É«¿Ø´«Ã½

SIEM significa informaci¨®n de seguridad y administraci¨®n de eventos. En la pr¨¢ctica, las soluciones de software SIEM combinan los beneficios de la administraci¨®n de informaci¨®n de seguridad (SIM) y la administraci¨®n de eventos de seguridad (SEM) en una soluci¨®n de seguridad integral capaz de proporcionar un an¨¢lisis en tiempo real de las alertas de seguridad generadas por sus aplicaciones y hardware.

?C¨®mo funciona SIEM?

SIEM trabaja recopilando informaci¨®n de registros y datos de eventos generados por una organizaci¨®n en sus aplicaciones, sistemas de seguridad y hardware. Al hacer coincidir los eventos con las reglas y los motores de an¨¢lisis, es posible que los sistemas SIEM detecten y analicen las amenazas de seguridad en tiempo real. Mejor a¨²n, todo est¨¢ indexado para la b¨²squeda para ayudar a los equipos de seguridad en sus an¨¢lisis, administraci¨®n de registros e informes.

Ejemplos de amenazas que puede detectar una soluci¨®n SIEM

Acceso no autorizado

Es comprensible un pu?ado de intentos fallidos de inicio de sesi¨®n. Marque ese n¨²mero hasta 100 y es probable que alguien est¨¦ realizando un ataque de fuerza bruta. El software SIEM puede monitorear el comportamiento del usuario e identificar intentos de acceso inusuales.

Amenazas internas

Al monitorear constantemente el comportamiento de los empleados, los sistemas SIEM pueden detectar amenazas internas, tanto accidentales como maliciosas. Desde exempleados, a quienes a¨²n no se les han revocado sus privilegios de acceso, hasta personas malintencionadas con informaci¨®n privilegiada, que pueden estar intentando robar o filtrar informaci¨®n confidencial, hasta cambios de seguridad accidentales, el software SIEM puede detectar comportamientos an¨®malos y escalarlos a un analista de seguridad para su an¨¢lisis.

Phishing

Los ataques de phishing est¨¢n dise?ados para que las personas divulguen voluntariamente informaci¨®n personal o confidencial al hacerse pasar por una autoridad de confianza. La forma m¨¢s com¨²n de phishing son los correos electr¨®nicos con enlaces maliciosos o archivos adjuntos de atacantes que se enmascaran como proveedores, gerentes o personal. Adem¨¢s de la capacitaci¨®n de seguridad, una soluci¨®n SIEM puede detectar cosas como inicios de sesi¨®n de empleados desde ubicaciones sospechosas en momentos inusuales, lo que puede ser un signo de una cuenta de empleado comprometida. Luego, puede bloquear ese perfil de usuario para evitar da?os hasta que el empleado pueda confirmar el acceso.

Ataques DoS y DDoS

Los ataques de denegaci¨®n de servicio (DoS) interrumpen los servicios al inundar las redes con suficiente tr¨¢fico para conectar los recursos del sistema y desencadenar una falla. La frecuencia de dichas amenazas est¨¢ aumentando debido a la facilidad con la que las botnets pueden confeccionar los dispositivos de red de los usuarios sin saberlo en sus propios enjambres para realizar ataques de denegaci¨®n de servicio distribuido (DDoS). Al monitorear los registros de su servidor web, el software SIEM puede se?alar eventos de tr¨¢fico an¨®malos que pueden ser indicativos de un ataque DoS o DDoS. Detectar estos ataques desde el principio puede darle tiempo a su equipo de seguridad para montar una defensa y planificar la restauraci¨®n de los servicios.

Inyecci¨®n de c¨®digo

La inyecci¨®n de c¨®digo implica inyectar c¨®digo malicioso en los canales de entrada del lado del cliente, como los formularios en l¨ªnea, para obtener acceso a la base de datos o los sistemas de una aplicaci¨®n. El ejemplo m¨¢s com¨²n de esto es la inyecci¨®n de SQL en la que los comandos de SQL se insertan en la entrada no desinfectada, lo que permite al atacante modificar o eliminar datos directamente de la base de datos. Al monitorear la actividad de las aplicaciones web, es posible marcar eventos an¨®malos y usar la correlaci¨®n de eventos para ver si se han producido cambios en su sistema.

Ransomware y otro malware

Ransomware, virus, gusanos, troyanos y otros tipos de malware son software dise?ado para infiltrarse en sistemas inform¨¢ticos y ejecutar programas maliciosos. La mejor defensa contra dichos ataques es la prevenci¨®n, y los sistemas SIEM le brindan las capacidades de monitoreo que necesita para comprender los registros de seguridad, identificar vectores de ataque y detectar comportamientos an¨®malos que podr¨ªan provocar un ataque. Una vez comprometido, SIEM tambi¨¦n puede ayudarlo a identificar el alcance del da?o de un ataque de malware, lo que le brinda a su equipo de seguridad la informaci¨®n que necesita para resolver el problema.

