SIEM o también denominado Security Information and Event Management Actualmente, creo que no pudieron ponerle un nombre mas largo, bueno empezamos, en la actualidad sabemos que cada vez existen mas amenazas en internet y esto conlleva a que estos ciberdelincuentes cada vez sean mas hábiles y capaces de atacar sin ser detectados, a veces incluso son capaces de introducirse en redes como si fuese un tráfico habitual.
Es por ello que las empresas cada vez invierten mas en ciberseguridad ya que no quieren ser sorprendidos por estas amenazas, esto se traduce en antivirus, firewall, programas contra el malware, y demás seguridad informática.
Pero en ocasiones al introducir tantos programas no existe una comunicación entre ellos y esto puede traernos de cabeza, aquí es donde aparece el SIEM.
¿Qué es un SIEM?
Podemos definir el SIEM como una recolector de información de todos los dispositivos de seguridad, por decirlo de alguna manera muy básica es como ese guarda de seguridad que está mirando las cámaras.
Además es capaz de analizar, controlar, establecer comportamientos y sobre todo avisar de que pasa algo fuera de lo habitual, esto nos lleva a una posible toma de decisiones en cuanto a las amenazas que puedan introducirse en nuestra red.
Características de un SIEM
Antes pusimos un ejemplo de un guarda mirando las cámaras, solamente era para ponernos en situación de como podría ser físicamente un SIEM, pero por supuesto que es mucho mas que esto, vamos a ver el SIEM y sus características fundamentales:
Recopilar información
Vigila cada uno de los dispositivos conectados a la red, recopilando la información necesaria de estos y de los logs. La idea es que la recopilación de información tenga la misma fecha y hora para realizar búsquedas y análisis correctamente.
Controlar la información
El SIEM debe ser capaz de tener un aprendizaje analítico de como se mueve el tráfico dentro de la red, vamos que lo que rutinariamente realiza el usuario debe ser registrado por el SIEM y en caso de salirse de lo normal el SIEM debe alertar que algo raro sucede indicando la alerta y su descripción.
Análisis e integración de la información
Esto sirve para detectar posibles problemas o alteraciones de seguridad. Debe ser capaz de integrarse con todos los dispositivos de seguridad y además tomar medidas y decisiones de la manera mas inteligente posible, con el objetivo de bloquear las amenazas recibidas.
Control visual
Es importante poder ver en cada momento si algo raro sucede y donde, por lo cual un monitoreo de la red es clave para ver donde están las amenazas.
Gestionar la información
Es evidente que el SIEM debe permitirnos gestionar soluciones ante posibles alertas, además de una visualización en tiempo real de los problemas o amenazas.
Nos debe permitir realizar las gestiones necesarias para contrarrestar las amenazas, así como un registro de todo lo que sea realizado para reducir o eliminar dichas amenazas.
Este último punto es importante, ya que todas las características anteriores son comunes cuando una empresa implementa un SIEM, pero a la hora de gestionar la información si que existen ciertas opciones que debemos tener en cuenta.
Almacenamiento
Toda esta gestión y análisis de datos conlleva también una cantidad o capacidad para almacenarlos, esta eliminación de datos ya sean logs, copias de seguridad, archivos etc. será determinado por la empresa, dependiendo de la cantidad de datos o información que necesitemos analizar puede tardar mas o menos en función del tamaño.
Hemos visto las características que cualquier SIEM debe tener, existen también otras características que dependerán del fabricante como:
- Análisis de fallos y simulación de exploits.
- Detección de anomalías.
- Análisis y topologías de red.
- Priorizar vulnerabilidades.
- Reporting centralizado.
- Control de usuarios
- Cuadros de mando
- Normativas como SOX, RGDP, etc.
Herramientas SIEM mas utilizadas
Vamos a realizar un pequeño punto de las herramientas SIEM que actualmente están en auge en el mercado de las empresas en cuestión de ciberseguridad, dejar claro que no percibo nada de estos programas por exponerlos aquí
Fusión SIEM
- Fusión SIEM ofrece capacidades avanzadas de detección de amenazas utilizando análisis de comportamiento líderes.
- También puede lograr resultados productivos con un plan de caso de uso prescriptivo y centrado en amenazas.
- Como resultado, su productividad aumentará y su tiempo de respuesta disminuirá al usar la automatización.
- Fusion SIEM proporciona almacenamiento de registros basado en la nube, informes de cumplimiento detallados y búsquedas guiadas rápidas, para que pueda cumplir fácilmente con los requisitos de auditoría y cumplimiento normativo, incluidos GDPR, HIPAA, PCI, NERC, NYDFS o NIST
Graylog
- Esta plataforma de ciberseguridad flexible y escalable de Graylog está diseñada para superar los desafíos tradicionales de la gestión de eventos e información de seguridad (SIEM), haciendo que el trabajo de los analistas de seguridad sea más fácil y rápido.
- Con capacidades SIEM, detección de anomalías y análisis de comportamiento de entidades de usuario (UEBA).
- Graylog brinda a los equipos de seguridad mayor confianza, productividad y experiencia para mitigar los riesgos de amenazas internas, ataques basados en ataques y otras ciberamenazas.
En caso de no saber muy bien como realizar toda esta gestión existen dos vías alternativas una es la de que te instalen el SIEM y lo gestiona la empresa y otra es realizar una subcontratación de este servicio.