La gestión de eventos e información de seguridad (SIEM) es un enfoque para la gestión de seguridad que combina las funciones SIM (gestión de información de seguridad) y SEM (gestión de eventos de seguridad) en una sistema de gestión de seguridad. El acrónimo SIEM se pronuncia «sim» con una e silenciosa.

Los principios subyacentes de cada sistema SIEM es agregar datos relevantes de múltiples fuentes, identificar desviaciones de la norma y tomar las medidas adecuadas. Por ejemplo, cuando se detecta un problema potencial, un sistema SIEM puede registrar información adicional, generar una alerta e instruir a otros controles de seguridad para detener el progreso de una actividad.

En el nivel más básico, un sistema SIEM pueden basarse en reglas o emplear un motor de correlación estadística para establecer relaciones entre las entradas del registro de eventos. Los sistemas SIEM avanzados han evolucionado para incluir análisis de comportamiento de usuarios y entidades (UEBA) y orquestación, automatización y respuesta de seguridad (SOAR).

El cumplimiento del Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) impulsó originalmente la adopción de SIEM en las grandes empresas, pero las preocupaciones sobre las amenazas persistentes avanzadas (APT) han llevado a las organizaciones más pequeñas a considerar los beneficios que los proveedores de servicios de seguridad administrados (MSSP) de SIEM pueden ofrecer. Poder observar todos los datos relacionados con la seguridad desde un único punto de vista facilita que las organizaciones de todos los tamaños detecten patrones fuera de lo común.

Los sistemas SIEM funcionan mediante la implementación de múltiples Utilice agentes de recopilación de datos de manera jerárquica para recopilar eventos relacionados con la seguridad de los dispositivos del usuario final, servidores y equipos de red, así como equipos de seguridad especializados, como firewalls, antivirus o sistemas de prevención de intrusiones (IPS). Los recopiladores envían los eventos a una consola de administración centralizada, donde los analistas de seguridad analizan el ruido, conectan los puntos y priorizan los incidentes de seguridad.

En algunos sistemas, el preprocesamiento puede ocurrir en los recopiladores de borde , con solo ciertos eventos pasados a un nodo de administración centralizado. De esta forma, se puede reducir el volumen de información que se comunica y almacena. Aunque los avances en el aprendizaje automático están ayudando a los sistemas a señalar anomalías con mayor precisión, los analistas deben proporcionar comentarios y educar continuamente al sistema sobre el entorno.

Estas son algunas de las características más importantes que se deben revisar al evaluar los productos SIEM:

• Integración con otros controles. ¿Puede el sistema dar comandos a otros controles de seguridad de la empresa para prevenir o detener ataques en curso?
• Inteligencia artificial (IA). ¿Puede el sistema mejorar su propia precisión mediante el aprendizaje automático y el aprendizaje profundo?
• Fuentes de inteligencia de amenazas. ¿Puede el sistema admitir las fuentes de información sobre amenazas que elija la organización, o tiene la obligación de utilizar una fuente en particular?
• Informes de cumplimiento exhaustivos. ¿El sistema incluye informes integrados para las necesidades de cumplimiento comunes y proporciona el organización con la capacidad de personalizar o crear nuevos informes de cumplimiento?
• Capacidades forenses. ¿Puede el sistema capturar información adicional sobre eventos de seguridad al registrar los encabezados y el contenido de los paquetes de interés?

¿Cómo funciona SIEM?

Las herramientas SIEM funcionan recopilando datos de eventos y registros creados por sistemas host, aplicaciones y dispositivos de seguridad, como filtros antivirus y cortafuegos, en toda la infraestructura de una empresa y datos juntos en una plataforma centralizada. Las herramientas SIEM identifican y clasifican los datos en categorías tales como inicios de sesión exitosos y fallidos, actividad de malware y otra actividad probablemente maliciosa.

El software SIEM genera alertas de seguridad cuando identifica posibles problemas de seguridad. Usando un conjunto de reglas predefinidas, las organizaciones pueden configurar estas alertas como de baja o alta prioridad.

Por ejemplo, una cuenta de usuario que genera 25 intentos fallidos de inicio de sesión en 25 minutos podría marcarse como sospechosa pero aún así estar configurada en una prioridad más baja porque los intentos de inicio de sesión probablemente fueron realizados por el usuario que probablemente había olvidado su información de inicio de sesión.

