¿Qué es el software SIEM?
El software de gestión de eventos e información de seguridad (SIEM) ofrece a los profesionales de la seguridad empresarial información y historial de las actividades dentro de su entorno de TI.
La tecnología SIEM existe desde hace más de una década, inicialmente evolucionando desde la disciplina de gestión de registros. Combinó la gestión de eventos de seguridad (SEM), que analiza los datos de registro y eventos en tiempo real para proporcionar monitoreo de amenazas, correlación de eventos y respuesta a incidentes, con la gestión de información de seguridad (SIM) que recopila, analiza e informa sobre los datos de registro.
Cómo funciona SIEM
El software SIEM recopila y agrega datos de registro generados en toda la infraestructura tecnológica de la organización, desde sistemas y aplicaciones host hasta redes y dispositivos de seguridad como cortafuegos y filtros antivirus.
A continuación, el software identifica y categoriza los incidentes y eventos, así como los analiza. El software cumple dos objetivos principales, que son
- proporcionar informes sobre incidentes y eventos relacionados con la seguridad, como inicios de sesión exitosos y fallidos, actividad de malware y otras posibles actividades maliciosas y
- enviar alertas si el análisis muestra que una actividad se ejecuta contra conjuntos de reglas predeterminados y, por lo tanto, indica un posible problema de seguridad.
La necesidad empresarial de una mejor gestión del cumplimiento impulsó gran parte de la adopción temprana de esta tecnología, dice Paula Musich, directora de investigación de Enterprise Management Associates (EMA), una firma de consultoría e investigación de mercado con sede en Boulder, Colorado.
«Los auditores necesitaban una forma de ver si el cumplimiento se estaba cumpliendo o no, y SIEM proporcionó la supervisión y los informes necesarios para cumplir mandatos como HIPPA, SOX y PCI DSS ”, dice, refiriéndose a la Ley de Portabilidad y Responsabilidad del Seguro Médico, la Ley Sarbanes-Oxley y los Datos de la Industria de Tarjetas de Pago Estándar de seguridad.
Sin embargo, ex perts dice que la demanda empresarial de mayores medidas de seguridad ha impulsado una mayor parte del mercado SIEM en los últimos años.
«Ahora las grandes organizaciones suelen considerar SIEM como una base para mantener el centro de operaciones de seguridad», dice Musich.
Análisis e inteligencia
Uno de los principales impulsores detrás del uso del software SIEM para operaciones de seguridad reside en las capacidades más nuevas contenidas en muchos de los productos en el mercado.
«Ahora muchas tecnologías SEIM incorporan fuentes de inteligencia de amenazas además de los datos de registro tradicionales, y hay varios productos SIEM que tienen capacidades de análisis de seguridad que analizan el comportamiento de la red, así como el comportamiento del usuario para dar más inteligencia sobre si una actividad indica actividad maliciosa ”, explica Musich.
De hecho, la firma de investigación tecnológica Gartner en su informe de mayo de 2017 sobre el mercado mundial SIEM destaca la inteligencia en las herramientas SIEM, diciendo que el mercado SIEM se mueve g a un ritmo emocionante para crear una mejor herramienta de detección de amenazas ”.
El informe de Gartner señala además que los proveedores están introduciendo aprendizaje automático, análisis estadístico avanzado y otros métodos analíticos en sus productos, mientras que algunos también están experimentando con inteligencia artificial y capacidades de aprendizaje profundo.
Según Gartner, los proveedores comercializan avances como capacidades que pueden proporcionar tasas de detección más precisas a un ritmo más rápido. Sin embargo, Gartner señala que las empresas aún no tienen claro si, o en qué medida, estas capacidades generan nuevos rendimientos para la organización.
Rob Stroud, analista principal de Forrester Research y ex presidente de la junta de ISACA, una asociación profesional internacional centrada en la gobernanza de TI, dice que ve promesas en estas tecnologías.
«Con la inteligencia artificial y el aprendizaje automático podemos realizar inferencias y monitoreo y alertas basados en patrones, pero la verdadera oportunidad es la restauración predictiva. Esta es la transición en el mercado ahora. Va de una herramienta de monitoreo a sugerencias de remediación «, dice Stroud, y agrega que espera que el software SIEM incluso pueda automatizar la remediación en el futuro.
SIEM en la empresa
El software SIEM captura solo una pequeña parte del total de dólares gastados en seguridad empresarial en todo el mundo, según Gartner. Gartner estima el gasto global en seguridad empresarial en casi $ 98,4 mil millones para 2017, con software SIEM recaudando alrededor de $ 2.4 mil millones. Gartner predice que el gasto en tecnología SIEM aumentará modestamente, a casi $ 2.6 mil millones en 2018 y $ 3.4 mil millones en 2021.
El software SIEM es utilizado principalmente por grandes organizaciones y empresas públicas, donde el cumplimiento La normativa sigue siendo un factor importante en el uso de esta tecnología, según los analistas.
Si bien algunas empresas medianas también utilizan software SIEM, las pequeñas empresas no suelen necesitar ni querer invertir en él.Los analistas dicen que a menudo les cuesta comprar su propia solución, ya que su costo anual puede oscilar entre decenas de miles y más de 100.000 dólares. Además, las empresas pequeñas no tienen la capacidad de contratar el talento necesario para mantener el software SIEM de forma continua.
Dicho esto, los analistas también señalan que algunas empresas pequeñas y medianas han proporcionado SIEM como una oferta de software como servicio a través de proveedores de subcontratación que son lo suficientemente grandes como para vender ese servicio a sus clientes SMB.