Ataques MITM

Un ataque de hombre en el medio (MITM) es cuando un tercero malicioso escucha las comunicaciones entre dos hosts para robar o manipular informaci¨®n. Una vez que las comunicaciones han sido interceptadas, el atacante puede emplear varias t¨¦cnicas, desde secuestrar sesiones de usuarios al escanear entradas de contrase?as hasta inyectar paquetes maliciosos en flujos de comunicaci¨®n de datos. Las conexiones o desconexiones frecuentes a ubicaciones desconocidas pueden indicar un ataque MITM, por lo que SIEM puede ser una herramienta invaluable para ayudar a atrapar a los esp¨ªas antes de que sea demasiado tarde.

Cu¨¢ndo usar SIEM con ejemplos

Los sistemas SIEM sirven como componente central de cualquier infraestructura de seguridad empresarial. Veamos algunos ejemplos de casos de uso de SIEM.

Cumplimiento de los est¨¢ndares de datos

Los sistemas SIEM agregan datos de registros de eventos, herramientas de seguridad y dispositivos en toda la empresa. Es la herramienta perfecta para ayudar a generar informes regulatorios y de cumplimiento.

Estos son algunos ejemplos:

• GDPR: El Reglamento General de Protecci¨®n de Datos (GDPR) fue promulgado por la Uni¨®n Europea (UE) para proteger los datos personales de los ciudadanos de la UE.
• HIPAA: La Ley de Portabilidad y Responsabilidad del Seguro M¨¦dico (HIPAA, Health Insurance Portability and Accountability Act) fue promulgada por la legislatura de los EE. UU. para proteger la informaci¨®n m¨¦dica confidencial de los pacientes.
• PCI: El Est¨¢ndar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) es un est¨¢ndar de seguridad de la informaci¨®n exigido por las principales empresas de tarjetas de cr¨¦dito para proteger a sus clientes.
• Cumplimiento de SOX: La Ley Sarbanes-Oxley (SOX) es una reglamentaci¨®n de los EE. UU. que apunta al fraude contable corporativo. Se aplica a juntas de empresas p¨²blicas, empresas de administraci¨®n y contabilidad, y requiere informes precisos de d¨®nde se almacena la informaci¨®n confidencial, qui¨¦n tiene acceso a ella y c¨®mo se utiliza.

Debido a que SIEM proporciona acceso estructurado a informaci¨®n de registro y datos de seguridad en toda su empresa, es posible crear informes detallados para organismos regulatorios y propietarios de datos individuales por igual.

Detecci¨®n avanzada de amenazas de seguridad

Como se explica en mayor detalle en la secci¨®n anterior, ¡°Ejemplos de amenazas que una soluci¨®n SIEM puede detectar¡±, los sistemas SIEM se crearon para detectar amenazas de seguridad avanzadas. Veamos algunos ejemplos m¨¢s generales de c¨®mo los sistemas SIEM admiten la b¨²squeda de amenazas activas.

• Identificaci¨®n de anomal¨ªas: El an¨¢lisis de comportamiento y la correlaci¨®n de eventos pueden marcar anomal¨ªas para una inspecci¨®n m¨¢s detallada por parte de los equipos de seguridad.
• Exfiltraci¨®n de datos: Tener una vista panor¨¢mica de c¨®mo se usan sus datos puede alertarlo sobre amenazas internas y otros intentos no autorizados de transferir informaci¨®n confidencial fuera de su organizaci¨®n sin autorizaci¨®n.
• Respuesta a nuevas vulnerabilidades: Si se identifica una nueva vulnerabilidad del sistema o exploit de d¨ªa cero, una soluci¨®n SIEM puede ayudarlo a identificar r¨¢pidamente el alcance de la vulnerabilidad para que pueda cerrarla.
• Aprenda de incidentes pasados: Cuando ocurre un incidente, puede verificar r¨¢pidamente si ha ocurrido antes. La experiencia pasada al lidiar con el problema puede ayudarlo a evitar incidentes futuros o lidiar con incidentes repetidos m¨¢s r¨¢pido.
• Inteligencia sobre amenazas: Detecte de manera inteligente los ataques en los sistemas de TI aplicando AI a los datos y registros de seguridad. El patr¨®n hace coincidir las firmas de ataque conocidas con los datos hist¨®ricos.
• Gu¨ªe las investigaciones: Potencie a los analistas para que prueben las hip¨®tesis a trav¨¦s de la exploraci¨®n de datos a trav¨¦s de una plataforma SIEM.

