É«¿Ø´«Ã½

SIEM significa gesti¨®n de informaci¨®n y eventos de seguridad (seg¨²n sus siglas en ingl¨¦s). En la pr¨¢ctica, las soluciones de software SIEM combinan las ventajas de la gesti¨®n de la informaci¨®n de seguridad (SIM por sus siglas en ingl¨¦s) y de la gesti¨®n de los eventos de seguridad (SEM seg¨²n sus siglas en ingl¨¦s) en una soluci¨®n de seguridad completa capaz de proporcionar an¨¢lisis en tiempo real de las alertas de seguridad generadas por las aplicaciones y el hardware.

?C¨®mo funciona una soluci¨®n SIEM?

Una soluci¨®n SIEM funciona recopilando informaci¨®n de los registros y los datos de los eventos generados por una organizaci¨®n en todas sus aplicaciones, sistemas de seguridad y hardware. Cotejando los eventos con las reglas y los motores de an¨¢lisis, los sistemas SIEM pueden detectar y analizar las amenazas de seguridad en tiempo real. Y lo que es mejor, todo est¨¢ indexado para la b¨²squeda, para ayudar a los equipos de seguridad en los an¨¢lisis, la gesti¨®n de los registros y la creaci¨®n de informes.

Ejemplos de amenazas que una soluci¨®n SIEM puede detectar

El acceso no autorizado

Que se produzcan unos cuantos intentos de inicio de sesi¨®n fallidos es algo comprensible. Si la cifra llega a 100, es muy probable que alguien est¨¦ realizando un ataque de fuerza bruta. El software SIEM puede supervisar la conducta del usuario e identificar los intentos de acceso inusuales.

Las amenazas internas

La supervisi¨®n continua de la conducta de los empleados permite que los sistemas SIEM detecten las amenazas internas, tanto accidentales como maliciosas. Desde los antiguos empleados, a los que a¨²n no se les han retirado los privilegios de acceso, hasta el personal interno malintencionado, que puede estar intentando robar o filtrar informaci¨®n sensible, y los cambios de seguridad accidentales, el software SIEM puede detectar las conductas an¨®malas y comunicarlas a un analista de seguridad para que proceda a su an¨¢lisis.

Phishing

Los ataques de phishing est¨¢n dise?ados para que las personas divulguen voluntariamente informaci¨®n personal o sensible, haciendo creer a la v¨ªctima que est¨¢ ante una autoridad de confianza. La forma m¨¢s com¨²n de phishing son los emails que incluyen enlaces o datos adjuntos maliciosos de los atacantes, que se hacen pasar por proveedores, responsables o trabajadores. Sumada a la formaci¨®n en materia de seguridad, una soluci¨®n SIEM puede permitir detectar cosas como los inicios de sesi¨®n de un empleado desde ubicaciones sospechosas y a horas inhabituales, lo que puede ser un indicio de que se ha vulnerado la cuenta de dicho empleado. Lo que hay que hacer a continuaci¨®n es bloquear ese perfil de usuario para evitar da?os, hasta que el empleado pueda confirmar el acceso.

Ataques DoS y DDoS

Los ataques de denegaci¨®n de servicio (DoS) interrumpen los servicios inundando las redes con la cantidad de tr¨¢fico suficiente para paralizar los recursos de un sistema y provocar su bloqueo. La frecuencia de dichas amenazas va en aumento, debido a la facilidad con la que las redes de robots (botnets) pueden incluir los dispositivos de red de los usuarios incautos en sus propias flotas de recursos para efectuar ataques de denegaci¨®n de servicio distribuidos (DDoS). Supervisando los registros del servidor web, el software SIEM puede marcar los eventos de tr¨¢fico an¨®malos que pueden ser un indicio de que se est¨¢ produciendo un ataque DoS o DDoS. La detecci¨®n temprana de este tipo de ataques puede permitir que su equipo de seguridad organice una defensa y un plan de restauraci¨®n de los servicios.

C¨®digo de Inyecci¨®n

La inyecci¨®n de c¨®digo consiste en insertar c¨®digo malicioso en los canales de entrada del lado cliente, como los formularios online, para conseguir acceder a los sistemas o la base de datos de una aplicaci¨®n. El ejemplo m¨¢s habitual de ello es la inserci¨®n de SQL, en la que se insertan comandos SQL en una entrada no saneada, lo que permite que el atacante modifique o borre directamente los datos de la base de datos. Con la supervisi¨®n de la actividad de las aplicaciones web, es posible se?alar los eventos an¨®malos y usar la correlaci¨®n de eventos para ver si se ha producido alg¨²n cambio en el sistema.

Ransomware y los otros tipos de malware

El ransomware, los virus, los gusanos, los troyanos y los otros tipos de malware son software dise?ado para infiltrarse en los sistemas inform¨¢ticos y ejecutar programas malintencionados. La mejor defensa frente a estos ataques es la prevenci¨®n y los sistemas SIEM le proporcionan la capacidad de supervisi¨®n que necesita para interpretar los registros de seguridad, identificar los vectores de los ataques y detectar las conductas an¨®malas que pueden llevar a un ataque. Cuando la vulneraci¨®n ya es una realidad, el sistema SIEM tambi¨¦n puede ayudarle a identificar el alcance del da?o de un ataque de malware y proporcionar al equipo de seguridad la informaci¨®n que necesita para resolver el problema.

