Samuel Sancho, Senior Solution Enginneer, Devo.

La necesidad de un SIEM para las empresas y sus equipos de seguridad ha evolucionado drásticamente con el tiempo. Ha pasado de los casos de uso tipicos y el cumplimiento normativo, al formato actual de detección de amenazas, respuesta a incidentes y búsqueda de amenazas. 

Como los casos de uso han cambiado, también lo ha hecho la arquitectura. Como resultado, las organizaciones familiarizadas con la ejecución de su SIEM on-premise búscan ahora arquitecturas modernas para reducir la carga de trabajo de sus analistas. 

La opción más sencilla: SaaS, por supuesto. 

Pero no todos los SIEM SaaS son iguales. Algunos están alojados en la nube, mientras que otros son nativos de la nube. ¿Existe realmente una diferencia? Por supuesto que sí. 

Veamos las señales que indican que estás utilizando un SIEM alojado en la nube, y no uno nativo de la nube. 

1. Conoces exactamente cuánto hardware está funcionando. 

Así que adquieres un SIEM, comienzas a utilizarlo y estás entusiasmado por empezar a búscar amenazas. Por desgracia, un ataque DDoS golpea tu red. Una ráfaga de datos de tráfico de red inunda los conductos de ingestión del SIEM. Los datos se pierden. El rendimiento de la búsqueda se detiene. Examinas el motivo y te das cuenta de que el SIEM alojado en la nube sólo tiene cinco nodos de indexación. Llamas al servicio de asistencia y te das cuenta de que el tiempo de respuesta para ampliar tu SIEM alojado en la nube será de al menos un día. No es el resultado ideal.

Los SIEM nativos de la nube eliminan estos problemas típicos del alojamiento en la nube al comprometerse con el rendimiento y el autoescalado para satisfacer la demanda. 

2. El procesamiento de los datos es principalmente tu responsabilidad. 

¿Sabes qué es peor que el regex? Tómate un momento... umm... err... Seguro que hay algo. ¡No! Nada. No hay nada peor que tener que escribir regex. Ya está, lo he dicho. 

Regex - o cualquier otro método de análisis de datos - es una tarea difícil de dominar para el analista SOC. Un SIEM alojado en la nube da por sentado que la gente tiene mucho tiempo para dedicarse a la regexx101 y averiguar por qué hay 7.000 retrocesos en su regex.  

¡Qué pérdida de tiempo! Tus analistas no deberían perder su tiempo en eso. Los proveedores de SIEM nativos en la nube ofrecen un análisis global, lo que le permite pensar menos en los datos cuando los envía a través del cable, y eso hace que la incorporación de los datos sea perfecta. Como resultado, tus analistas pasan más tiempo cazando, no luchando por los datos. 

3. Necesitas instalar integraciones, complementos y aplicaciones personalizadas para obtener valor de sus datos. 

Esto está relacionado con el punto dos. Si necesitas un doctorado en aplicaciones, complementos o integraciones para obtener valor del SIEM, es una señal segura de que estás utilizando un SIEM alojado en la nube. Con los retos de personal a los que se enfrentan los SOC, no hay tiempo que perder para estudiar qué aplicaciones y complementos son necesarios. Las organizaciones suelen utilizar aplicaciones y complementos para mejorar la funcionalidad de una tecnología cuando hay un vacío en las características del producto. 

Las tecnologías nativas de la nube tienen en cuenta los flujos de trabajo de los analistas e integran la funcionalidad necesaria en el producto. Por ejemplo, los conjuntos de herramientas y las funcionalidades, como CyberChef, el análisis forense de la memoria, el sandboxing y las funcionalidades de búsqueda avanzada, como el algoritmo Levenshtein o el análisis sintáctico de dominios, están integrados en las tecnologías nativas de la nube, no se añaden. 

4. La búsqueda en tiempo real está desactivada por defecto o no se recomienda para casos de uso en producción. 

Has invertido en una solución SOAR y quieres reducir tu tiempo medio de respuesta/contención. Analiza el flujo de trabajo SIEM y te das cuenta de que la mayoría de las detecciones programadas se activan en un intervalo de treinta minutos a una hora. Se ha implementado debido a las limitaciones de hardware y a los problemas de rendimiento de las búsquedas. ¿Se percibe un problema aquí? La única persona a la que favorecen las búsquedas programadas es a tu adversario, no tu operación SOC. 

Los SIEM nativos de la nube garantizan una mejora del MTTR/C al permitirte ejecutar las búsquedas que necesitas en tiempo real, sin ataduras. 

5. La funcionalidad adicional tiene un coste y/o requiere una infraestructura/interfaz de acceso independiente.

Así que estás en una nueva hamburguesería mirando el menú, eligiendo lo que vas a pedir, y te decides por la hamburguesa. Coges el ticket, te sientas en la mesa y esperas. Pasa el tiempo y por fin sale tu pedido y, para tu sorpresa, te dan sólo el pan. Te acercas y le preguntas a la persona por qué sólo has recibido el pan y te dicen que no has pedido los componentes extra. 

¿Te resulta familiar?

Los SIEM alojados en la nube te darán el bollo sin ninguna salsa y te dirán: "eso no estaba incluido". Afortunadamente, ese no es el modelo que siguen las tecnologías nativas de la nube, que consiste en ofrecer una licencia con todo incluido.  

Así que, la próxima vez que estés evaluando el mercado y veas las palabras "SaaS" SIEM, pregúntate: ¿Está alojado en la nube o es nativo de la nube? Hay una gran diferencia.