28/09/2024
Las herramientas de Security Information and Event Management (SIEM) han existido por mucho tiempo. La mayoría de las grandes organizaciones y algunas PyMEs han implementado una solución SIEM en algún momento, con diversos niveles de éxito. Sin embargo, la complejidad y el Costo de la mayoría de las soluciones SIEM han llevado a muchas organizaciones a buscar alternativas llamadas "SIEM-less": herramientas cuyos objetivos y funcionalidades se superponen con los SIEM, pero son más fáciles de implementar, usar y costear.
- Problemas Clave con las Soluciones SIEM Tradicionales
- Alternativas al SIEM: ¿Cómo Obtener Visibilidad sin los Problemas?
- El SIEM de Próxima Generación (Next-Gen SIEM): Una Evolución Necesaria
- SIEM y el Centro de Operaciones de Seguridad (SOC)
- SIEM Tradicional vs. SIEM de Próxima Generación: Una Comparativa
- Preguntas Frecuentes sobre SIEM y SOC
Problemas Clave con las Soluciones SIEM Tradicionales
En teoría, las soluciones SIEM tradicionales clasifican sin esfuerzo montañas de datos de registro y ayudan a correlacionar eventos a través de una diversa gama de servidores, dispositivos de red y puntos finales. La idea es proporcionar una visibilidad holística de los ataques que podrían estar distribuidos en múltiples puntos de apoyo en la red. La realidad es un poco más complicada.
Sobrecarga de Alertas
Las herramientas SIEM crean una cantidad extraordinaria de ruido, especialmente si no están configuradas adecuadamente. Investigaciones recientes revelaron que un porcentaje significativo de equipos de seguridad afirma recibir más de 10,000 Alertas diarias, e incluso algunos superan las 100,000. Incluso en organizaciones más grandes con un equipo de seguridad dedicado, la fatiga por alertas es inevitable.
Parte del problema es que muchas de estas Alertas carecen del contexto necesario para que los equipos de seguridad distingan fácilmente entre un incidente genuino y un falso positivo. La IA está comenzando a cambiar esto, pero no es perfecta, y el tiempo y esfuerzo requeridos para este nivel de análisis son simplemente insostenibles. Este problema es particularmente peligroso para organizaciones pequeñas y medianas con equipos reducidos y poca o ninguna experiencia.
Costos Exorbitantes
Los SIEM siempre han sido caros, especialmente para las PyMEs con recursos limitados de ciberseguridad. Un estudio de 2021 mostró que un porcentaje considerable de profesionales de la seguridad creía que estaban pagando de más por su SIEM en relación con sus capacidades y el valor entregado. Desafortunadamente, poco ha cambiado.
La adopción de la nube ha disparado los Costos de los SIEM. Los volúmenes de datos se han disparado, y los modelos de precios obsoletos de los SIEM han elevado los costos más allá de lo que incluso las empresas más grandes pueden pagar.
Complejidad y Desafíos de Integración
Las soluciones SIEM también pueden ser extremadamente difíciles de implementar y gestionar. Los equipos de red y seguridad deben comprometerse a esfuerzos manuales significativos (y continuos) de configuración, integración y mantenimiento para que una herramienta SIEM sea efectiva.
Incluso entonces, a medida que aumenta el volumen de datos, la escalabilidad puede convertirse en un problema. Los tiempos de respuesta a las consultas aumentan, las tareas rutinarias de respuesta a incidentes se vuelven una carga y las amenazas legítimas son ignoradas.
Alternativas al SIEM: ¿Cómo Obtener Visibilidad sin los Problemas?
Muchas PyMEs dependen únicamente de una combinación de sus registros de firewall y herramientas de Endpoint Detection and Response (EDR), dejando un agujero del tamaño de la red en su visibilidad y seguridad internas. Incluso los firewalls más avanzados tienen una visibilidad limitada Este/Oeste, y el EDR solo se puede implementar en un cierto porcentaje de puntos finales, dejando fuera sistemas heredados, IoT, OT y similares.
