Alfonso Barreiro ofrece algunos consejos para elegir una solución de gestión de eventos e información de seguridad (SIEM) y aborda la cuestión de si la necesita.
Las organizaciones de TI, enfrentadas a un creciente volumen de registros de múltiples fuentes, están recurriendo a las soluciones de Gestión de Eventos e Información de Seguridad (SIEM) para ayudar a gestionar la avalancha de información y, al mismo tiempo, analizarla con el fin de encontrar pruebas de incidentes de seguridad. Sin embargo, la implementación de una solución SIEM exitosa no es un proyecto fácil. Aquí examinaremos qué buscar en un producto SIEM y le daremos algunas pautas para una implementación exitosa.
¿Qué es el SIEM?
SIEM es la combinación de dos tipos de productos diferentes, SIM (Security Information Management) que recoge y crea informes a partir de registros de seguridad y SEM (Security Event Manager) que utiliza la correlación de eventos y alertas para ayudar en el análisis de eventos de seguridad. Por otro lado, las herramientas tradicionales de gestión de registros sólo recopilan e informan sobre los datos de registro capturados.
Para poder beneficiarse de las características de una solución SIEM, una organización debe ser capaz de monitorizar y responder a los eventos descubiertos en los registros de seguridad. Como mínimo, ya debería existir un proceso de revisión de los registros (como el que se describe aquí) para garantizar que se asignen los recursos adecuados para una revisión periódica de los registros de seguridad y que las investigaciones de sucesos anómalos puedan llevarse a cabo de forma oportuna. Idealmente, también debería existir un proceso de respuesta a incidentes, con las políticas y recursos correspondientes para responder a los incidentes de seguridad.
Otra consideración importante es que la organización debe estar dispuesta a comprometer recursos para el mantenimiento, ajuste y evolución de la herramienta. La correlación de eventos, una de las características definitorias de un producto SIEM, no convierte por sí sola los datos de registro sin procesar en información procesable. La mayoría de las herramientas proporcionan un conjunto genérico de reglas, condiciones o cuadros de mando de correlación predeterminados que, en la mayoría de los casos, no se ajustan perfectamente a su organización. Los analistas de su organización deben personalizar y mejorar continuamente las reglas, informes y cuadros de mando y adaptarlos a las necesidades de la organización. Si no se dispone de recursos para las tareas regulares de «mantenimiento» de la herramienta, el valor que la herramienta SIEM puede aportar se perderá fácilmente.
¿Qué buscar en una solución SIEM?
Ahora que sabemos lo que es un SIEM y los compromisos de recursos que requiere, podemos echar un vistazo a varias características a las que debe prestar atención a la hora de elegir un producto:
Licencias y escalabilidad: Los diferentes vendedores de SIEM licencian sus productos de manera diferente. Algunos de los modos de licencia más comunes son:
- Número de computadoras/dispositivos monitoreados
- Número de eventos por día/hora/minuto y tamaño del volumen de registro (en MB. Si tiene una línea de base de los logs que desea supervisar, ya debería conocer la mayoría (si no toda) de esta información de antemano.
Tenga en cuenta que algunos productos pueden limitar la funcionalidad (o peor aún, como detener el registro de eventos) si excede su licencia, especialmente aquellos cuya licencia se basa en un número o volumen determinado de eventos.
Asegúrese de verificar que el producto seleccionado es capaz de adaptarse al crecimiento futuro, especialmente en el departamento de almacenamiento. Debe ser capaz de expandir el almacenamiento disponible tanto para los eventos analizados (o normalizados) como para los registros sin procesar.
Compatibilidad de registros: Dado que no existe un único estándar de registro aceptado, no todos los productos SIEM son capaces de capturar eventos de todas las fuentes de registro imaginables. Debe asegurarse de que el producto sea compatible con todas sus necesidades de registro requeridas y de que se puedan analizar y normalizar. Dado que es posible que en el futuro tenga que añadir registros de nuevas fuentes desconocidas, el producto debe proporcionarle una forma de integrar estos nuevos registros o debe preguntarle si el proveedor puede hacerlo por usted si así lo solicita.
El motor de correlación: El motor de correlación depende principalmente de las reglas que el producto puede utilizar. La facilidad de su creación para esas reglas es fundamental. La función de búsqueda disponible para eventos también es muy importante, ya que necesitará la capacidad de buscar en varios dispositivos, registros y períodos de tiempo. Lo ideal es que los resultados de la búsqueda permitan algún tipo de desglose hasta llegar a los datos de registro sin procesar.
Cuadros de mando, informes e interfaz de usuario general: La herramienta debe proporcionar la capacidad de crear sus propios cuadros de mando e informes. Lo ideal es que los cuadros de mando funcionen en tiempo real y proporcionen capacidades de desglose. La facilidad para crear informes personalizados también es importante, así como su puntualidad. Dado que el producto SIEM será una de las principales herramientas utilizadas durante la investigación o el análisis de cualquier incidente de seguridad, su rendimiento y diseño general de la interfaz de usuario debe ser lo suficientemente intuitivo como para no ralentizar al operador.
¿Necesita una solución SIEM?
Como se describe aquí, una solución SIEM requiere recursos que no todas las organizaciones pueden estar listas para comprometerse. Siempre puede evaluar las herramientas que pueden realizar la gestión de registros y ofrecer el nivel de cumplimiento que necesita, pero que le permiten crecer hasta convertirse en una instalación completa de SIEM más adelante.
SIEM no es una bala de plata que por sí sola resolverá todos sus problemas de seguridad, pero cuando cuenta con el personal y el apoyo adecuados, puede proporcionar una excelente manera de identificar y actuar rápidamente ante las amenazas a la seguridad.