Hoy, una sola filtración de datos puede costar una media de 4,45 millones de dólares a quienes la sufren (fuente IBM). Aumentan las amenazas y crece el valor de los datos (no solo para las empresas, sino también para los delincuentes), mientras que los paradigmas de seguridad se vuelven cada vez más complejos y requieren un enfoque que tenga en cuenta todas las vulnerabilidades a las que un ecosistema informático está sujeto.
Tollo ello —por no mencionar la normativa, que cada vez es más estricta— aumenta el coste del cumplimiento normativo y hace que el sistema de sanciones se endurezca progresivamente. Es en este contexto en el que los sistemas SIEM encuentran no solo su razón de ser, sino que también adquieren una relevancia fundamental.
Sistemas SIEM: qué son y por qué son fundamentales
De todas las definiciones posibles de los sistemas SIEM, consideramos especialmente acertada la de Gartner, que los define como «una tecnología que facilita la detección de amenazas, el cumplimiento de las normativas y la respuesta a los incidentes de seguridad, a través de la recopilación y el análisis (tanto en tiempo real como histórico) de eventos de seguridad, así como de una amplia variedad de otros eventos y fuentes de datos contextuales».
La definición formal nos dice que los sistemas SIEM son el resultado de la unión de la tecnología SIM (Security Information Management) y la SEM (Security Event Management) en un único sistema de gestión. Así pues, en líneas generales el SIEM es una plataforma que recopila logs y eventos de seguridad de todos los componentes del sistema informático de la empresa —por muy complejo, híbrido y distribuido que sea— y se encarga (como mínimo) de las actividades de normalización de los datos, correlación, monitorización, alertas y creación de reportes, con el fin de identificar amenazas potenciales a través de la monitorización constante de toda la infraestructura.
La complejidad de un sistema SIEM depende de las responsabilidades a las que esté sujeto, pero también de la inmensa cantidad de fuentes de datos con las que debe interactuar: nos referimos a dispositivos de red como routers y firewalls, pero también a sistemas de seguridad como los sistemas de detección de intrusiones (IDS) y los antimalware, los dispositivos de trabajo usados por los usuarios, las aplicaciones de la empresa, las bases de datos, los servidores, los sistemas de gestión de accesos e identidades (IAM), los sistemas industriales como los PLC y SCADA y todo aquello que, al estar sujeto a vulnerabilidad de forma nativa, puede ser aprovechado por los delincuentes para fines delictivos.
No por casualidad, el concepto mismo de Security Information and Event Management está estrechamente vinculado al de gestión de logs , del cual se puede considerar una especie de especialización en el campo de la seguridad y el cumplimiento normativo, siendo los SIEM la base sobre la que construir (y demostrar) la conformidad con múltiples marcos reguladores. Otro aspecto, para nada secundario, es que el SIEM suele ser la plataforma central en la que un Centro de Operaciones de Seguridad (SOC) basa su actividad.
La complejidad y la evolución de los sistemas SIEM
El factor por el cual los sistemas SIEM son esenciales en el paradigma de seguridad moderno es su capacidad para agregar y realizar correlaciones estadísticas avanzadas entre datos procedentes de diversas fuentes, con el fin de identificar señales críticas que pueden (o deben) desencadenar un proceso de respuesta a incidentes para proteger la continuidad operativa, la integridad de los datos y el cumplimiento de normativas y reglamentos.
Desde la primera generación (aproximadamente en 2005) hasta la actualidad, se han dado avances importantes en cada uno de los ámbitos mencionados, hasta el punto de que, hoy, un SIEM es la base de cualquier Centro de Operaciones de Seguridad o SOC, que a su vez es el pilar de la seguridad de las empresas.
Especialmente en los principales sistemas SIEM, a lo largo de los años se han integrado tecnologías avanzadas de análisis del comportamiento de usuarios y entidades (UEBA) y de coordinación, automatización y respuesta de seguridad (SOAR), para luego centrarse en la Inteligencia Artificial (es decir, en el aprendizaje automático o Machine Learning) para interceptar actividades anómalas, identificar aquellas potencialmente dañinas (actuando así sobre el problema de los falsos positivos), interactuar con las políticas de seguridad establecidas por la organización y determinar las acciones que se deben tomar. Así pues, el sistema también puede iniciar una serie de acciones de respuesta automática, como desconectar dispositivos de la red o apagar aplicaciones, entre otras.
Todo esto no significa que no sea necesaria la supervisión humana; al contrario, precisamente a través de los sistemas SIEM de última generación y de las integraciones con SOAR y la Inteligencia de Ciberamenazas se puede desarrollar ese refuerzo mutuo hombre-máquina que, en plena era de la Inteligencia Artificial, debería conformar el presente y el futuro de las empresas.
Fonte: