde su aparición, las herramientas SIEM han ido evolucionando, incorporando nuevas capacidades que han permitido acelerar el proceso de detección, análisis y respuesta a eventos de seguridad.
Beneficios de los sistemas SIEM
Las capacidades básicas que podemos encontrar en un SIEM son éstas:
- Recolección de eventos: a través de diferentes mecanismos, el SIEM recibe información de múltiples orígenes de datos (dispositivos de red, dispositivos de seguridad, servidores, equipos de usuario, aplicaciones…).
- Correlación de eventos: el SIEM busca patrones comunes entre los eventos recibidos que faciliten la identificación de comportamientos sospechosos.
- Generación de alertas: la correlación y el análisis continuo permiten generar notificaciones de alertas a través de diferentes canales de comunicación.
- Cuadros de mando: la información procesada por el SIEM se presenta en diferentes formatos gráficos facilitando la gestión y la operación de los analistas de seguridad.
- Cumplimiento normativo: el SIEM es una herramienta de apoyo en el proceso de cumplimiento normativo. Así, entre sus capacidades, estarán las que permitirán automatizar la recogida de información en base a lo exigido en la normativa aplicable y, también, la de generar informes que se adapten a las necesidades de gobernanza, seguridad o auditoría
- Retención: por último, el SIEM nos permitirá disponer de un periodo de retención de la información recopilada, lo que permitirá rastrear el origen de incidentes desde tiempo atrás.
Adicionalmente, a estas capacidades, se suman en los últimos años otras que han hecho que las herramientas SIEM que las incorporan sean incluidas en la categoría de SIEM de próxima generación. Son aquellos que, además de utilizar reglas para la detección de amenazas, poseen capacidades avanzadas entre las que se encuentran las basadas en el comportamiento, tanto del usuario (UEBA) como del atacante (ABA). Así mismo, entre estas nuevas capacidades avanzadas figuran la tecnología de engaño y la supervisión de la integridad de los archivos (FIM).
¿Qué es el SIEM integrado en SOC?
Cuando se define la estrategia de ciberseguridad de una organización, el Centro de Operaciones de Seguridad (SOC) se posiciona como el punto neurálgico desde el que se coordina la defensa contra los ciberataques. El SOC, tal y como se concibe actualmente, se configura con la suma de personas, procesos y tecnología. Dentro de esta última, el SIEM constituye un elemento básico, siendo la herramienta que permite monitorizar y centralizar los eventos de seguridad, así como, reconstruir los detalles de un ataque en tiempo real.
Por esta razón, si disponemos de un SIEM con capacidades avanzadas podremos acelerar el proceso de investigación de las alertas que se desencadenen y crear flujos de trabajo para su gestión. Desde la consola central se podrá monitorizar, analizar y responder a eventos de seguridad. Igualmente, será posible medir y reducir el riesgo al que estén sometidos los activos.
Adicionalmente, debemos tener en cuenta el papel esencial que juegan los analistas de seguridad que operan en el SOC y cómo se complementa su labor con el SIEM. Es más, para ser eficaz en la identificación de amenazas se requiere del análisis que realice el equipo que conforma el SOC. Los analistas consumen información y alertas generadas a partir de la tecnología SIEM y serán ellos los que juzguen si un evento concreto constituye un incidente de alto riesgo o es simplemente una falsa alarma.
Cómo implementar el sistema SIEM con Global Technology
El SOC de Global Technology opera con sistemas SIEM de próxima generación e incorporar la última tecnología para la detección de amenazas. Son herramientas que poseen una arquitectura híbrida. El almacenamiento de toda la información recopilada, los módulos de análisis del comportamiento, así como la consola central de la herramienta radican en la nube. La infraestructura que tiene que aportar el cliente es mínima, limitándose a la necesaria para alojar un sensor de red para analizar todo el tráfico de datos que fluye por su red y un servidor recolector de eventos que procedan de fuentes que no tengan conexión directa con la plataforma ubicada en la nube. El almacenamiento de datos en la nube no está sujeto a un número determinado de eventos por segundo o al espacio ocupado.
Como consecuencia de todo ello, la solución SIEM que ofrece Global Technology permite que el cliente conozca desde el primer momento su coste y que no tenga que soportar costes de infraestructura elevados.
Por último, es necesario destacar las ventajas que a nivel operativo incorpora la solución SIEM propuesta por Global Technology. Su despliegue se realiza en un corto espacio de tiempo, lo que permite acelerar el proceso de recolección de información. Como resultado, el cliente comienza a recibir información de la monitorización de su entorno en muy poco tiempo.
Responsable de SOC en Global Technology