Amneris Teruel, Experta Senior en Monitorización, Automatización y Seguridad en HelpSystems.

Con todos los servidores, aplicaciones y servicios de negocio de la compañía enviando mensajes de eventos de Seguridad, el equipo de Seguridad de la Información puede abrumarse por el alud de avisos que recibe. Sin una solución SIEM (Security Information and Event Management) es difícil saber qué eventos son verdaderamente críticos y cuáles no. Un SIEM da al equipo de Seguridad una visión clara del estado de la Seguridad de su entorno y permite saber, con certeza, si un evento es una amenaza real para la Seguridad, integridad o confidencialidad de la información o es solo un hecho sin consecuencias.

¿Cómo identifica un SIEM las verdaderas amenazas del resto? En este artículo le explicamos las diferencias entre la gestión de eventos de Seguridad sin y con una solución SIEM.

Detección de amenazas o situaciones de riesgo

El volumen diario de eventos de Seguridad recibidos desde servidores, aplicaciones y servicios dentro de una organización es altísimo y excede, en general, a la capacidad de análisis de los recursos humanos de los equipos de trabajo de Seguridad de la Información. La identificación de las amenazas queda supeditada a la disponibilidad de las personas

En cambio, con un SIEM, el software se encarga de detectar amenazas o situaciones de sospecha en una variedad de fuentes dentro del centro de datos: redes, aplicaciones, dispositivos, registros de actividad de usuarios, sistemas operativos, bases de datos, firewalls o dispositivos de red, liberando al equipo de Seguridad de hacer esta tarea.

Traducción

Cada vez que un analista de Seguridad se enfrenta a los eventos de Seguridad tiene el desafío de tener que interpretar los datos en crudo, quepueden estar en varios formatos, en ubicaciones distribuidas y con diferente contenido de cada plataforma. El uso de diversos formatos y mensajes dificulta la clasificación eficaz de los registros, por lo que la traducción e interpretación de los datos suele generar cuellos de botella, lo que impide detener las amenazas oportunamente.

Un SIEM, ante un evento, automáticamente lo captura, recupera todos los datos que son relevantes acerca de él, los convierte a un formato común e interpreta, y clasifica, en tiempo real, la importancia de la amenaza que representa.  De esta forma, el analista de Seguridad no necesita ser especialista en cada una de las tecnologías auditadas, y puede especializarse en las necesidades exclusivas de la Seguridad de la Información y Cumplimiento de Regulaciones.

Priorización

Una vez que las situaciones de riesgo se han detectado, debe definirse la priorización entre ellas, para trabajar inicialmente en aquellas que ponen en riesgo los activos más sensibles de la organización. En un proceso proceso manual, es difícil definir estas prioridades

Una solución SIEM, en cambio, contiene una guía integrada para identificar qué eventos deben tratarse de inmediato. Dentro de la solución se especifican reglas de negocio que establecen los criterios de clasificación y tratamiento. Las condiciones que suelen contener estas reglas se basan en normas definidas por regulaciones, clasificación de criticidad de los activos y patrones de actividad. Por ejemplo, dentro de un SIEM las situaciones de riesgo pueden clasificarse como:

• Evento destacado: evento sensible que requiere un análisis detallado. Sin embargo, es una acción sensible esperada.  Por ejemplo: que la persona responsable de la gestión de usuarios cree un usuario con permisos de acceso a las aplicaciones de negocio.
• Amenaza de Seguridad: evento irregular que debe considerarse de un riesgo inmediato, Por ejemplo: cambio a reglas en un firewall desde una IP no reconocida dentro de la organización.
• Incidente de Seguridad:  situación riesgosa ya analizada o en proceso de análisis, cuyo riesgo está confirmado.

Escalamiento

Las notificaciones recibidas de forma directa sin el análisis previo de un SIEM, no se clasifican ni priorizan, complicando el análisis, demorando su derivación a la persona indicada y retardando la respuesta.

Cuando una amenaza requiere una acción, el SIEM genera alertas en tiempo real y envía notificaciones a quien corresponda, para que esa persona actúe rápidamente y evite o mitigue la amenaza o vulnerabilidad.

Por ejemplo, si el SIEM detecta un virus en un servidor Linux, envía una alerta al administrador mejor capacitado y activa el proceso para poner al servidor en cuarentena hasta que se elimine el virus y así evitar la propagación de la infección.

O un SIEM podría emitir una alerta cuando se intenta acceder a una cuenta privilegiada manipulando la contraseña, para que un miembro de Seguridad o mediante una respuesta automatizada, se bloquee la cuenta hasta que se realice una verificación adicional o se realicen las investigaciones correspondientes.

Análisis

Sin un SIEM nunca alcanzan recursos para analizar e investigar la causa raíz del evento, obligando al equipo de Seguridad a actuar rápidamente para interpretar, asignar y gestionar la amenaza, como si estuviera apagando un incendio.

En cambio, un SIEM almacenatodos los datos del evento, desde datos en crudo hasta informes con diversos grados de detalle sobre el ciclo de vida del evento, lo cual permite al equipo de Seguridad hacer un análisis exhaustivo. El informe puede contener las notas de investigación y las recomendaciones de las acciones a tomar, enriqueciendo la documentación crítica de Ciberseguridad de la compañía.

Conformidad

Si la empresa no tiene un SIEM, resulta muy complejo cumplir con las normativas de Seguridad ya que el registro y seguimiento de los eventos se realiza en forma manual, demandando muchotiempo del equipo de Seguridad.

Si la empresa, en cambio, tiene un SIEM, cumplir con las normativas es más fácil y requiere menos recursos. Los datos relevantes se guardan automáticamente con toda la información de origen, y según los requerimientos que establecen las normativas. Los informes registran los hitos para una completa auditoría, garantizando la confiabilidad de la organización con mínimo esfuerzo.

En resumen, si una compañía no utiliza una solución SIEM, gestionar su Seguridad le resultará más complejo, le demandará más tiempo y resultará menos efectiva, exponiéndose a un riesgo. Con varias opciones SIEM en el mercado, puede buscar una solución que le permita gestionar su Seguridad en forma más eficaz.