Los SIEM obviamente pueden recopilar datos más completos, pero a todos los costos que ya hemos discutido. ¿Cómo, entonces, pueden las organizaciones obtener los beneficios del SIEM sin todos los problemas? Muchas organizaciones están combinando EDR con Network Detection and Response (NDR) que puede proporcionar visibilidad del tráfico entre puntos finales y registrar el tráfico de dispositivos donde no es posible un agente EDR.
El texto menciona un enfoque alternativo que combina EDR y NDR gestionado para aquellas organizaciones que no pueden gestionar un SIEM. Este enfoque busca proporcionar visibilidad integral sin la complejidad, el Costo y la intensidad de recursos de las herramientas SIEM tradicionales.
El SIEM de Próxima Generación (Next-Gen SIEM): Una Evolución Necesaria
¿Dónde encaja el Next-Gen SIEM en la ciberseguridad? Una solución SIEM de próxima generación es integral para la estrategia general de seguridad de una organización, sirviendo como el centro neurálgico para que los equipos de seguridad obtengan una visibilidad profunda de todos los sistemas y aborden eficazmente un amplio espectro de amenazas. A diferencia de las soluciones tradicionales, las soluciones Next-Gen SIEM están diseñadas como plataformas SaaS (Software as a Service) nativas de la nube, proporcionando una escalabilidad más elástica y funcionalidad en entornos descentralizados, híbridos y multinube.
Una fortaleza clave de una solución SIEM de próxima generación es su capacidad para ingerir telemetría de transmisión diversa, proporcionando a los equipos de seguridad una vista holística y en tiempo real de posibles riesgos y vulnerabilidades. Esta adaptabilidad, junto con la inteligencia de amenazas integrada, permite a las organizaciones identificar y mitigar proactivamente las amenazas de seguridad. Al satisfacer las demandas de las infraestructuras modernas, la última evolución en soluciones SIEM mejora significativamente su capacidad para detectar, prevenir y remediar una amplia gama de posibles amenazas.
Capacidades Críticas del SIEM de Próxima Generación
Hay diez capacidades críticas que las soluciones Next-Gen SIEM modernas deben incluir para ayudar a las organizaciones a elevar sus operaciones de seguridad:
- Recopilación y Gestión Integral de Datos: Para una observabilidad completa, un SIEM de próxima generación asegura que cada fuente de datos sea accesible, proporcionando una base para un análisis profundo y correlación en infraestructura sin fronteras. Ingiere datos sin problemas de diversas fuentes (soluciones de seguridad, aplicaciones, puntos finales, información de paquetes de red) para obtener una vista holística. También se integra sin problemas con plataformas de nube públicas y privadas (AWS, Azure, GCP), extendiendo su alcance para una recopilación de datos eficiente y análisis avanzados de amenazas en múltiples nubes.
- Arquitectura Big Data: La solución SIEM es la fuente de verdad para el SOC, por lo que la escalabilidad es primordial. Debe escalar sin esfuerzo para ingerir numerosas fuentes de datos y soportar análisis de big data sin dudarlo. Juega un papel fundamental y debe ser altamente receptivo para apoyar a los analistas de seguridad en el triaje e investigación, mientras monitorea y analiza continuamente grandes volúmenes de datos.
- Despliegue y Arquitectura: Las soluciones SIEM heredadas estaban cargadas de complejidades inherentes tanto en la configuración como en la gestión continua. Las soluciones Next-Gen SIEM superan estos desafíos. Equipadas con extensos conectores incorporados, aseguran una ingesta de datos fluida desde productos existentes, simplificando el proceso de despliegue. Su arquitectura basada en la nube no solo reduce las complejidades de despliegue, sino que también ofrece ahorros de Costos en operaciones y gastos generales de gestión.
- Enriquecimiento de Contexto de Usuario y Activo: El enriquecimiento de datos transforma los datos brutos en información significativa al agregar información contextual a los datos de eventos de seguridad. Al enriquecer los eventos de seguridad con detalles contextuales de directorios de usuarios, herramientas de inventario de activos, herramientas de geolocalización y bases de datos de inteligencia de amenazas de terceros, las soluciones SIEM elevan su capacidad para descifrar y responder a posibles riesgos de seguridad.
- Protección contra Amenazas de Identidad: Las capacidades de detección y protección contra amenazas de identidad juegan un papel fundamental al proporcionar visibilidad para ataques y anomalías basados en identidad. Deben clasificar automáticamente las identidades (humanas, de servicio, privilegiadas) en almacenes de identidad híbridos, comparando el tráfico en vivo con líneas de base de comportamiento y reglas para detectar movimiento lateral y tráfico anómalo en tiempo real.
- Seguimiento Automatizado del Movimiento Lateral: La detección automatizada de capacidades de movimiento lateral es integral, permitiendo que el sistema identifique y rastree la progresión lateral de un actor de amenazas dentro del entorno de una organización. Un SIEM de próxima generación proporciona un conjunto de análisis unificados que se pueden encadenar (model chaining), encontrando advertencias tempranas de comportamiento riesgoso como el movimiento lateral.
- Modelo de Información de Seguridad Mejorado: El SIEM de próxima generación sobresale en la identificación de todos los elementos de un ataque desde diversas fuentes y los compila automáticamente en un panel con una línea de tiempo visual. Esta línea de tiempo de ataque proporciona detalles sobre los eventos operativos subyacentes a un incidente de seguridad en orden cronológico. A diferencia de las soluciones más antiguas donde los analistas tenían que reconstruir manualmente la línea de tiempo, los detalles consolidados permiten a los analistas centrarse en lo que más importa.
- Priorización de Incidentes: Las fuentes de datos completas combinadas con modelos de análisis avanzados son fundamentales para proporcionar contexto crítico y determinar la prioridad de un ataque. Esto alivia gran parte del esfuerzo manual requerido por los equipos de seguridad para realizar investigaciones y confirmar la validez de una campaña de ataque. Con una clara priorización del riesgo, los equipos pueden trabajar de manera más eficiente.
- Remediación Automatizada de Amenazas: Ante ciberataques exitosos, las organizaciones requieren capacidades de remediación avanzadas, lo que impulsa la evolución de los SIEM de próxima generación para incorporar características de respuesta a incidentes automatizadas. Estos sistemas compilan detalles sobre un evento y emplean playbooks dinámicos para orquestar acciones precisas y automatizadas para remediar incidentes. También se integran sin problemas en los procesos de seguridad del equipo al automatizar flujos de trabajo con sistemas integrados como IT Service Management (ITSM).
- Paneles e Informes en Vivo: Las soluciones SIEM de próxima generación mejoran significativamente el soporte para casos de uso de cumplimiento normativo, facilitando auditorías rápidas y eficientes. Con paneles personalizables e informes centralizados de auditoría y cumplimiento, proporcionan informes integrados para mandatos y estándares comunes como SOX, NIST, GDPR, HIPAA y PCI.
SIEM y el Centro de Operaciones de Seguridad (SOC)
En un entorno seguro, es esencial que las empresas supervisen el tráfico de red, los dispositivos de red y la tecnología de ciberseguridad responsable de proteger los datos y recursos corporativos. Sin supervisión, las empresas no sabrían si un dispositivo de seguridad falló o si los ciberdelincuentes violaron las protecciones y comenzaron a extraer datos. El malware también pasaría desapercibido, lo que lo haría aún más peligroso dejar el entorno sin supervisar. Un Centro de Operaciones de Seguridad (SOC) y una plataforma Security Incident and Event Management (SIEM) son estrategias diferentes para supervisar un entorno de red, y trabajan juntos para ayudar a las corporaciones a prevenir filtraciones de datos y alertarlas sobre posibles eventos cibernéticos en curso.
¿Qué es un SOC?
En un centro de datos o un entorno empresarial grande, un SOC es necesario para la seguridad de la red. El SOC es a menudo una sala física dentro de la oficina de la organización donde varios empleados supervisan continuamente el tráfico de red, las Alertas y la información visualizada que podría usarse para responder a un posible incidente cibernético. El SOC se centra en la seguridad de la red en lugar del rendimiento y la utilización de la red, lo que lo distingue de un Centro de Operaciones de Red (NOC), pero los empleados del SOC y del NOC podrían estar alojados en la misma ubicación física.
Los ingenieros de SOC realizan algunas funciones estándar:
- Supervisión continua 24/7 en todo el entorno.
- Mantenimiento preventivo y despliegue de dispositivos de ciberseguridad.
- Clasificación de Alertas para determinar la prioridad durante la respuesta a incidentes.
- Respuesta a amenazas cuando se encuentra una amenaza cibernética.
- Contención y erradicación de amenazas descubiertas.
- Análisis de causa raíz después de un incidente cibernético.
- Evaluación y gestión del cumplimiento de diversas regulaciones.
Los ingenieros de SOC trabajan directamente con una plataforma SIEM para analizar el tráfico y los eventos de red. El SIEM juega un papel importante en la capacidad de un empleado de SOC para determinar rápidamente si una amenaza compromete la red y trabajar directamente para contenerla. Un entorno de red sin supervisión podría tener múltiples amenazas violando recursos, pero un SIEM inteligente proporciona la información correcta y el sistema de Alertas para que los empleados de SOC puedan identificarlas.
Desafíos del SOC al Trabajar con un SIEM
A primera vista, un SIEM parece una solución obvia para cualquier empresa que necesite seguridad de red, pero usar un SIEM conlleva su propio conjunto de desafíos. Estos desafíos se pueden superar, pero deben considerarse antes de elegir la solución adecuada.
- Almacenamiento: Dependiendo del número de recursos supervisados, un SIEM recopila potencialmente miles de eventos y agrega la información en una ubicación. El análisis de múltiples recursos en una ubicación es un beneficio para el equipo de SOC, pero los archivos de registro deben almacenarse localmente o en la nube. Esto significa que la organización debe tener suficiente espacio de almacenamiento para almacenar los datos de registro.
- Falsos Positivos y Fatiga del Analista: Demasiados falsos positivos de un SIEM crean un fenómeno llamado fatiga del analista o agotamiento del analista. Un SIEM que puede analizar datos y enviar Alertas al equipo de SOC es beneficioso, pero demasiados falsos positivos dejan a los analistas apáticos a las alertas. Cuando los analistas ya no confían en la plataforma, se insensibilizan a las alertas y pueden pasar por alto amenazas críticas en curso de notificaciones legítimas.
- Especificidad de las Alertas: Las Alertas también deben ser lo suficientemente específicas para que el analista conozca el tipo de amenaza y pueda determinar los procedimientos correctos que deben seguirse para contenerla. El equipo de SOC debe configurar el SIEM para que les proporcione las alertas correctas e información detallada para que puedan determinar rápidamente los pasos correctos según el tipo de amenaza detectada.
Aunque un SIEM no es un requisito para tener un SOC, las dos estrategias de ciberseguridad trabajan juntas para proteger los recursos internos. Sin un SIEM, un equipo de SOC no tiene las herramientas adecuadas para detectar y contener amenazas.
