Es una realidad, que la ciberdelincuencia está en auge, los ataques que sufren empresas de todo tipo a nivel mundial cada vez son más numerosos y de mayor sofisticación si cabe, lo cual hace casi imposible poder combatirlos y minimizar su impacto en la sociedad.
Ataques que hace no muchos años, se llevaban a cabo por diversión o por el hecho de obtener conocimientos y práctica en materia de seguridad digital; se ha convertido en un negocio multimillonario, el cual no parece tocar techo y cuenta con un crecimiento económico continuado.
Tanto Gobiernos como empresas privadas, han de dedicar año tras año, partidas presupuestarias multimillonarias, para intentar combatir y mitigar los ataques de la ciberdelincuencia.
Solo unos cuantos clics nos separan de un sinfín de modalidades de ataque (DDoS, Botnets, instalación de malware, correos de Spam o Phising, …), con las que cualquier usuario, bien doméstico o empresarial puede verse sorprendido, de la forma más sencilla y sin darse cuenta, contribuir a comprometer la seguridad de su hogar o compañía.
Podemos afirmar que las barreas de defensa tradicionales, como pueden ser los famosos antivirus en los ordenadores personales de cada usuario, están obsoletas para poder afrontar y enfrentarse con cierto nivel de éxito al elevado número de ataques y a la gran diversidad de los mismos; así como a los efectos negativos que pueden ocasionar.
A todo esto, hay que añadir el momento que vivimos, con el “boom” del Big Data y es que no podemos obviar las grandes cantidades de datos que se recogen actualmente en las compañías, desde diferentes lugares, sistemas y plataformas, hecho el cual contribuye a que la detención de los ataques y las brechas de seguridad sea más costosa tanto económicamente como en tiempo y esfuerzo necesario para su gestión.
Con el objetivo de poder solucionar esta situación y enfrentarse a las diferentes amenazas, con un mayor grado de seguridad y conocimiento, han aparecido los popularmente conocidos como sistemas “SIEM” (Security Information and Event Management), herramientas las cuales están demostrando su excelente desempeño ante escenarios llenos de amenazas y ataques, lo cual hace que las compañías consideren casi una obligación el hecho de contar con un SIEM optimizado entre sus sistemas de seguridad informática.
SIEM (Sistema de gestión de eventos e información de seguridad) es una plataforma que centraliza la recogida, el almacenamiento y la interpretación de los datos relevantes de seguridad.
De esta forma permite un análisis de la situación de múltiples ubicaciones desde un punto de vista unificado, situación esta, que facilita la detección de tendencias y patrones no habituales.
La mayoría de los sistemas de información SIEM funcionan desplegando múltiples agentes que recopilan eventos relacionados con la seguridad, de diferentes orígenes de datos de diferentes entornos e incuso de diferentes ubicaciones físicas.
¿Por qué necesitamos una solución SIEM y qué es lo que hace?
Si hablamos de Seguridad IT, el tiempo y la capacidad de respuesta temprana, son factores importantes; puesto que, solo aquellos que reconocen a tiempo los patrones de comportamiento sospechosos y no habituales en la red corporativa, pueden reaccionar rápidamente y evitar daños mayores.
Como hemos expuesto anteriormente, no hay debate sobre el hecho de que la ciberdelincuencia y los ciberataques a cualquier sistema informático está en constante aumento.
Esta es una de las principales razones, por las que la monitorización de sistemas y redes desempeña un papel crucial para ayudar a las compañías a protegerse, y es aquí donde los SIEM están tomando un papel determinante en el aumento del grado de seguridad corporativa; junto con la evolución y mejora a lo largo de los años de las diferentes metodologías y técnicas relacionadas con estos sistemas.
Los beneficios de SIEM incluyen respuesta eficiente a incidentes.
Las diversas tipologías de Compañías utilizan los sistemas SIEM para diferentes propósitos, por lo que los beneficios de estos sistemas varían según las organizaciones; si bien, podemos destacar que todos los sistemas SIEM ingieren, almacenan, procesan e interpretan gran cantidad de datos, unificando la visión de los resultados.
Informes automatizados al personal de seguridad informática.
Uno de los mayores objetivos, para el que las empresas implementan este tipo de herramientas, es el de poder obtener diferentes informes y métricas, del grado de seguridad de la empresa a través de los diferentes registros centralizados y la información que ellos contienen.
Los reportes e informes generados de este análisis se distribuyen entre el personal de seguridad o gestión de áreas TIC e Instrumentación (OT) para poder analizar los mismos y anteponerse a posibles fallos, ataques o errores en los sistemas.
Cada origen de datos registra sus propios eventos de seguridad en sus logs y el sistema SIEM se encarga de recoger estos logs de manera activa o pasiva y unificarlos en un único log de eventos de seguridad.
Posteriormente, como hemos indicado, el sistema será capaz de poner a disposición una información clara y unificada del grado de seguridad de la Compañía; así como los posibles ataques y amenazas detectadas.
El hecho de carecer de sistema SIEM, limita el conocimiento que una compañía tiene a través de la propia información que genera, la cual por otro lado está contenida en los logs de la propia organización.
