¿Qué es la gestión de eventos e información de seguridad?
La gestión de eventos e información de seguridad (SIEM) recopila y consolida los datos de registros y eventos para ayudar a los centros de operaciones de seguridad (SOC) a reconocer y corregir proactivamente posibles amenazas y vulnerabilidades. Una solución SIEM combina la Gestión de Información de Seguridad (SIM) y la Gestión de Eventos de Seguridad (SEM) en una única plataforma unificada que recopila registros de seguridad y supervisa la actividad de la red en tiempo real. Las soluciones SIEM, que inicialmente adoptaban la forma de simples sistemas de gestión de datos y alerta de seguridad, han evolucionado desde entonces para incorporar funciones como el análisis del comportamiento de usuarios y entidades (UEBA) y una orquestación de datos más avanzada.
SIEM proporciona la perspectiva y la información necesarias para identificar, rastrear y responder mejor a los incidentes de seguridad.
Ventajas de SIEM
Las principales ventajas de SIEM son las siguientes:
- Detección de amenazas en tiempo real en toda la infraestructura de red de una organización
- Mejora significativa del tiempo medio de detección y respuesta a incidentes y sucesos de seguridad.
- Cumplimiento normativo simplificado gracias a la centralización de auditorías e informes
- Una visión única y unificada de los datos de seguridad, incluidas las amenazas potenciales.
- Acceso a información avanzada sobre amenazas
- Mayor transparencia en la supervisión de usuarios, dispositivos y aplicaciones
- Investigaciones posteriores a incidentes más fáciles y eficaces
Cómo funciona SIEM
Las soluciones SIEM agregan y analizan datos de registros y eventos para identificar posibles amenazas que pueden pasar desapercibidas al personal humano. Los datos que recopilan suelen tener un alcance bastante amplio e incluyen registros de sistemas, aplicaciones, dispositivos y herramientas de seguridad. Las herramientas SIEM también están configuradas para señalar amenazas específicas predefinidas, como inicios de sesión fallidos y posibles actividades maliciosas.
Cuando una herramienta SIEM identifica una amenaza potencial, genera una alerta de seguridad que se envía a los SOC en forma de notificación. Por lo general, estas alertas no están clasificadas ni categorizadas, aunque los equipos de seguridad pueden aplicar un conjunto de reglas predefinidas para apoyar una priorización inteligente. Por ejemplo, un usuario que genera tres intentos fallidos de inicio de sesión seguidos de uno exitoso probablemente sólo olvidó su contraseña, mientras que un usuario que genera 30 intentos fallidos de inicio de sesión en otros tantos minutos representa un posible ataque de fuerza bruta.
Funciones y capacidades de SIEM
Gestión de registros
Una solución SIEM recopila datos de eventos de toda la red de una organización, almacenando y analizando esa información en tiempo real. El alcance de estos datos suele ser bastante amplio e incluye información generada por usuarios, aplicaciones, activos físicos, activos virtuales, entornos en la nube, herramientas de seguridad y activos de red. Una solución SIEM también suele categorizar y almacenar estos datos con fines de cumplimiento.
Algunas plataformas SIEM también pueden incorporar datos sobre amenazas externas e inteligencia sobre amenazas de terceros, aunque esta funcionalidad suele reservarse para las herramientas de orquestación, automatización y respuesta de seguridad (SOAR).
Correlación de eventos
Supervisión de incidentes
Alertas de seguridad
Gestión de la conformidad y elaboración de informes
Extended Detection and Response (XDR) tiene mucho en común con SIEM a primera vista, ya que ambos recopilan, agregan y analizan datos de múltiples fuentes. Sin embargo, XDR es considerablemente más avanzado que SIEM. Una herramienta SIEM no puede, por ejemplo, orquestar automáticamente una respuesta en tiempo real a una ciberamenaza en múltiples endpoints y entornos, ni realizar ajustes proactivos en las defensas de la red para neutralizar las amenazas.
Incluso las herramientas SIEM más avanzadas existen principalmente como medio de detección y priorización, no de corrección.
La XDR tiene un enfoque ligeramente distinto del SIEM y no debe considerarse un sustituto completo. Mientras que SIEM se centra en la gestión de registros y eventos, XDR se ocupa más de la seguridad de los puntos finales y la inteligencia sobre amenazas. Ambas funcionan bastante bien en tándem, ya que una solución SIEM puede proporcionar una fuente adicional de información sobre amenazas de la que puede abastecerse una plataforma XDR.
Al igual que XDR, SOAR tiene un alcance considerablemente más amplio que SIEM. No sólo extrae información de fuentes internas, sino también de inteligencia sobre amenazas de terceros y de herramientas externas. También proporciona una priorización inteligente de las alertas y rutas de investigación predefinidas para el SOC de una organización. De nuevo, como en el caso de XDR, las diferencias son en gran medida complementarias.
SOAR no es en absoluto superior a SIEM, ya que ambos sirven a propósitos diferentes. Una herramienta SIEM proporciona alertas inteligentes sobre posibles incidentes, mientras que una plataforma SOAR puede priorizar y gestionar mejor esas alertas.
En última instancia, un enfoque completo de la gestión de incidentes y eventos de ciberseguridad incorporará SIEM, SOAR y XDR como partes de un todo cohesionado y no como soluciones opuestas.
Las empresas grandes y pequeñas se enfrentan a un número creciente de dispositivos, cada uno de los cuales aumenta las superficies de ataque. Al mismo tiempo, la mayoría de las empresas se enfrentan a un déficit de competencias y recursos en materia de ciberseguridad. La dotación de personal de ciberseguridad es especialmente problemática para las pequeñas y medianas empresas.
Como servicio XDR gestionado 24x7x365 basado en suscripciones y centrado en el ser humano, CylanceGUARD® ofrece a las empresas la experiencia y el apoyo que necesitan. CylanceGUARD combina la experiencia integral de BlackBerry Cybersecurity Services con Endpoint Protection (EPP) basado en IA a través de CylancePROTECT®, autenticación continua y análisis a través de CylancePERSONA™, y detección y corrección de amenazas en el dispositivo a través de CylanceOPTICS®. En resumen, CylanceGUARD proporciona a las empresas las personas y la tecnología necesarias para proteger a la empresa del panorama moderno de amenazas.