El SIEM (Security Information and Event Management) se ha convertido en una solución clave de referencia para la seguridad corporativa. Al permitir una supervisión continua, contextual, oportuna y eficaz, el SIEM ayuda a los responsables de seguridad a poner de relieve las áreas en las que es necesario actuar mediante una lógica progresiva de intervenciones correctivas o de mejora.
Índice de temas
SIEM: qué es y qué significa para una organización
El SIEM es una solución en la que convergen los sistemas de gestión de la información de seguridad y de gestión de eventos de seguridad, el SIM y el SEM:
– El SIM es un sistema de gestión de la información que automatiza el proceso de recolección y organización de registros (pero no en tiempo real). Los datos se recogen y se envían a un servidor centralizado mediante el uso de un software agente instalado en los distintos dispositivos del sistema vigilado. La posibilidad de almacenamiento a largo plazo, combinada con el análisis de datos, permite generar informes personalizados.
– El SEM es una solución de software que, en tiempo real, supervisa y gestiona los eventos que se producen en la red y en los distintos sistemas de seguridad, proporcionando correlación y agregación entre ellos. La interfaz es una consola centralizada, encargada de supervisar, informar y responder automáticamente a determinados eventos.
Al vincular el SEM con el SIM, el SIEM analiza los registros recogidos para destacar los eventos o comportamientos de interés, permitiendo, por ejemplo, la detección de accesos administrativos fuera de las horas normales de trabajo, información sobre el host, el Id y más. La información contextual recopilada hace que los informes sean más detallados y permite optimizar los flujos de trabajo de resolución de incidentes.
Cómo funciona una solución de gestión de información y eventos de seguridad
La tecnología de los sistemas SIEM tiene como objetivo centralizar la recopilación de registros y eventos generados por las aplicaciones y sistemas en red, lo que permite a los analistas de seguridad reducir el tiempo necesario para resolver e investigar las alertas e incidentes de seguridad.
Las principales actividades de un SIEM son recolectar, analizar, correlacionar y supervisar un gran número de datos diversos de:
Herramientas de seguridad:
Sistemas de detección de intrusiones, sistemas de prevención de intrusiones, sistemas antivirus y antimalware, concentradores VPN, filtros web, honeypots, cortafuegos, adservers
Dispositivos de red:
Routers, conmutadores, servidores DNS, puntos de acceso inalámbricos, WAN, transferencia de datos, red privada en la nube
Dispositivos
Dispositivos de usuario, servidores de autenticación, bases de datos, servidores alojados en la nube
Aplicaciones:
Aplicaciones de intranet, aplicaciones web, aplicaciones Saas
El principio clave del SIEM es la monitorización avanzada, basada en la capacidad de agregar datos significativos procedentes de múltiples fuentes, estableciendo análisis y correlaciones en tiempo real destinados a detectar comportamientos anómalos, señales críticas y generar alarmas, satisfaciendo las necesidades de respuesta a incidentes, cumplimiento de la normativa y análisis forense. La propia naturaleza de la tecnología implica una adaptación continua en función de las evaluaciones realizadas por los responsables de seguridad, los OSC, junto con todos los ajustes normativos pertinentes.
¿El principio de funcionamiento? En un nivel básico, una solución SIEM se basa en un conjunto de reglas (definidas por el proveedor y/o los responsables de seguridad) y en el uso de un motor de correlación estadística que establece las relaciones entre las distintas entradas del registro de eventos.
Cuando surgieron los SIEM
Los SIEM aparecieron en el mercado en 1997. Inicialmente, su objetivo era reducir los falsos positivos generados por los NIDS (sistemas de detección de intrusiones en la red), que generaban una cantidad asombrosa de alertas a diario. Las herramientas eran complejas de instalar y utilizar y solo las utilizaban las organizaciones más grandes. Su primera evolución, que se remonta a 2005, seguía teniendo grandes limitaciones en cuanto a la escala de datos que estos sistemas tenían en términos de procesamiento y sofisticación de las alertas y visualizaciones generadas.