Sin embargo, una cuenta de usuario que genera 130 intentos de inicio de sesión fallidos en cinco minutos se marcaría como de alta prioridad evento porque lo más probable es que se trate de un ataque de fuerza bruta en curso.

¿Por qué es importante SIEM?

SIEM es importante porque facilita a las empresas la gestión de la seguridad mediante el filtrado de cantidades de datos de seguridad y priorizar las alertas de seguridad que genera el software.

El software SIEM permite a las organizaciones detectar incidentes que de otro modo podrían pasar desapercibidos. El software analiza las entradas del registro para identificar signos de actividad maliciosa.Además, dado que el sistema recopila eventos de diferentes fuentes en la red, puede recrear la línea de tiempo de un ataque, lo que permite a una empresa determinar la naturaleza del ataque y su impacto en el negocio.

A SIEM El sistema también puede ayudar a una organización a cumplir los requisitos de cumplimiento al generar automáticamente informes que incluyen todos los eventos de seguridad registrados entre estas fuentes. Sin el software SIEM, la empresa tendría que recopilar datos de registro y compilar los informes manualmente.

Un sistema SIEM también mejora la gestión de incidentes al permitir que el equipo de seguridad de la empresa descubra la ruta que toma un ataque a través de la red , identificar las fuentes que se vieron comprometidas y proporcionar las herramientas automatizadas para prevenir los ataques en curso.

Beneficios de SIEM

Algunos de los beneficios de SIEM incluyen los siguientes:

• acorta el tiempo que lleva identificar las amenazas de manera significativa, minimizando el daño de esas amenazas;
• ofrece una vista holística del entorno de seguridad de la información de una organización, lo que facilita la recopilación y el análisis información de seguridad para mantener los sistemas seguros: todos los datos de una organización van a un repositorio centralizado donde se almacenan y son fácilmente accesibles;
• pueden ser utilizados por las empresas para una variedad de casos de uso que giran en torno a los datos o registros, incluidos programas de seguridad, informes de auditoría y cumplimiento, Solución de problemas de red y escritorio de lp;
• admite grandes cantidades de datos para que las organizaciones puedan continuar ampliando y aumentando sus datos;
• proporciona detección de amenazas y alertas de seguridad; y
• puede realizar análisis forenses detallados en caso de violaciones importantes de seguridad.

Limitaciones de SIEM

A pesar de sus beneficios, todavía existen algunos limitaciones de SIEM, incluidas las siguientes:

• Por lo general, la implementación lleva mucho tiempo porque requiere soporte para garantizar una integración exitosa con los controles de seguridad de una organización y los muchos hosts de su infraestructura. Normalmente, la instalación de SIEM tarda 90 días o más antes de que comience a funcionar.
• Es caro. La inversión inicial en SIEM puede ser de cientos de miles de dólares. Y los costos asociados también pueden sumarse, incluidos los costos de personal para administrar y monitorear una implementación SIEM, soporte anual y software o agentes para recopilar datos.
• Analizar, configurar e integrar informes requiere el talento de expertos. Es por eso que algunos sistemas SIEM se administran directamente dentro de un centro de operaciones de seguridad (SOC), una unidad centralizada atendida por un equipo de seguridad de la información que se ocupa de los problemas de seguridad de una organización.
• Las herramientas SIEM generalmente dependen de reglas para analizar todos los datos registrados. El problema es que la red de una empresa genera una gran cantidad de alertas, generalmente 10,000 por día, que pueden ser positivas o no. En consecuencia, es difícil identificar posibles ataques debido a la cantidad de registros irrelevantes.
• Una herramienta SIEM mal configurada puede pasar por alto eventos de seguridad importantes, lo que hace que la gestión de riesgos de la información sea menos efectiva.

