Gartner define los productos de gestión de eventos e información de seguridad (SIEM) como tecnología que agrega datos de eventos producidos por dispositivos de seguridad, infraestructura de red, sistemas y aplicaciones. Según la firma analista, la fuente de datos principal son los datos de registro, pero la tecnología SIEM también puede procesar otras formas de datos, como los datos de telemetría de red.
En el Informe del Cuadrante Mágico de Gartner para la gestión de eventos e información de seguridad, Los analistas señalan que los datos de eventos se pueden combinar con información contextual sobre usuarios, activos, amenazas y vulnerabilidades con el fin de calificar, priorizar y acelerar las investigaciones. Esto convierte a SIEM en un pilar de la seguridad informática empresarial.
Rasika Somasiri, experta en seguridad cibernética de PA Consulting, dice que las herramientas SIEM son una de las piedras angulares de una capacidad de monitoreo eficaz en las operaciones de seguridad. Él dice que las alertas proporcionadas por una herramienta SIEM pueden apuntar a una infracción que está ocurriendo o ayudar a predecir una.
“Si es responsable de la seguridad en una organización mediana o grande y cree que necesita un SIEM, probablemente lo necesite; de hecho, probablemente ya tenga uno. Además de su SIEM, probablemente tenga una variedad de herramientas adicionales que brindan alertas de seguridad ”, dice Somasiri.
Pero el problema con las alertas es que los profesionales de seguridad de TI deben actuar en consecuencia. “Es necesario validar que constituyen un incidente real”, agrega.
Es por eso que la orquestación, automatización y respuesta de seguridad (SOAR) está comenzando a ganar interés. Gartner define SOAR como una clase de productos que combinan la respuesta a incidentes, la orquestación y automatización, y las capacidades de gestión de inteligencia de amenazas (TI) en una sola plataforma.
Para la voluntaria y experta en seguridad de BCS, Petra Wenham, la cuestión de si SIEM o SOAR es el mejor conjunto de herramientas de seguridad para una organización es discutible. “Existe una superposición entre las herramientas y, según las herramientas que se miren, la superposición puede ser bastante pequeña, particularmente cuando el producto SIEM ha adoptado la inteligencia artificial en el diseño”, dice.
Wenham cree que la elección del producto no está determinada únicamente por el tamaño de una organización, sino más bien por el tamaño y la complejidad de la infraestructura de TI de una organización y el valor de los datos almacenados y procesados por la infraestructura.
Por ejemplo, cuanto más grande y compleja sea la infraestructura de TI, y cuanto mayor sea el valor de los datos almacenados y procesados, mayor será la necesidad de emplear la automatización para realizar la correlación de eventos junto con el análisis de alertas a corto y largo plazo (seguridad y otros) generados dentro de la infraestructura.
“Siempre que sea posible”, dice Wenham, “la automatización debe usarse para iniciar acciones correctivas dentro de la infraestructura, ya que dicha automatización permitiría liberar al valioso personal de TI y seguridad para concentrarse en los problemas difíciles de resolver y en el mantenimiento de la infraestructura y conjuntos de herramientas de gestión y seguimiento asociados “.
Opciones para pequeñas y grandes operaciones
Para las organizaciones con una infraestructura de TI más pequeña y menos compleja, como aquellas sin comercio electrónico o portales de clientes, Wenham dice que una implementación de SIEM, posiblemente con algunas capacidades de inteligencia artificial (IA), sería una combinación razonable.
Sin embargo, advierte que para permitir que los eventos priorizados se identifiquen e investiguen rápidamente, es importante que el personal de TI o de seguridad pueda administrar y usar las herramientas SIEM de manera que la salida no se vea saturada de datos erróneos.
Wenham dice que este enfoque generalmente debería complementarse con el empleo de contratistas de seguridad externos para brindar soporte de tercera línea y realizar revisiones periódicas de la configuración SIEM y, según sea necesario, reajustar y ajustar el SIEM para diferenciar mejor entre actividad anómala y normal.
Ella sugiere que un pequeño sistema SOAR también podría ser una opción cuando la capacidad de monitoreo de SOAR sea lo suficientemente completa como para hacer frente a todos los dispositivos dentro de la infraestructura de una organización.
A medida que aumenta la complejidad de la infraestructura, junto con el valor en juego, también se podría considerar un SIEM con inteligencia artificial para operaciones de TI (AIOps). Wenham dice que un sistema impulsado por inteligencia artificial podría rastrear eventos de movimiento lento a lo largo del tiempo e iniciar automáticamente algunas acciones correctivas en la infraestructura.
En caso de que el departamento de TI de la organización no tenga las habilidades requeridas y / o no tenga suficientes recursos, se deberá contratar a contratistas de seguridad externos para brindar asistencia cuando sea necesario y ayudar con el reajuste regular del SIEM.
Para una organización con una infraestructura de TI grande y compleja, la cantidad de datos de eventos generados sería enorme. Wenham dice que un SIEM de alta gama junto con un producto SOAR sería el conjunto de herramientas preferido, siendo el SIEM el mejor producto para recopilar y correlacionar una amplia gama de datos de eventos y el SOAR el mejor producto para realizar un análisis detallado de SIEM. datos generados e iniciando automáticamente una serie de acciones correctivas.
El SOAR también podría realizar análisis de datos de eventos generados por SIEM agregados durante un largo período de tiempo, lo que revelaría intentos de eventos de seguridad encubiertos.
“Incluso en organizaciones grandes con una configuración SIEM y SOAR, es probable que exista un rol para la asistencia de consultoría de seguridad externa, particularmente cuando hay limitaciones de recursos en los departamentos de seguridad y / o TI”, dice ella.
Automatización de la respuesta de seguridad
Según Jason Yakencheck, socio asociado en la práctica de biometría y seguridad cibernética de IBM y ex presidente de ISACA, implementar una herramienta SOAR es una capacidad crucial para que los equipos de operaciones de seguridad realicen una respuesta a incidentes de manera efectiva.
“El volumen de eventos de seguridad continúa creciendo exponencialmente y los componentes de tecnología adecuados deben estar en su lugar para preparar una organización para el éxito”, dice.
Al igual que Wenham, Yakencheck cree que SIEM es un componente fundamental necesario para aprovechar al máximo una herramienta SOAR.
“La tecnología SIEM es esencial para un programa de seguridad. Es ese bloque de construcción fundamental con el que otras herramientas pueden integrarse y elevar verdaderamente las capacidades de respuesta a incidentes al siguiente nivel ”
Jason Yakencheck, IBM
Estas dos herramientas de seguridad ofrecen capacidades complementarias que son esenciales para mantenerse al día con amenazas cada vez mayores y más sofisticadas. Pero dice que es importante para las organizaciones que pueden estar decidiendo cuándo o cómo implementar cualquiera de estas herramientas para comprender las diferencias y los beneficios de cada una antes de tomar decisiones estratégicas.
“Una herramienta SIEM se utiliza principalmente para agregar y correlacionar los datos de eventos de la organización en una ubicación central. Permite a los ingenieros de seguridad configurar conjuntos de reglas y umbrales mediante los cuales generar alertas solo sobre los eventos más significativos y de alto riesgo, según el perfil de riesgo único de cada organización. Las herramientas SIEM analizan innumerables volúmenes de datos para reducir el ruido y filtrar a un subconjunto que requiere más investigación y acción ”, dice.
“La tecnología SIEM es absolutamente esencial para un programa de seguridad. Es ese bloque de construcción fundamental con el que otras herramientas pueden integrarse y elevar verdaderamente las capacidades de respuesta a incidentes al siguiente nivel “.
Para Yakencheck, las capacidades SOAR permiten a los equipos de seguridad con recursos fijos escalar para satisfacer las demandas de mayores volúmenes de eventos a través de mayores capacidades de automatización. Él dice que con SOAR, los procesos manuales tradicionales, como actualizaciones de configuración, cambios de reglas u otros pasos, se pueden ejecutar de manera parcialmente automatizada o completamente automatizada en respuesta a tipos de eventos específicos.
Para que una organización obtenga los mayores beneficios de una implementación SOAR, Yakencheck recomienda que se haga después de que se haya implementado una herramienta SIEM bien ajustada. Él dice que esto proporciona los medios por los cuales la agregación y correlación de eventos existentes mediante la herramienta SIEM se puede utilizar para proporcionar un mecanismo para que el componente SOAR facilite acciones con una mayor automatización basada en el alcance completo de los eventos de seguridad de la organización.
“Cuando las funciones SOAR se implementan sin un SIEM, se puede realizar cierta automatización en silos junto con la integración de herramientas, pero faltará el contexto de evento adicional producido a partir de un SIEM”, advierte. “Sin la funcionalidad SIEM, no se obtendrán todos los beneficios de implementar una herramienta SOAR”.
Evaluando la seguridad
La supervisión minuciosa de las aplicaciones y la infraestructura de TI es clave para mantener una seguridad de TI sólida, pero los datos proporcionados por la supervisión necesitan un análisis exhaustivo para determinar las actividades sospechosas. La capacidad SOAR puede elevar los programas de seguridad al siguiente nivel de eficiencia operativa cuando se basa en la tecnología SIEM.
Sin embargo, Yakencheck de IBM dice que la tecnología por sí sola no puede transformar una organización. “Solo servirá como conducto para lograr una mayor eficiencia y permitirá a los equipos hacer más con menos”, agrega.
Según Gartner, para fines de 2022, el 30% de las organizaciones con un equipo de seguridad de más de cinco personas utilizarán herramientas SOAR en sus operaciones de seguridad, en comparación con menos del 5% en 2019. Esto muestra que hay un crecimiento increíble en el segmento. . Sin embargo, es posible que los equipos de TI más pequeños no puedan justificar la inversión necesaria para implementar y desplegar SOAR.
Si bien las herramientas de seguridad pueden proporcionar inmensos beneficios, sin la planificación y la estructura operativa adecuadas dentro de una organización, es posible que no se obtengan todos los beneficios. La perspectiva de una mayor información de seguridad junto con la orquestación y la automatización para mantenerse al día con las amenazas en evolución y proteger los datos confidenciales bien puede ser la dirección de los viajes que eventualmente tome la seguridad de TI.