Protecci¨®n de las implementaciones de IoT

El Internet de las cosas (IoT) existe como una flota de dispositivos de red distribuidos que transmiten sus propios registros de eventos en tiempo real. Los sistemas SIEM son ideales para asegurar las implementaciones de IoT.

• Monitoreo de dispositivos IoT: Los dispositivos IoT son objetivos principales para el secuestro en botnets para llevar a cabo ataques DDoS. El monitoreo constante de un sistema SIEM puede derivarlo en un comportamiento an¨®malo indicativo de un dispositivo comprometido.
• Monitoreo del flujo de datos: Los dispositivos IoT a menudo se comunican entre s¨ª a trav¨¦s de protocolos no cifrados. Una soluci¨®n SIEM puede detectar patrones de tr¨¢fico inusuales entre nodos en su red de IoT y alertar a los equipos de seguridad cuando la informaci¨®n confidencial se vea comprometida.
• Control de acceso: Monitorear qui¨¦n accede a sus dispositivos IoT y cu¨¢ndo puede alertarlo sobre actividades o conexiones sospechosas.
• Administraci¨®n de vulnerabilidades: Una soluci¨®n SIEM puede ayudarlo a detectar sistemas operativos antiguos y vulnerabilidades sin parches en los dispositivos IoT de su flota. Tambi¨¦n puede ayudarlo a aislar los dispositivos con m¨¢s probabilidades de ser atacados, como aquellos con puntos de acceso a datos sensibles o funciones cr¨ªticas.

?En qu¨¦ se diferencia SIEM de un IDS?

La diferencia principal entre un sistema SIEM y un sistema de detecci¨®n de intrusos (IDS) es que SIEM es preventivo, mientras que un IDS est¨¢ optimizado para detectar e informar eventos de amenazas a medida que ocurren. Si bien ambas herramientas crear¨¢n alertas y generar¨¢n registros, solo el sistema SIEM puede centralizar y correlacionar esa informaci¨®n de registro en diferentes dispositivos y sistemas para obtener una vista panor¨¢mica de la seguridad de su empresa.

Las organizaciones suelen usar SIEM e IDS juntos. El IDS lo ayudar¨¢ durante un ataque. La soluci¨®n SIEM tomar¨¢ esos registros de IDS y los pondr¨¢ a disposici¨®n junto con otra informaci¨®n del sistema para que los equipos de seguridad puedan generar informes de cumplimiento y evitar ataques futuros.

SIEM vs. SOAR: ?Cu¨¢l es la diferencia?

La organizaci¨®n, automatizaci¨®n y respuesta de seguridad (SOAR) es el nuevo ni?o relativo en el bloque. Ampl¨ªa las capacidades de SIEM al permitirle automatizar los flujos de trabajo de la ruta de investigaci¨®n. Esto reduce el tiempo necesario para manejar las alertas.

SIEM identifica amenazas al correlacionar informaci¨®n de varias fuentes, incluidos firewalls, aplicaciones, servidores y dispositivos. La soluci¨®n SIEM intentar¨¢ proporcionar la informaci¨®n m¨¢s relevante al equipo de seguridad con sugerencias para la correcci¨®n, pero pertenece al equipo de seguridad rastrear y corregir la fuente de una amenaza potencial.

La plataforma SOAR hace todo eso y m¨¢s al dar un paso adicional para automatizar la ruta de investigaci¨®n. Va m¨¢s all¨¢ de simplemente alertar al equipo de seguridad sobre una amenaza potencial mediante el uso de la AI para aprender comportamientos de patrones y abordar las amenazas autom¨¢ticamente a trav¨¦s de la organizaci¨®n.

Proveedores comunes de ciberseguridad SIEM

Algunas herramientas SIEM populares en el mercado incluyen:

?

Conclusiones

En resumen, SIEM significa informaci¨®n de seguridad y administraci¨®n de eventos. Las herramientas SIEM se pueden usar para detectar y prevenir una variedad de amenazas, incluida la inyecci¨®n de c¨®digo, los ataques de ransomware y los ataques de DDoS. Son especialmente ¨²tiles para detectar anomal¨ªas, como acceso no autorizado, intentos de inicio de sesi¨®n sospechosos y flujos de datos inusuales. Si necesita una plataforma de seguridad que pueda agregar registros de varias fuentes en una ubicaci¨®n centralizada para el an¨¢lisis de seguridad, una soluci¨®n SIEM puede ayudarlo.