Mediante el uso de sistemas SIEM, una organización puede ahorrar tiempo y recursos de forma considerable, dotándose de una colección de informes en el entorno de la seguridad de forma ágil y dinámica, los cuales la provean de la mayoría de los indicadores necesarios, para la toma de decisiones y la ejecución de procedimientos en “pos” de la prevención y respuesta a los posibles incidentes de seguridad.
Detectar los ciberataques no detectado
Los sistemas SIEM pueden detectar amenazas, no perceptibles para otros métodos tradicionales de detección; la mayor dificultad cuando nos referimos a ciber-amenazas, es la de prevenir las mismas; pero los sistemas SIEM, contribuyen a la detección temprana.
Gracias a esta detección temprana, los responsables de seguridad pueden tomar medidas apropiadas rápidamente, siguiendo los protocolos establecidos, para evitar daños mayores e irreversibles en algunos casos.
Poco a poco es más habitual que la Inteligencia Artificial se implemente en sistemas SIEM, dotándoles de mayor autonomía y capacidades; por lo que cada vez se acortan más los tiempos de respuesta ante incidentes, así es que todas las compañías con planes de seguridad ambiciosos debieran de tener en sus roadmap contar con herramientas de este tipo en sus infraestructuras.
Analizar, advertir y descubrir vulnerabilidades
Pongamos unos ejemplos:
- El hecho de que un usuario intenta repetidamente iniciar sesión en diferentes sistemas, teniendo un repentino éxito; puede ser indicador de un posible incidente de seguridad.
- El hecho de que alguien acceda a la red corporativa en un corto espacio de tiempo desde diferentes ubicaciones físicas es otro indicador de un posible incidente de seguridad.
Ante estos escenarios, los sistemas SIEM son capaces de reconocer anomalías o comportamientos maliciosos, interactuando con el sistema para que se generen alarmas, avisos… etc.
Configurado de una manera correcta, el sistema es también capaz de tomar medidas por sí mismo para mitigar el riesgo descubierto; en función del tipo de correlaciones que sea capaz de reconocer y monitorizar; por ejemplo, cambiando reglas en un firewall corporativo.
Dentro de los sistemas SIEM hay herramientas que se encargan de que observar y analizar el comportamiento tanto de los usuarios como de los dispositivos; creando con los datos obtenidos perfiles de comportamiento que tienen en cuenta diferentes aspectos relativos a la seguridad, como pueden ser los inicios de sesión, las actividades dentro de una red o el acceso a archivos y carpetas… etc
Hemos de hablar también de la valiosa asistencia que los sistemas SIEM proporcionan en materia de análisis forense de incidentes de seguridad.
El análisis de datos permite a los administradores y personal IT/OT comprender exactamente lo que sucedió (operaciones y actividad previa al ataque) y el porqué (análisis de las debilidades del sistema), pudiendo entonces poner medidas para evitar nuevos ataques en el futuro.
Mejorar la eficiencia de diferentes incidencias:
Como hemos hablado en puntos anteriores, SIEM aumenta significativamente la eficiencia a la hora de detectar incidentes, lo que a su vez conlleva un ahorro de tiempo para aquellos que se encargan de manejar los diferentes incidentes o trabajos derivados de los mismos. Una toma de decisiones rápida combinado con un manejo rápido y profesional de los diferentes sistemas, proporcionan respuestas tempranas ante los posibles ciberataques y contribuyen a reducir los daños que provocan.
Los sistemas SIEM identifican rápidamente la ruta de un ataque, detectan rápidamente todos los orígenes de datos que se vieron afectados por un ataque en particular y proporciona mecanismos automatizados para detener ataques que aún están en curso.
Un Software de Sistema de gestión de eventos e información de seguridad es necesario en una organización.
- Los sistemas SIEM, aportar a las compañías diferentes beneficios, permitiéndolas
Ingerir y analizar grandes volúmenes de información para identificar en dicha información, indicios de ataques y amenazas en tiempo real - La posibilidad de buscar amenazas en registros archivados, mediante el análisis exhaustivo de datos
- Una mayor rapidez a la hora de llevar a cabo la investigación de las alertas y proceder a dar respuesta a las mismas.
- La detección de amenazas previamente desconocidas, basadas en anomalías de los patrones de comportamiento analizados y almacenados.
- La monitorización de las actividades que se llevan a cabo dentro de la Compañía, dotándole a la misma de la información necesaria sobre la actividad de usuarios y dispositivos.
En el Departamento de Ingeniería del Dato de CIC Consulting Informático, mediante el desarrollo y la implementación de sistemas SIEM, dotamos a tu Compañía de herramientas que la protegen frente a los ciberataques, dotándola además de la inteligencia de negocio necesaria para en base al análisis de su propia información, estar en perfectas condiciones de tomar decisiones y llevar a cabo prácticas y procedimientos en “pro” de la prevención y la respuesta temprana.
Sea el único dueño y responsable de la seguridad de su compañía y sepa en todo momento cual es su grado de seguridad de la información.