Ataques MITM

Los ataques de intermediario, o de ¡°man-in-the-middle¡± (MITM), se producen cuando un tercero malintencionado intercepta las comunicaciones entre dos hosts para robar o manipular la informaci¨®n. Una vez que las comunicaciones han sido interceptadas, el atacante puede emplear distintas t¨¦cnicas, desde el secuestro de las sesiones de usuario, rastreando las entradas de contrase?as, hasta la inserci¨®n de paquetes maliciosos en los flujos de comunicaci¨®n de datos. Las conexiones y desconexiones frecuentes a ubicaciones extra?as pueden indicar la existencia de un ataque MITM, por ello, un sistema SIEM puede ser una herramienta muy valiosa para ayudar a detectar a los esp¨ªas, antes de que sea demasiado tarde.

Cu¨¢ndo usar un sistema SIEM con ejemplos

Los sistemas SIEM constituyen el componente central de cualquier infraestructura de seguridad de una empresa. Veamos algunos ejemplos de casos de uso de estos sistemas SIEM.

Cumplimiento de las normativas de datos

Los sistemas SIEM agregan los datos de los registros de eventos, las herramientas de seguridad y los dispositivos de toda la empresa. Por ello, es la herramienta perfecta para ayudar a generar los informes reglamentarios y de cumplimiento normativo.

Aqu¨ª tiene algunos ejemplos:

• RGPD: el Reglamento General de Protecci¨®n de Datos fue aprobado por la Uni¨®n Europea (UE) para proteger los datos personales de los ciudadanos de la UE.
• HIPAA: la Ley de Portabilidad y Responsabilidad de los Seguros de Salud (HIPAA) fue aprobada por la asamblea legislativa de los Estados Unidos para proteger la informaci¨®n sensible sobre la salud de los pacientes.
• PCI: el Est¨¢ndar de Seguridad de los Datos del Sector de las Tarjetas de Pago (PCI DSS) es un est¨¢ndar de seguridad de la informaci¨®n establecido por las empresas de tarjetas de cr¨¦dito para proteger a sus clientes.
• Conformidad SOX: la Ley Sarbanes-Oxley (SOX) es una normativa estadounidense que se centra en el fraude en materia de contabilidad de las empresas. Se aplica a los consejos de administraci¨®n de las empresas que cotizan en bolsa, a los directivos empresariales y a las empresas de contabilidad y exige la presentaci¨®n de informes precisos en los que se indique d¨®nde se almacena la informaci¨®n sensible, qui¨¦n tiene acceso a ella y c¨®mo se usa.

Un sistema SIEM proporciona un acceso estructurado a la informaci¨®n de los registros y los datos de seguridad de toda la empresa, por lo que permite crear informes detallados tanto para los organismos reguladores como para los propietarios individuales de los datos.

Detecci¨®n de amenazas avanzadas para la seguridad

Tal como hemos visto con m¨¢s detalle en el apartado anterior ¡°Ejemplos de amenazas que una soluci¨®n SIEM puede detectar¡±, los sistemas SIEM se crearon para detectar las amenazas avanzadas para la seguridad. Veamos algunos ejemplos m¨¢s generales de c¨®mo los sistemas SIEM ayudan a buscar activamente las amenazas.

• Identificaci¨®n de anomal¨ªas: los an¨¢lisis del comportamiento y la correlaci¨®n de eventos pueden se?alar las anomal¨ªas para que los equipos de seguridad las inspeccionen con m¨¢s detalle.
• Exfiltraci¨®n de datos: el hecho de tener una visi¨®n de conjunto de c¨®mo se usan los datos permite obtener unos indicios claros de las amenazas internas y de otros intentos de transferir informaci¨®n sensible fuera de la organizaci¨®n de manera no autorizada.
• Respuesta a nuevas vulnerabilidades: si se identifica una nueva vulnerabilidad de d¨ªa cero o del sistema, una soluci¨®n SIEM puede ayudar a determinar el alcance de la vulnerabilidad para poder cerrarla.
• Aprendizaje de incidentes pasados: cuando se produce un incidente, puede comprobar r¨¢pidamente si ya ha ocurrido con anterioridad. La experiencia de c¨®mo se trat¨® el problema en el pasado puede ayudarle a evitar que dicho problema se vuelva a producir o a tratar m¨¢s r¨¢pidamente los incidentes repetidos.
• Inteligencia sobre amenazas: detecte de manera inteligente los ataques en los sistemas inform¨¢ticos, aplicando la IA a los registros y los datos de seguridad. Compruebe la coincidencia de patrones entre las se?ales conocidas de los ataques y los datos hist¨®ricos.
• Gu¨ªa de la investigaci¨®n: empodere a los analistas para que pongan a prueba las hip¨®tesis a trav¨¦s de la exploraci¨®n de los datos mediante una plataforma SIEM.

