01
abril
2019

SIEM o Gestión de Eventos e Información de Seguridad

SIEM o Gestión de Eventos e Información de Seguridad (Security Information and Event Management, por sus siglas en inglés) es una categoría de software que tiene como objetivo otorgar a las organizaciones información útil sobre potenciales amenazas de seguridad de sus redes críticas de negocio, a través de la estandarización de datos y priorización de amenazas.

Un software SIEM realiza un análisis centralizado de datos de seguridad, obtenidos desde múltiples plataformas, que incluyen aplicaciones como los antivirus, firewalls, y soluciones para la detección y prevención de intrusiones (IDS/IPS), entre otros.

El principio de un sistema SIEM es que los datos relevantes sobre la seguridad de una entidad se producen en múltiples ubicaciones, y al ser capaz de gestionar toda la información desde un único punto de vista, es más fácil detectar tendencias y ver patrones fuera de lo común.

Una aplicación SIEM reúne los conceptos de Gestión de Eventos de Seguridad (SEM) con el de Gestión de Información de Seguridad (SIM), para obtener lo mejor de ambos mundos. Un sistema SEM cubre la monitorización y correlación de eventos en tiempo real, al mismo tiempo que alerta la configuración y vistas de consola relacionadas con esas actividades; por su parte, un sistema SIM lleva estos datos a una siguiente fase que incluye el almacenamiento, análisis y generación de reportes de los resultados. Al unir estas dos funciones, los sistemas SIEM proporcionan una identificación, un análisis, y una recuperación más rápida de los eventos de seguridad.

Funcionamiento

Un sistema SIEM recoge registros y documentación relacionada con la seguridad de una infraestructura de red de comunicaciones, para ser analizados. La mayoría de las aplicaciones SIEM funcionan desplegando múltiples agentes de recopilación de información en forma jerárquica, para capturar eventos relacionados con la seguridad de los dispositivos, que incluyen tanto a los usuarios finales, como a servidores de aplicaciones, bases de datos, equipos de red, e incluso unidades de seguridad especializadas como firewalls, antivirus o sistemas de prevención de intrusiones.

Los recolectores envían eventos a una consola de administración centralizada, que realiza inspecciones y señala anomalías. Para permitir que el sistema identifique eventos anómalos, es importante que el administrador del SIEM cree primero un perfil del sistema en condiciones normales de evento.

La puesta en marcha de un sistema SIEM exige la realización previa de un análisis detallado de la organización, estableciendo qué se quiere y qué se puede monitorizar, a qué nivel, con qué reglas de correlación y con qué objetivos. Es necesario equilibrar los intereses de la entidad con las necesidades de los usuarios y el cumplimiento normativo, por lo que los responsables de la seguridad deben mantener un registro de las actividades de interés bajo su competencia.

Una característica importante en el funcionamiento de los sistemas SIEM es la estandarización de datos, visto como la posibilidad de colocar en un formato común, los cientos o miles de datos de seguridad, provenientes de los distintos sistemas y fuentes que se emplean por una entidad.

La posibilidad de una entidad, de contar con todos los datos de seguridad en una vista centralizada de su infraestructura, solo es efectiva si esos datos pueden ser estandarizados, de lo que se encargan los sistemas SIEM para ejecutar su análisis y correlación estadística entre entradas de registro de eventos.

Capacidades de un Sistema SIEM

Un sistema SIEM aglutina capacidades para la recopilación, análisis y presentación de información de seguridad de una red y sus dispositivos. Entre las más notables se encuentran:

  • Agregación de datos: soluciones para administración de logs desde muchas fuentes, incluyendo redes, seguridad, servidores, bases de datos, aplicaciones, entre otros, y proporcionando la capacidad de consolidar los datos monitoreados para ayudar a evitar la pérdida de los acontecimientos cruciales.
  • Correlación: busca los atributos comunes, y relaciona eventos en paquetes o incidentes. Esta tecnología proporciona la capacidad de realizar una variedad de técnicas de correlación para integrar diferentes fuentes, con el fin de convertir los datos en información. La correlación es típicamente una función de la parte de gestión de la seguridad en una solución SIEM completa.
  • Alerta: el análisis automatizado de eventos correlacionados y la producción de alertas, para notificar a los destinatarios de los problemas inmediatamente. Una alerta puede ser un tablero de instrumentos, o enviarse a través de canales de terceros, tales como el correo electrónico.
  • Dashboards: herramientas para tomar los datos de los eventos de seguridad y convertirlo en tablas informativas (conocidas también como “cuadros de mando”) para ayudar a ver tendencias o identificar una actividad que no está siguiendo un patrón estándar. Se muestra el estado de los recursos monitorizados y el resultado de la información obtenida (cuántos eventos se han recogido, cuántos se han procesado, vulnerabilidades, rango de emergencia, entre otros aspectos).
  • Cumplimiento: Las aplicaciones SIEM se pueden emplear para automatizar la recopilación de datos y la elaboración de informes que se adapten a los procesos existentes de seguridad, gobernabilidad y auditoría.
  • Retención: emplea soluciones a largo plazo de almacenamiento de datos para facilitar su correlación con el tiempo, y proporcionar la retención necesaria para los requisitos de cumplimiento. Un largo plazo de retención de registros de datos es crítico en la investigación forense, ya que es poco probable que el descubrimiento de una violación de la red sea en el momento en que la infracción se produzca.

SIEM, Big Data e Inteligencia Artificial

Sin importar el tamaño de las empresas, hoy en día cada vez más servicios dependen de los sistemas, y por tanto, cada vez hay más sistemas que mantener y asegurar en una organización.

Es prácticamente imposible supervisar y analizar todos los logs de todos los sistemas que mantiene un especialista de seguridad, ya que esto es una tarea ardua y que requiere mucho tiempo, así que este es un buen motivo por el cual se hace necesario la instalación de una aplicación SIEM.

Los sistemas de seguridad de las organizaciones generan un volumen de información que, hasta hace relativamente poco, no se podía explotar en tiempo real, lo que acarreaba que mucha información se procesara en investigaciones forenses que determinaban la fuente y causa de la vulnerabilidad, es decir, se reaccionaba ante los ataques cuando ya era demasiado tarde y el daño ocurría, lo que obligaba a seguir los acontecimientos de seguridad y no a anticiparlos, que sería mucho más conveniente.

La ciberseguridad ha avanzado a gran velocidad en los últimos años, gracias al incalculable valor que le aporta Big Data y la Inteligencia Artificial.

Big Data ofrece respuesta a los nuevos retos que plantea en la actualidad una seguridad adecuada; es preciso manejar las tres grandes “V” de los datos: Volumen, Variedad y Velocidad, para procesar una enorme cantidad de datos, de muy diverso tipo, y hacerlo rápidamente.

La combinación de la analítica de datos y el Big Data, es decir, la abundante cantidad de datos (volumen) y heterogeneidad (variedad) de los mismos, junto con la necesidad de respuesta rápida (velocidad), obliga a introducir un cambio radical en los sistemas SIEM tradicionales.

Gracias a ello, es posible clasificar automáticamente a los usuarios, por su navegación en redes y sistemas de información, en base a su actividad durante un tiempo determinado. Luego, cruzar esta información con otras bases de datos, por ejemplo, con su posición en la empresa, departamento, lugar de trabajo, entre otros, para después determinar si realizan o no alguna actividad “anormal” en la red.

Este conocimiento permite predecir posibles eventos que puedan comprometer la seguridad de una organización, añadiendo capacidades predictivas y analíticas avanzadas, que se basan en la evolución de los sistemas Big Data y de Inteligencia Artificial, hasta el punto de poder desarrollar SIEM adaptados a las necesidades del entorno y a la realidad concreta de una empresa.

El empleo de sistemas SIEM de avanzada, que utilicen técnicas de analítica predictiva y las capacidades de almacenamiento y procesamiento del Big Data, permitirá a las empresas desde clasificar automáticamente a los usuarios, a detectar servicios o usuarios que no deberían estar operativos, procesar eventos complejos para identificar fraude (por reseteo de contraseñas, por ejemplo), prevenir la fuga de datos internos, o facilitar el análisis de las alertas.

De forma general, una solución SIEM es fundamental para que una entidad haga frente a ciberataques, dotándola además de la inteligencia de negocio necesaria para en base al análisis de su propia información, estar en condiciones de tomar decisiones y llevar a cabo prácticas y procedimientos a favor de la prevención y la respuesta temprana, necesarios para proteger sus datos.