Gestión de la información y los eventos de seguridad (SIEM)

Gestión de la información y los eventos de seguridad (SIEM) es el término que se utiliza para denominar a las soluciones que permiten que las empresas aborden los problemas y los puntos vulnerables de seguridad antes de que afecten las operaciones.

Las empresas pueden usar los sistemas de SIEM, junto con la automatización, para agilizar varios de los procesos manuales que ayudan a detectar las amenazas y responder a los incidentes. Estos sistemas de software compilan y agrupan los datos de los eventos que generan los dispositivos de seguridad, la infraestructura de red, los sistemas de TI y las aplicaciones, los cuales se utilizan para crear rápidamente respuestas de seguridad manuales y automatizadas.

Los sistemas de SIEM varían considerablemente según los proveedores y las implementaciones, pero suelen funcionar junto con otros sistemas de seguridad, como los sistemas de detección y prevención de intrusos (IDPS). Incluyen cuatro elementos fundamentales:

• Gestión de los registros: es el proceso de recopilación, almacenamiento y análisis de los archivos de registro que genera la computadora para supervisar y evaluar la actividad del sistema.
• Análisis y correlación de eventos: se trata del análisis y el cotejo inmediatos de los datos de los eventos y los registros para identificar patrones, anomalías y posibles amenazas de seguridad.
• Supervisión de los incidentes y alertas de seguridad: es la consolidación de los procesos activos para detectar una actividad no autorizada e informar a los administradores sobre ello mediante un panel único.
• Informes y gestión del cumplimiento normativo: es el proceso sistemático de recopilación y análisis de datos para garantizar que la empresa cumpla con los estándares normativos específicos, y de generación de informes para documentar ese cumplimiento. Puesto que la mayor parte de los datos de una empresa pasa por el sistema de SIEM, también es útil para generar informes de cumplimiento actualizados.

Desde la agrupación de datos hasta la generación de alertas

Lo primero que hace el sistema de SIEM es supervisar los registros de eventos de los dispositivos de software o hardware, los cuales se generan cada vez que se detecta un cambio. Para ello, el sistema accede a los archivos de registro del dispositivo desde el almacenamiento o utiliza un protocolo de transmisión de eventos para supervisar los datos de la red. 

Una vez que el sistema de SIEM obtiene los datos del evento:

• Organiza y agrupa los datos en un proceso de flujo de registros. Si bien cada sistema de SIEM realiza este proceso a su manera, por lo general, primero se filtra la información que no es útil, como los informes de los dispositivos que funcionan según los parámetros esperados. 
• Clasifica los diferentes registros de eventos para ordenar los datos en categorías y posibilitar las búsquedas y las conexiones de eventos.
• Analiza los datos de los eventos recopilados para buscar patrones que permitan establecer relaciones que pongan de manifiesto los puntos vulnerables y los eventos sospechosos.
• Establece una correlación entre los datos analizados y las amenazas de seguridad en función de reglas que suelen proporcionar los administradores de forma manual. Todas las etapas del proceso (la organización, la clasificación y el análisis) contribuyen a la correlación, que es la principal función de seguridad de SIEM. 

Por ejemplo, si el sistema de SIEM detecta que un intento de inicio de sesión falla 1000 veces debido a un error con la contraseña, puede establecer una correlación entre esta actividad y una amenaza de seguridad, y crear una alerta de la cual se encargará un especialista o un sistema automatizado.

Entornos donde se alojan los sistemas de SIEM

Los sistemas de SIEM siempre se alojaron en las instalaciones debido a la confidencialidad de los datos que recopilan. Sin embargo, el mantenimiento de estos sistemas locales es costoso, puesto que se requiere un sistema de software especializado y supervisión a cargo del personal de seguridad. 

Esta complejidad generó que muchas empresas busquen otras opciones. Al igual que la mayoría de los sistemas en el mundo actual de la nube híbrida, los de SIEM pueden ofrecerse mediante un sistema de software local, como un proceso autogestionado en la nube o como un servicio gestionado (SIEM como servicio) a través de proveedores de nube o de servicios de seguridad gestionados. En muchos casos, estas soluciones también pueden utilizar un modelo híbrido: una parte de los datos (la información más confidencial) se almacena en las instalaciones, mientras que la otra parte se almacena en la nube.

Por ejemplo, una empresa puede usar un servicio local para recopilar y organizar los datos de seguridad y, al mismo tiempo, usar un sistema de SIEM como servicio alojado en la nube para llevar a cabo los procesos de correlación. 

No hay una forma ideal y exclusiva de alojar las soluciones SIEM. Para definir la estrategia que utilizará la empresa, debe tener en cuenta las siguientes preguntas:

• ¿Cuenta con una infraestructura de SIEM? ¿Es compatible con los servicios alojados?
• ¿Tiene problemas o normas de seguridad que impidan el traslado de los datos fuera de las instalaciones, es decir, a entornos de nube? 
• Entre el personal de seguridad, ¿hay algún especialista en SIEM o alguien a quien pueda capacitar para esta tarea? ¿O le resultaría más factible alquilar las funciones de SIEM como servicio?
• ¿Cuenta con alguna solución de automatización que funcione sin problemas en todo el entorno de nube híbrida, desde los centros de datos locales hasta las nubes y las ubicaciones del extremo de la red?

Detección de amenazas

Los sistemas de SIEM analizan permanentemente los datos de los eventos y los registros para generar alertas que permitan identificar actividades inusuales o potencialmente maliciosas. Gracias a este enfoque, los equipos de seguridad detectan las amenazas, como el acceso no autorizado, la filtración de datos o los ataques de malware, y responden con rapidez para eliminar los problemas.