La tercera generación de SIEM estaba mejor equipada para manejar big data, grandes volúmenes de registros históricos, pudiendo correlacionar los datos de registros históricos con los eventos en tiempo real y los datos de alimentación de inteligencia de amenazas.
Cuáles son las limitaciones de las plataformas de primera generación
Las limitaciones de estas primeras generaciones de SIEM, además de requerir un proceso de implementación largo y ciertamente no indoloro, eran su limitada escalabilidad y la cantidad de fuentes de datos difíciles de integrar, con procesos de elaboración de informes demasiado engorrosos. Las ofertas de los proveedores, de hecho, habían sobreestimado la capacidad de los responsables de seguridad para manejar el cambio de paso introducido por una solución SIEM. El resultado fue que, según la percepción de las empresas, las barreras para la adopción giraban en torno a varios argumentos:
Demasiado complejo
La cantidad de tareas necesarias para administrar todas las fuentes de datos y redirigir la gestión de eventos requirió mucho análisis, mucha atención y muchos recursos para poner en marcha la solución.
Demasiado tiempo
Las expectativas de los OSC con respecto a la ingeniería de la gestión de la información y los eventos de seguridad subestimaron el tiempo necesario. De hecho, todavía se necesitan varios meses para lanzar y desplegar un SIEM.
Demasiado caro
Más allá del coste inicial de la solución, el diseño de los flujos de información, la gestión de los eventos, la normalización de los datos, la programación de las importaciones y el establecimiento de las reglas de análisis para definir los métodos de elaboración de informes y reportes requerían el apoyo de uno o varios consultores técnicos especializados. Esto aumentó considerablemente los costes.
Demasiado ruido
La capacidad de manejar una enorme cantidad de información de seguridad útil dio lugar a mucho ruido de fondo. Sin un analista de seguridad de contenidos, era difícil orquestar las reglas necesarias para definir un SIEM contextualizado que respondiera a las necesidades específicas del negocio.
Demasiado poco nativo de la nube
En comparación con la evolución de la nube, los primeros SIEM no estaban equipados para manejar toda la cantidad de recursos que las empresas siguen trasladando a la nube. De hecho, muchos proveedores decidieron dejar de dar soporte a las actualizaciones y reescribir los sistemas para ofrecer soluciones desde cero.
Evolución de las plataformas de gestión de la seguridad
Los sistemas actuales de nueva generación no solo son más ágiles, modulares y flexibles, sino que ofrecen el mayor valor, con unos costes de implantación y funcionamiento mucho más bajos. Por eso son adoptadas por todo tipo de organizaciones que se preocupan por la seguridad, independientemente de su tamaño o sector. La cuarta generación de SIEM, propuesta por Gartner en 2017, combina las capacidades tradicionales de los SIEM con dos nuevas tecnologías que incluyen el análisis del comportamiento de usuarios y entidades (UEBA) y la orquestación de la seguridad y la respuesta automatizada (SOAR).
La gestión de los registros cronológicos y secuenciales de las operaciones realizadas por un dispositivo informático, ya sea un servidor o un cliente, así como por un programa o una aplicación, viene dictada por la necesidad de poder agregar y almacenar todos los registros de cierto interés producidos por sistemas de información heterogéneos, con el fin de garantizar su seguridad.
Las organizaciones están recurriendo a plataformas de gestión de big data como, por ejemplo, Apache Hadoop, para complementar las capacidades del SIEM ampliando tanto la capacidad de almacenamiento de datos como la flexibilidad analítica. La necesidad de visibilidad centrada en la voz o vSIEM (Voice Security Information and Event Management) es también un ejemplo reciente de cómo los proveedores han asumido la evolución de la demanda.
Pero es la Inteligencia Artificial y, en particular, el Aprendizaje Automático lo que realmente está marcando la diferencia en las soluciones SIEM de nueva generación en estos momentos.
SIEM 4.0: la contribución de la IA a la gobernanza de la seguridad
La IA lleva el análisis a un nivel superior de precisión: la tecnología utilizada, de hecho, a través de un proceso evolucionado de Inteligencia de Seguridad aplicada a la analítica, correlaciona automáticamente todos los eventos detectados en la infraestructura de red por los IPS, los IDS, los cortafuegos, las soluciones de seguridad y los puntos finales (incluso los no estructurados), con el fin de comprender realmente qué ha ocurrido y por quién.
A través de una serie de algoritmos heurísticos, que contemplan la probabilidad de identificar ciberataques de diversos tipos, como explotaciones de día cero, ataques DDOS y de fuerza bruta, el SIEM 4.0 aprovecha una línea de base que le permite realizar operaciones de concordancia de patrones y agregar registros para activar análisis avanzados. De este modo, el sistema intercepta y localiza rápidamente toda la actividad anómala que se produce en la red, interactuando con las políticas de seguridad establecidas por la organización para determinar qué acciones deben llevarse a cabo y cuáles no.
Utilizando una serie de algoritmos prediseñados, el software también puede iniciar una respuesta automática a un ataque cuando se produce: por ejemplo, puede ser capaz de bloquear o eliminar el tráfico potencialmente malicioso, o capaz de reducir el rendimiento, manteniendo así las operaciones estándar de la infraestructura de TI.
Un ejemplo de SIEM 4.0
Un ejemplo de SIEM 4.0 es QRadar, de IBM. Gracias a QRadar, el CSO puede ver si se ha producido o no una comunicación, si un malware ha sido ejecutado por quién y dónde, y si el acceso a los recursos de la empresa se ha producido realmente. Con un plus adicional. En efecto, es posible integrar estos análisis con la solución de análisis del comportamiento de los usuarios. Esto permite definir el perfil de riesgo de los usuarios e identificar a los posibles atacantes internos, los intentos de escalada de privilegios o las filtraciones de datos confidenciales.
Los algoritmos de análisis y correlación de QRadar minimizan los falsos positivos. Al mismo tiempo, este tipo de SIEM enriquece la información recopilada dentro de la organización, integrándola con la procedente del entorno externo, de los proveedores de seguridad, de los socios, de las fuentes abiertas y de la monitorización continua, ayudando así a reconocer situaciones anómalas o amenazas potenciales. Por último, pero no por ello menos importante, los eventos se recogen en una única base de datos: se pueden realizar todo tipo de búsquedas a través de un tablero centralizado.
Gracias a la posibilidad de agregar datos, es posible disponer de vistas adaptadas a diferentes tipos de interlocutores, diversificando los cuadros de mando resumidos para los usuarios ejecutivos a los que se les pueden mostrar gráficos y tendencias, con informes cada vez más detallados para apoyar a las estructuras operativas y técnicas, reduciendo considerablemente el tiempo necesario para procesar la información y responder a las diferentes necesidades y expectativas de los interlocutores corporativos.
Por qué el éxito de un SIEM depende de los objetivos
Uno de los parámetros fundamentales para el buen funcionamiento de un SIEM es la elección de la información que el CSO decide recopilar de cada componente individual del sistema que quiere proteger. Un proyecto de selección e implementación de una solución SIEM debe comenzar siempre con una pregunta fundamental: qué se va a supervisar y qué información se va a obtener de la herramienta y el servicio.
Definir tanto el perímetro como el objetivo es el primer paso fundamental, ya que no es posible vigilar todos los sistemas, dispositivos, aplicaciones, usuarios y demás. Tendría un perímetro tan amplio, con tanta información, que se vería abrumado por los datos sin posibilidad de analizarlos eficazmente. Como señalan los expertos, el mayor error cuando se trata de SIEM es querer controlar todo de inmediato.