Protecci¨®n de las implementaciones de IdC

El Internet de las cosas (IdC) consiste en una flota de dispositivos de red distribuida, cada uno de los cuales transmite sus propios registros de eventos en tiempo real. Los sistemas SIEM son ideales para proteger las implementaciones del IdC.

• Supervisi¨®n de los dispositivos del IdC: los dispositivos del IdC son uno de los objetivos principales de los secuestros que se llevan a cabo para formar las redes de robots (botnets) que realizan los ataques DDoS. La supervisi¨®n constante con un sistema SIEM puede proporcionarle un indicio claro de que hay una conducta an¨®mala que apunta a la existencia de un dispositivo vulnerado.
• Supervisi¨®n del flujo de datos: los dispositivos del IdC con frecuencia se comunican entre ellos a trav¨¦s de protocolos sin cifrar. Una soluci¨®n SIEM puede detectar unos patrones de tr¨¢fico no habituales entre nodos de su red de IdC y avisar a los equipos de seguridad cuando se vulnere la informaci¨®n sensible.
• Control de accesos: la supervisi¨®n de qui¨¦n accede a sus dispositivos de IdC y cu¨¢ndo lo hace puede alertarle de la existencia de actividades o conexiones sospechosas.
• Gesti¨®n de la vulnerabilidad: una soluci¨®n SIEM puede ayudarle a detectar los sistemas operativos viejos y las vulnerabilidades no corregidas que existen en su flota de dispositivos del IdC. Tambi¨¦n puede ayudarle a aislar los dispositivos que es m¨¢s probable que sufran un ataque, por ejemplo, aquellos con puntos de acceso a datos sensibles o funciones cr¨ªticas.

?Qu¨¦ diferencia a un sistema SIEM de un IDS?

La diferencia principal entre un sistema SIEM y un sistema de detecci¨®n de intrusiones (IDS) es que el primero es preventivo, mientras que el segundo est¨¢ optimizado para detectar e informar de los eventos que suponen una amenaza cuando se producen. Ambas herramientas generan alertas y registros, pero solo el sistema SIEM puede centralizar y relacionar esa informaci¨®n de registro con diferentes dispositivos y sistemas, para proporcionar una visi¨®n general de la seguridad de la empresa.

Las organizaciones suelen utilizar los sistemas SIEM e IDS conjuntamente. El sistema IDS ayudar¨¢ durante un ataque. La soluci¨®n SIEM coger¨¢ esos registros IDS y har¨¢ que est¨¦n disponibles junto con la otra informaci¨®n del sistema, para que los equipos de seguridad puedan generar informes de conformidad y prevenir ataques futuros.

SIEM versus SOAR: ?cu¨¢l es la diferencia?

La orquestaci¨®n, automatizaci¨®n y respuesta de seguridad (SOAR por sus siglas en ingl¨¦s) es un reci¨¦n llegado relativo. Ampl¨ªa las funcionalidades del sistema SIEM al permitirle tambi¨¦n la automatizaci¨®n de los flujos de trabajo de las v¨ªas de investigaci¨®n. Esto reduce el tiempo necesario para manejar las alertas.

El sistema SIEM identifica las amenazas al correlacionar la informaci¨®n procedente de m¨²ltiples fuentes, incluidos los cortafuegos, las aplicaciones, los servidores y los dispositivos. La soluci¨®n SIEM tratar¨¢ de proporcionar la informaci¨®n m¨¢s relevante para el equipo de seguridad, junto con sugerencias de correcci¨®n, pero es el equipo de seguridad el que tiene que localizar y corregir la fuente de la posible amenaza.

La plataforma SOAR hace todo eso y m¨¢s, ya que da otro paso y automatiza la v¨ªa de investigaci¨®n. Es decir, va m¨¢s all¨¢ de simplemente alertar al equipo de seguridad de una posible amenaza y usa la IA para aprender los patrones de conducta y abordar las amenazas autom¨¢ticamente a trav¨¦s de la orquestaci¨®n.

Los proveedores de ciberseguridad SIEM m¨¢s comunes

Estas son algunas herramientas SIEM populares que est¨¢n disponibles en el mercado:

?

°ä´Ç²Ô³¦±ô³Ü²õ¾±¨®²Ô

En resumen, SIEM significa gesti¨®n de informaci¨®n y eventos de seguridad (seg¨²n sus siglas en ingl¨¦s). Las herramientas SIEM pueden utilizarse para detectar y prevenir una variedad de amenazas, incluidas la inserci¨®n de c¨®digo, los ataques de ransomware y los ataques DDoS. Son especialmente ¨²tiles para detectar anomal¨ªas, como los accesos no autorizados, los intentos de inicio de sesi¨®n sospechosos y los flujos de datos inusuales. Si necesita una plataforma de seguridad capaz de agregar los registros de m¨²ltiples fuentes en una ubicaci¨®n centralizada para realizar an¨¢lisis de seguridad, una soluci¨®n SIEM puede ayudarle.