Gestión de eventos e información de seguridad (SIEM)

¿Qué es la gestión de eventos e información de seguridad?

La gestión de eventos e información de seguridad (SIEM) recopila y consolida los datos de registros y eventos para ayudar a los centros de operaciones de seguridad (SOC) a reconocer y corregir proactivamente posibles amenazas y vulnerabilidades. Una solución SIEM combina la Gestión de Información de Seguridad (SIM) y la Gestión de Eventos de Seguridad (SEM) en una única plataforma unificada que recopila registros de seguridad y supervisa la actividad de la red en tiempo real. Las soluciones SIEM, que inicialmente adoptaban la forma de simples sistemas de gestión de datos y alerta de seguridad, han evolucionado desde entonces para incorporar funciones como el análisis del comportamiento de usuarios y entidades (UEBA) y una orquestación de datos más avanzada. 

SIEM proporciona la perspectiva y la información necesarias para identificar, rastrear y responder mejor a los incidentes de seguridad. 

Ventajas de SIEM

Las principales ventajas de SIEM son las siguientes: 

  • Detección de amenazas en tiempo real en toda la infraestructura de red de una organización
  • Mejora significativa del tiempo medio de detección y respuesta a incidentes y sucesos de seguridad.
  • Cumplimiento normativo simplificado gracias a la centralización de auditorías e informes
  • Una visión única y unificada de los datos de seguridad, incluidas las amenazas potenciales.
  • Acceso a información avanzada sobre amenazas
  • Mayor transparencia en la supervisión de usuarios, dispositivos y aplicaciones
  • Investigaciones posteriores a incidentes más fáciles y eficaces

Cómo funciona SIEM

Las soluciones SIEM agregan y analizan datos de registros y eventos para identificar posibles amenazas que pueden pasar desapercibidas al personal humano. Los datos que recopilan suelen tener un alcance bastante amplio e incluyen registros de sistemas, aplicaciones, dispositivos y herramientas de seguridad. Las herramientas SIEM también están configuradas para señalar amenazas específicas predefinidas, como inicios de sesión fallidos y posibles actividades maliciosas.

Cuando una herramienta SIEM identifica una amenaza potencial, genera una alerta de seguridad que se envía a los SOC en forma de notificación. Por lo general, estas alertas no están clasificadas ni categorizadas, aunque los equipos de seguridad pueden aplicar un conjunto de reglas predefinidas para apoyar una priorización inteligente. Por ejemplo, un usuario que genera tres intentos fallidos de inicio de sesión seguidos de uno exitoso probablemente sólo olvidó su contraseña, mientras que un usuario que genera 30 intentos fallidos de inicio de sesión en otros tantos minutos representa un posible ataque de fuerza bruta. 

Funciones y capacidades de SIEM

Aunque algunas herramientas SIEM son más avanzadas que otras, todas incluyen, como mínimo, las siguientes funciones básicas.

Gestión de registros

Una solución SIEM recopila datos de eventos de toda la red de una organización, almacenando y analizando esa información en tiempo real. El alcance de estos datos suele ser bastante amplio e incluye información generada por usuarios, aplicaciones, activos físicos, activos virtuales, entornos en la nube, herramientas de seguridad y activos de red. Una solución SIEM también suele categorizar y almacenar estos datos con fines de cumplimiento. 

Algunas plataformas SIEM también pueden incorporar datos sobre amenazas externas e inteligencia sobre amenazas de terceros, aunque esta funcionalidad suele reservarse para las herramientas de orquestación, automatización y respuesta de seguridad (SOAR). 

Correlación de eventos

La correlación de eventos es donde la parte de análisis de SIEM entra en escena. A medida que recopila datos de eventos, una solución SIEM identificará patrones en esos datos que puedan indicar la presencia de una amenaza potencial. La aplicación de UEBA y la IA de ciberseguridad a SIEM aumenta aún más esta capacidad, permitiendo a la herramienta SIEM crear una línea de base para cada usuario y sistema en la red de una organización y marcar cualquier desviación de esta línea de base como potencialmente sospechosa. 

Supervisión de incidentes

Una plataforma SIEM no se limita a recopilar pasivamente datos de registros y eventos. Supervisa activamente cada activo interno en tiempo real. Esto no solo proporciona a los equipos de seguridad una visibilidad de la red muy mejorada, sino que también permite una supervisión y gestión más eficaces de los incidentes y amenazas en desarrollo. 

Alertas de seguridad

Cuando una solución SIEM detecta una amenaza potencial, genera una notificación para informar al equipo de seguridad de la organización. De entrada, hay poca diferenciación entre las alertas en términos de gravedad y prioridad. Es posible que el personal de TI tenga que aplicar reglas adicionales para reducir las posibilidades de fatiga de notificaciones. 

Gestión de la conformidad y elaboración de informes

La forma en que SIEM consolida y almacena los datos de eventos lo hace muy adecuado para apoyar los esfuerzos de cumplimiento de una organización. La mayoría de las plataformas SIEM son capaces de generar informes de cumplimiento en tiempo real para múltiples normas, incluidas GDPR, HIPAA, SOX y PCI-DSS. También pueden preconfigurarse para detectar y alertar de posibles infracciones y amenazas. 

Extended Detection and Response (XDR) tiene mucho en común con SIEM a primera vista, ya que ambos recopilan, agregan y analizan datos de múltiples fuentes. Sin embargo, XDR es considerablemente más avanzado que SIEM. Una herramienta SIEM no puede, por ejemplo, orquestar automáticamente una respuesta en tiempo real a una ciberamenaza en múltiples endpoints y entornos, ni realizar ajustes proactivos en las defensas de la red para neutralizar las amenazas. 

Incluso las herramientas SIEM más avanzadas existen principalmente como medio de detección y priorización, no de corrección. 

La XDR tiene un enfoque ligeramente distinto del SIEM y no debe considerarse un sustituto completo. Mientras que SIEM se centra en la gestión de registros y eventos, XDR se ocupa más de la seguridad de los puntos finales y la inteligencia sobre amenazas. Ambas funcionan bastante bien en tándem, ya que una solución SIEM puede proporcionar una fuente adicional de información sobre amenazas de la que puede abastecerse una plataforma XDR. 

Al igual que XDR, SOAR tiene un alcance considerablemente más amplio que SIEM. No sólo extrae información de fuentes internas, sino también de inteligencia sobre amenazas de terceros y de herramientas externas. También proporciona una priorización inteligente de las alertas y rutas de investigación predefinidas para el SOC de una organización. De nuevo, como en el caso de XDR, las diferencias son en gran medida complementarias. 

SOAR no es en absoluto superior a SIEM, ya que ambos sirven a propósitos diferentes. Una herramienta SIEM proporciona alertas inteligentes sobre posibles incidentes, mientras que una plataforma SOAR puede priorizar y gestionar mejor esas alertas. 

En última instancia, un enfoque completo de la gestión de incidentes y eventos de ciberseguridad incorporará SIEM, SOAR y XDR como partes de un todo cohesionado y no como soluciones opuestas. 

 

Las empresas grandes y pequeñas se enfrentan a un número creciente de dispositivos, cada uno de los cuales aumenta las superficies de ataque. Al mismo tiempo, la mayoría de las empresas se enfrentan a un déficit de competencias y recursos en materia de ciberseguridad. La dotación de personal de ciberseguridad es especialmente problemática para las pequeñas y medianas empresas.

Como servicio XDR gestionado 24x7x365 basado en suscripciones y centrado en el ser humano, CylanceGUARD® ofrece a las empresas la experiencia y el apoyo que necesitan. CylanceGUARD combina la experiencia integral de BlackBerry Cybersecurity Services con Endpoint Protection (EPP) basado en IA a través de CylancePROTECT®, autenticación continua y análisis a través de CylancePERSONA, y detección y corrección de amenazas en el dispositivo a través de CylanceOPTICS®. En resumen, CylanceGUARD proporciona a las empresas las personas y la tecnología necesarias para proteger a la empresa del panorama moderno de amenazas.