SIEM Tradicional vs. SIEM de Próxima Generación: Una Comparativa
Para entender mejor la evolución, comparemos algunas características clave:
| Característica | SIEM Tradicional | SIEM de Próxima Generación |
|---|---|---|
| Arquitectura | Generalmente On-Premise, monolítica | Nativa de la Nube (SaaS), escalable |
| Despliegue y Gestión | Complejo, requiere configuración manual constante | Simplificado, conectores integrados, gestión reducida |
| Escalabilidad | Limitada, problemas con grandes volúmenes de datos | Elástica, diseñada para Big Data |
| Ingesta de Datos | Fuentes limitadas, a menudo requiere parsing manual | Diversa (nube, endpoints, red, apps), ingesta fluida |
| Análisis | Basado en reglas, correlación básica | Análisis avanzado (UEBA, AI/ML), enriquecimiento contextual |
| Alertas | Alto volumen, a menudo con falsos positivos | Priorizadas, con mayor contexto, menos ruido |
| Visibilidad | Principalmente perimetral y de servidores | Holística (Este/Oeste, Norte/Sur), cubre nube, IoT, OT |
| Respuesta a Incidentes | Principalmente manual | Automatizada, playbooks dinámicos, integración ITSM |
| Costos | Altos, especialmente con crecimiento de datos y nube | Modelos más eficientes, a menudo basados en uso/SaaS |
| Cumplimiento | Requiere configuración manual de informes | Informes integrados para múltiples normativas |
Preguntas Frecuentes sobre SIEM y SOC
Aquí respondemos algunas dudas comunes:
¿Qué significa SIEM?
SIEM significa Security Information and Event Management (Gestión de Información y Eventos de Seguridad). Es una plataforma que combina la gestión de información de seguridad (SIM) y la gestión de eventos de seguridad (SEM) para proporcionar monitoreo y análisis en tiempo real de eventos de seguridad, así como seguimiento y registro de datos para cumplimiento.
¿Está obsoleto el SIEM tradicional?
El SIEM tradicional enfrenta desafíos significativos en cuanto a Costos, complejidad y manejo de grandes volúmenes de datos en entornos modernos y en la nube, lo que lleva a muchas organizaciones a buscar alternativas o a considerar las soluciones de próxima generación. No está completamente obsoleto, pero sus limitaciones en el panorama actual de amenazas y arquitectura de TI son evidentes.
¿Cuáles son los principales problemas del SIEM tradicional?
Los principales problemas incluyen la sobrecarga de Alertas (que causa fatiga en los analistas), los costos exorbitantes (exacerbados por la adopción de la nube y los modelos de precios antiguos) y la complejidad en la implementación, configuración, gestión y escalabilidad.
¿Qué diferencia hay entre SIEM y Next-Gen SIEM?
El Next-Gen SIEM se diferencia por ser nativo de la nube (SaaS), ofrecer escalabilidad elástica, ingesta de datos más amplia y diversa, análisis avanzados impulsados por IA/ML, enriquecimiento contextual, automatización de respuesta a incidentes y soporte mejorado para cumplimiento, superando las limitaciones de la arquitectura y funcionalidad de los SIEM tradicionales.
¿Qué es un SOC y cómo se relaciona con el SIEM?
Un SOC (Security Operations Center) es un equipo o instalación centralizada responsable de monitorear la seguridad de una organización, detectar, analizar y responder a incidentes de ciberseguridad. El SIEM es una herramienta fundamental utilizada por el equipo del SOC para recopilar, correlacionar y analizar datos de seguridad de diversas fuentes, proporcionando la visibilidad necesaria para identificar amenazas y facilitar la respuesta a incidentes.
En conclusión, si bien el SIEM tradicional presenta desafíos significativos en el panorama actual de la ciberseguridad debido a su Costo, complejidad y manejo de Alertas, la tecnología no está necesariamente "obsoleta", sino que está evolucionando. Las soluciones de Next-Gen abordan muchas de estas limitaciones aprovechando arquitecturas en la nube, análisis avanzados y automatización. Además, alternativas como la combinación de EDR y NDR ofrecen caminos viables para organizaciones que buscan una visibilidad de seguridad robusta sin el peso de un SIEM tradicional. La elección de la solución adecuada depende de las necesidades específicas, el presupuesto y la madurez de seguridad de cada organización, pero la necesidad de visibilidad y análisis de eventos de seguridad sigue siendo tan crítica como siempre.
Si quieres conocer otros artículos parecidos a SIEM: ¿Obsoleto o Evolucionando? puedes visitar la categoría Automóviles.