Cómo mejorar tu estrategia de ciberseguridad con una solución SIEM

“La respuesta está en los logs”: fue uno de los primeros mantras que me enseñaron cuando comencé a trabajar en el mundo de las TIC y, a día de hoy, sigue siendo tan válido como hace 10 años, y no os quepa duda de que seguirá vigente otros tantos más. Seamos una PYME o una gran empresa, disponemos de decenas de dispositivos y servicios que están generando eventos con información de seguridad continuamente.

Tradicionalmente, una buena estrategia de mantenimiento preventivo de sistemas incluía la revisión periódica de estos logs; se trata de una estrategia adecuada, sin embargo, dadas las actuales exigencias que requiere la seguridad informática, presenta las siguientes carencias:

  • No proporciona información en tiempo real, sólo dispondremos de información cuando se realice la tarea periódica de revisión de logs. Actualmente es más que nunca imperativo disponer de datos en tiempo real; detectar eventos que nos permitan anticiparnos a un incidente de seguridad ahorrará a nuestra organización mucho tiempo y dinero.
  • No disponemos de un punto centralizado de gestión de los eventos de seguridad, sólo tendremos información de cada uno de los sistemas y servicios como entes aislados. La importancia de disponer de un punto centralizado de gestión de la seguridad se sustenta en la potencia que proporciona la correlación de eventos de seguridad de distintos orígenes de datos.
  • Resulta complicado apoyar los eventos detectados con información procedente de las bases de datos de seguridad de los fabricantes líderes.
  • No se generan alertas ni respuestas ante los eventos de seguridad que se produzcan.

 

La solución: una herramienta SIEM (Security Information and Event Management)

Es un hecho que la información sobre eventos de seguridad ya la tenemos, la generan constantemente nuestros sistemas, la incorporación de una solución SIEM de última generación nos va a permitir centralizarla de manera que podamos correlacionar la información de los distintos orígenes de datos, generando alertas y respuestas en tiempo real.

Asimismo, apoyaremos nuestra detección en la información de seguridad proporcionada por los grandes fabricantes: información sobre redes de botnets, sitios maliciosos, servidores detectados como fuente de malware, etc.

No olvidemos además la opción que algunos SIEM incorporan de realizar análisis de vulnerabilidades proactivos, de manera que seamos nosotros los que detectemos una vulnerabilidad antes de que un tercero con ‘peores intenciones’ se aproveche de ella.

Como dicen que una imagen vale más que mil palabras, vamos a ver ahora alguna de estas funcionalidades, en este caso lo haremos desde una de las soluciones SIEM más potentes en del mercado, QRadar, el SIEM de IBM.

QRadar de IBM

Información en tiempo real

Información en tiempo real para detener ataques y saber que está ocurriendo en cada momento en nuestra red.


Información en tiempo real para detener ataques y saber que está ocurriendo en cada momento en nuestra red.

 

Correlación de eventos de distintas fuentes

En este ejemplo vemos una alerta que se ha generado en base a la entrada de distintos orígenes de datos: por un lado, se ha detectado en nuestro firewall conexiones que usan el protocolo ssh por un puerto no standard (lo que podría suponer un backdoor), y por el otro, intentos de conexiones a múltiples equipos reportados por dichos equipos en los que se han realizado inicios de sesión fallidos.

En este ejemplo vemos una alerta que se ha generado en base a la entrada de distintos orígenes de datos: por un lado, se ha detectado en nuestro firewall conexiones que usan el protocolo ssh por un puerto no standard (lo que podría suponer un backdoor), y por el otro, intentos de conexiones a múltiples equipos reportados por dichos equipos en los que se han realizado inicios de sesión fallidos.

 

Generación de alertas y respuestas

rule response

Nuestro SIEM puede permitirnos generar distintos tipos de alertas, así como respuestas en tiempo real.

 

Análisis de comportamiento de usuarios

Análisis de comportamiento de usuarios

Diversos estudios indican que las amenazas con origen interno suponen hasta un 60% de los ataques de seguridad que afrontan las empresas. Un SIEM que pueda analizarlos nos permitirá detectar anomalías (logins a horas no habituales, desde ubicaciones “extrañas”, a equipos designados como alto valor…) que puedan desembocar en un incidente de seguridad.

 

Alimentación constante de amenazas actualizadas

base de firmas de X-Force

En este ejemplo, vemos como alimentamos nuestra base de datos de amenazas con la base de firmas proporcionada por X-Force, la plataforma de seguridad de IBM.

 

Análisis proactivo de vulnerabilidades

scan result

análisis de vulnerabilidades

Aquí tenemos un ejemplo de análisis de vulnerabilidades realizado sobre uno de nuestros equipos, en el que se muestran las vulnerabilidades existentes, clasificadas por gravedad, y en el detalle de las mismas, obtenemos más información sobre como solventarlas.



Existen varias soluciones, en el momento de iniciar un proyecto se evaluará cual es la más adecuada en función de la organización. QRadar, por ejemplo, es una solución que puede ejecutarse on premise o como servicio proporcionado por un partner de seguridad, sin necesidad de desplegar en nuestras instalaciones la solución. En este webinar, os mostramos con más detalle el funcionamiento de esta solución:

La evaluación de la solución será solo una de las fases en un proyecto de implementación de consola de seguridad centralizada, existen otras como el análisis, despliegue, configuración o mantenimiento. Se trata de un proyecto de cabecera en cualquier plan de seguridad y que nos permitirá obtener mayor cantidad y, sobre todo, calidad en la información de seguridad.

Leave a Reply

¿Quieres conocer lo último en tecnología y marketing?

¿Quieres conocer lo último en tecnología y marketing?


You have Successfully Subscribed!