Cómo implementar un sistema SIEM: algunos ejemplos
Lo que debe hacer el CSO es comprender cuál es la necesidad principal de su empresa. Por ejemplo, puede haber una necesidad de cumplimiento normativo, vinculada al control de acceso para cumplir con las disposiciones legales, las normas de acceso a los datos confidenciales (financieros o de tráfico), o las normas sobre los datos del balance de las empresas que cotizan en bolsa. O bien, puede ser necesaria la seguridad de las TIC: por ejemplo, supervisar lo que ocurre en el sistema de información para captar las señales de posibles incidentes o ataques y garantizar que se detengan a tiempo. O, de nuevo, puede ser necesario un seguimiento de las TIC: pase lo que pase, debe ser posible rastrear lo que ha sucedido y quién ha hecho qué, tal vez recogiendo pruebas que puedan utilizarse en un proceso judicial.
Para otras empresas, la supervisión de las acciones y el comportamiento de los usuarios puede ser una prioridad, para detectar comportamientos anómalos o sospechosos que puedan ser un indicador de un posible compromiso de la seguridad, de ahí la importancia del análisis del comportamiento de los usuarios. Por último, también puede haber una mezcla de todos estos requisitos, pero en un perímetro bien definido que permita definir un proyecto de aplicación coherente y factible.
Cómo optimizar la gestión de los registros
La implantación de un SIEM requiere una serie de actividades fundamentales para garantizar la consecución de los objetivos:
- Definición y clasificación de las fuentes de datos de interés
- Análisis y cuantificación de los registros y eventos a detectar
- Elección de la arquitectura necesaria
- Planes de integración (estructura de seguridad, SOC-CERT)
- Planificación de los programas de auditoría
La estandarización de los diferentes tipos de mensajes, transformándolos en un formato único (CEF Common Event Format), es una tarea encomendada al colector central del sistema (logger). Esto permite traducir distintos tipos de información que tienen patrones diferentes, normalizándolos.
Definir el objetivo y la finalidad de la supervisión y correlación de registros no siempre es fácil. Especialmente cuando una empresa no tiene claro qué áreas tienen prioridad sobre otras. En este caso, se puede pensar en recopilar registros en un amplio perímetro de sistemas, evaluando equipos, aplicaciones, bases de datos, etc., para incluirlos en una única solución que debe ser capaz de interactuar con el mayor número posible de objetivos. Dado que el perímetro aún no está definido, lo importante es no establecer límites a priori. Sin olvidar también resolver la forma de almacenar los registros, para que se conserven en el tiempo de forma segura y no modificable para posibles investigaciones futuras.
Cuáles son los tiempos de aplicación
La instalación y activación de la solución tecnológica, la importación de las fuentes de registro y la definición de los destinatarios de los informes y las alertas pueden completarse técnicamente en unas pocas semanas. Sin embargo, poder definir la línea de base, es decir, la modelización de la seguridad definida en la fase preliminar, e identificar qué desviaciones son relevantes lleva más tiempo. Generalmente, desde la generación del primer informe, pasan al menos seis meses antes de que se puedan poner en marcha alertas razonables.
Sobre la base del informe elaborado, los OSC tendrán que ocuparse de verificar la información obtenida y confirmar los niveles de seguridad aceptables. Se trata de una fase de análisis y mapeo tediosa y que requiere mucho tiempo, pero que es indispensable para comprender el horizonte de acceso y el comportamiento de la red. Por ejemplo, para confirmar que las conexiones remotas de la empresa son una media de 10, el CSO tendrá que recopilar más información de otros equipos, enriqueciendo el mapeo con datos sobre quién accede y por qué motivo, con qué frecuencia, etc.
Lo mismo habrá que hacer para el acceso administrativo a las máquinas o a los sistemas o a las bases de datos, los cortafuegos, el ancho de banda, las operaciones de los usuarios. Por estas razones, habrá que tener en cuenta un delta de tiempo más o menos largo, que puede variar en función del tamaño de la empresa, pero también de la disponibilidad de información, la colaboración entre equipos, el funcionamiento de otras herramientas de supervisión, los tipos de supervisión y las áreas de aplicación.
Por Laura Zanotti