Unificación de los datos

SIEM concentra los datos de diversos sistemas y aplicaciones para que pueda visualizar todo el entorno de TI de la empresa desde un solo lugar, lo cual simplifica los procesos de auditoría del sistema, optimización de la red y resolución de problemas. También proporciona información sobre el rendimiento y el estado de los recursos tecnológicos, que suele mostrarse en un panel único, para tomar decisiones y hacer planificaciones a largo plazo de acuerdo con los datos.

Gestión del cumplimiento normativo

Hay muchos requisitos normativos que exigen el registro y el informe rigurosos de la información confidencial. Los sistemas de SIEM automatizan la recopilación de datos y generan informes completos para que las empresas puedan cumplir con los estándares legales y normativos.

Calidad de respuesta

SIEM agiliza y optimiza las respuestas a los incidentes. Cuando ocurre algún problema de seguridad, es fundamental comprender el contexto para resolverlo de manera efectiva. Los sistemas de SIEM ofrecen información detallada (como lo que sucedió antes, durante y después del evento) que los equipos de respuesta pueden utilizar para llevar a cabo acciones más específicas y resolver los problemas con mayor eficiencia.

En algunas ocasiones, los equipos de seguridad pueden sentirse abrumados por la gran cantidad de datos que gestionan y agrupan las soluciones de SIEM, en especial cuando sienten que pierden tiempo investigando incidentes que resultan ser falsos positivos. Para aprovechar al máximo el sistema de SIEM, las alertas que genera deben validarse de forma efectiva y solucionarse con rapidez.

La automatización de la seguridad simplifica el funcionamiento y el mantenimiento de estas soluciones. Cuando se automatizan las tareas, se reduce la sobrecarga manual, por lo cual el sistema puede ejecutarse de forma más eficiente y con menos errores. También permite agilizar la respuesta a las amenazas que se detectan y mejorar la uniformidad de los procesos de seguridad. La automatización elimina la variación humana, con lo cual garantiza el seguimiento riguroso de los protocolos de seguridad y mejora la confiabilidad general del sistema de SIEM.

Además, mejora la colaboración entre los equipos de operaciones de seguridad (SecOps) y los analistas de seguridad. Como recopila la información y los registros activos en un solo lugar, permite que los equipos de analistas accedan a los datos o solucionen los problemas de forma directa, lo cual agiliza la respuesta a los incidentes de seguridad.

Red Hat® Ansible® Automation Platform es una herramienta sin agentes que simplifica la implementación de la automatización en toda la empresa. Utiliza playbooks, servicios de directorios locales, registros consolidados y aplicaciones externas para que los equipos de TI automaticen sus soluciones de seguridad. Con Ansible Automation Platform, los equipos poseen más herramientas para investigar las amenazas y responder a ellas de manera unificada y coordinada.

Como resultado, las empresas pueden sacar un mayor provecho de los sistemas de SIEM, por ejemplo:

• Resolución de los problemas: Ansible Automation Platform permite que la empresa automatice las tareas de investigación y resolución de problemas.
• Interoperabilidad: Ansible Automation Platform conecta varias partes de los sistemas de SIEM. Cuando las empresas automatizan las funciones de seguridad, pueden unificar rápidamente las respuestas a los ataques gracias a la coordinación de varias soluciones de seguridad diferentes.  
• Consolidación y concentración de los registros: Ansible Automation Platform se integra a servicios externos de recopilación de registros para que los equipos de seguridad identifiquen las tendencias, analicen los eventos de la infraestructura, supervisen las anomalías y establezcan relaciones entre los diferentes eventos.
• Simplificación: Ansible Automation Platform usa un lenguaje simple que las personas pueden comprender, por lo que no se necesitan habilidades especializadas de codificación para garantizar que las tareas se ejecuten en el orden adecuado. Este enfoque permite que los especialistas de seguridad interactúen con los sistemas de SIEM sin tener capacitación específica en ello.
• Aumento de la eficiencia: la arquitectura sin agentes permite que las empresas agilicen la implementación de soluciones sin los aspectos vulnerables de los agentes que deben utilizarse o actualizarse. Este enfoque disminuye la exposición de seguridad del sistema de SIEM.
• Modernización: Ansible Automation Platform permite que las empresas integren los sistemas de SIEM a los flujos de trabajo de DevSecOps.

Event-Driven Ansible

Los sistemas de SIEM analizan grandes cantidades de datos, lo cual genera la necesidad de contar con una solución que pueda procesarlos. Event-Driven Ansible es una solución empresarial de automatización basada en eventos que incluye funciones sumamente importantes para los sistemas de SIEM:

• El controlador de Event-Driven Ansible permite organizar varios rulebooks de Ansible, así como gestionar y realizar auditorías desde una sola interfaz de todas las respuestas de las fuentes de eventos, como los sistemas de SIEM.
• La integración con el controlador de automatización en Ansible Automation Platform permite que las empresas usen los flujos de trabajo que ya han desarrollado y, de esta forma, amplíen la automatización actual y confiable a los casos donde funciona impulsada por los eventos.
• La regulación de eventos permite que una empresa gestione la multitud de eventos tanto con un enfoque reactivo como con uno pasivo. Gracias a ello, se tiene mayor control sobre el momento y la manera en que se ejecutan las acciones en respuesta a múltiples eventos, como cuando un sistema de SIEM genera una gran cantidad de ellos durante un incidente de seguridad.