Software y herramientas SIEM

Algunas de las herramientas en el espacio SIEM incluya lo siguiente:

• Splunk. Splunk es un sistema SIEM local completo. Splunk admite el monitoreo de seguridad y ofrece capacidades avanzadas de detección de amenazas.
• IBM QRadar. QRadar se puede implementar como un dispositivo de hardware, un dispositivo virtual o un dispositivo de software, según las necesidades y la capacidad de la empresa. QRadar on Cloud es un servicio en la nube entregado desde IBM Cloud basado en el producto QRadar SIEM.
• LogRhythm. LogRhythm, un buen sistema SIEM para organizaciones más pequeñas, unifica SIEM, administración de registros, monitoreo y análisis forense de redes y terminales, y análisis de seguridad.
• Exabeam. El producto SIEM de Exabeam ofrece varias capacidades, que incluyen UEBA, un lago de datos, análisis avanzado y un cazador de amenazas.
• RSA. RSA NetWitness Platform es una herramienta de respuesta y detección de amenazas que incluye adquisición, reenvío, almacenamiento y análisis de datos. RSA también ofrece SOAR.

Cómo elegir el producto SIEM correcto

La selección de la herramienta SIEM adecuada varía según una serie de factores, incluido el presupuesto de una organización y postura de seguridad.

Sin embargo, las empresas deben buscar herramientas SIEM que ofrezcan las siguientes capacidades:

• informes de cumplimiento;
• respuesta a incidentes y análisis forense;
• monitoreo de acceso a la base de datos y al servidor;
• detección de amenazas internas y externas;
• monitoreo, correlación y análisis de amenazas en tiempo real en una variedad de aplicaciones y sistemas;
• sistema de detección de intrusiones (IDS), IPS, firewall, registro de aplicaciones de eventos y otras integraciones de aplicaciones y sistemas;
• inteligencia de amenazas; y
• monitoreo de la actividad del usuario ( UAM).

Historia de SIEM

La tecnología SIEM, que existe desde mediados de la década de 2000, evolucionó inicialmente desde la disciplina de gestión de registros, los procesos colectivos y las políticas utilizadas para administrar y facilitar la generación, transmisión, análisis, almacenamiento, archivo y eliminación final de los grandes volúmenes de datos de registro creados dentro de un sistema de información.

Los analistas de Gartner Inc. acuñaron el término SIEM en el informe de Gartner de 2005, «Mejorar Seguridad de TI con gestión de vulnerabilidades «. En el informe, los analistas propusieron un nuevo sistema de información de seguridad basado en SIM y SEM.

Construido sobre sistemas de gestión de recopilación de registros heredados, SIM introdujo el análisis de almacenamiento a largo plazo y la generación de informes sobre los datos de registro. SIM también integró registros con inteligencia de amenazas. SEM abordó la identificación, recopilación, monitoreo y reporte de eventos relacionados con la seguridad en software, sistemas o infraestructura de TI.

Luego, los proveedores crearon SIEM combinando SEM, que analiza los datos de registro y eventos en tiempo real, proporcionando monitoreo de amenazas , correlación de eventos y respuesta a incidentes, con SIM, que recopila, analiza e informa sobre los datos de registro.

El futuro de SIEM

Las tendencias futuras de SIEM incluyen lo siguiente:

• Orquestación mejorada. Actualmente, SIEM solo proporciona a las empresas automatización básica del flujo de trabajo. Sin embargo, a medida que las organizaciones continúen creciendo, SIEM deberá ofrecer capacidades adicionales. Por ejemplo, debido a la mayor comercialización de inteligencia artificial y aprendizaje automático, las herramientas SIEM tendrán que ofrecer una orquestación más rápida para proporcionar a los diferentes departamentos dentro de una empresa el mismo nivel de protección. Además, los protocolos de seguridad y la ejecución de esos protocolos serán más rápidos, así como más efectivos y más eficientes.
• Mejor colaboración con herramientas de detección y respuesta administradas (MDR). A medida que las amenazas de piratería y acceso no autorizado continúan aumentando, es importante que las organizaciones implementen un enfoque de dos niveles para detectar y analizar las amenazas de seguridad. El equipo de TI de una empresa puede implementar SIEM internamente, mientras que un proveedor de servicios administrados (MSP ) puede implementar la herramienta MDR.
• Gestión y supervisión mejoradas de la nube. Los proveedores de SIEM mejorarán la gestión de la nube y las capacidades de monitoreo de sus herramientas para satisfacer mejor las necesidades de seguridad de las organizaciones que usan la nube.
• SIEM y SOAR evolucionarán en una sola herramienta. Busque productos SIEM tradicionales para aprovechar los beneficios de SOAR; sin embargo, los proveedores de SOAR probablemente responderán ampliando las capacidades de sus productos.