Actualmente, los usuarios de grandes empresas tienden a ejecutar siempre software SIEM en las instalaciones, debido a la sensibilidad de algunos de los datos que pasan por el sistema. «Estás registrando cosas sensibles, y eso no es algo que la gente tenga mucho interés en enviar a través de Internet», dice John Hubbard, analista principal del Centro de Operaciones de Seguridad de Estados Unidos de GlaxoSmithKline e instructor del Instituto SANS, una organización para la seguridad. profesionales.
Sin embargo, a medida que aumentan las capacidades de aprendizaje automático e inteligencia artificial dentro de los productos SIEM, algunos analistas esperan que los proveedores de SIEM ofrezcan una opción híbrida, con algunos de los análisis ejecutándose en la nube .
«Estamos viendo recopilación, selección e inteligencia a través de la nube; lo estamos viendo surgir porque el proveedor puede seleccionar más datos de los que una organización puede «, dice Stroud.
Herramientas SIEM y selección de proveedores
El mercado SIEM tiene varios proveedores dominantes basados en ventas mundiales, específicamente IBM, Splunk y HPE. Hay al menos varios actores más importantes, a saber, Alert Logic, Intel, LogRhythm, ManageEngine, Micro Focus, Solar Winds y Trustwave.
Musich dice que las empresas deben evaluar los productos en función de sus propios objetivos para determinar cuáles satisfaría mejor sus necesidades. Las organizaciones que desean esta tecnología principalmente para el cumplimiento valorarán ciertas capacidades, como los informes, más que las organizaciones que desean aprovechar SIEM para establecer un centro de operaciones de seguridad.
Mientras tanto, Ella dice que las organizaciones que tienen petabytes de datos encontrarán algunos proveedores más capaces de satisfacer sus necesidades, mientras que aquellos que tienen menos datos pueden optar por otras opciones. De manera similar, las empresas que desean una búsqueda de amenazas sobresaliente probablemente buscarán las mejores herramientas de visualización de datos y capacidades de búsqueda que otros quizás no necesiten tener.
Los líderes de seguridad deben tener en cuenta muchos otros factores, como si pueden admitir una herramienta en particular, cuántos datos tendrán dentro del sistema y cuánto quieren gastar, al evaluar a los proveedores de SIEM, dice Musich. Por ejemplo, ArcSight ESM de HPE es una herramienta madura que tiene muchas funcionalidades pero requiere una gran cantidad de experiencia y es más costosa que otras opciones.
«Siempre habrá una variedad de capacidades», Musich agrega: «Y cuanto más sofisticada sea la seguridad en las operaciones, mejor uso harán de las herramientas que tienen».
Dados los diferentes requisitos de capacidad según los dos impulsores principales detrás En la selección SIEM, Hubbard dice que ve que muchas organizaciones optan por dos sistemas diferentes, uno enfocado en el cumplimiento y el otro enfocado en la detección de amenazas.
«Puede recolectar mucho para el cumplimiento , pero eso puede ralentizarlo para usos de detección de amenazas. Por lo tanto, tiene un SIEM táctico para la detección de amenazas «, dice.
Maximizar el valor de SIEM
Aún así, la mayoría de las empresas continúan usando Software SIEM principalmente para rastrear e investigar lo que sucedió, dice Eric Ogren, analista senior de información se equipo de curity en 451 Research. Ogren dice que este caso de uso está impulsado por la creciente amenaza de infracciones y las consecuencias cada vez más graves que los líderes y las organizaciones enfrentarán en tales eventos.
Como dice Ogren: «Si una empresa es pirateada, ningún CIO quiere hacer que la junta pregunte qué sucedió y diga: Maldita sea, lo sé. Quieren decir: Revisaremos los datos de registro para averiguar qué sucedió ”.
Sin embargo, al mismo tiempo , muchas empresas ahora están yendo más allá y están utilizando cada vez más la tecnología para la detección y la respuesta casi en tiempo real, dice Ogren.
«El juego ahora es: ¿Qué tan rápido puedes ¿detectar?» dice, y agrega que las capacidades de aprendizaje automático en evolución están ayudando a los sistemas SIEM a identificar con mayor precisión la actividad inusual y potencialmente maliciosa.
A pesar de estos avances, las organizaciones continúan enfrentando desafíos en sus habilidades para maximizar los beneficios y, por lo tanto, , el valor que obtienen incluso de los sistemas existentes, dicen los expertos.
Hay varias razones para eso.
Primero, las tecnologías SIEM requieren muchos recursos y requieren personal experimentado para implementarlas, mantenerlas y afinarlos, personal en el que no todas las organizaciones han invertido completamente todavía.
«Muchas organizaciones incorporan la tecnología porque saben que es algo que quieren, pero no tienen el personal o no le dan al personal la capacitación que necesitan. para usarlo ”, dice Stroud.
El software SIEM también requiere datos de calidad para obtener el máximo rendimiento.» Cuanto mayor sea la fuente de datos, mejor se obtiene y mejor puede ver los valores atípicos «, explica Stroud. Sin embargo, las organizaciones continúan luchando por definir y proporcionar los datos correctos.
E incluso con datos sólidos y un equipo sofisticado que ejecuta la tecnología SIEM, el software en sí tiene límites, dicen los analistas. Señalan que no es completamente preciso para detectar qué actividad es aceptable y qué es una amenaza potencial legítima, una discrepancia que conduce a un gran número de alertas falsas en muchas implementaciones.
Ese escenario requiere una gobernanza sólida y procedimientos efectivos dentro de la empresa para que los equipos de seguridad no sucumban a la sobrecarga de alertas.
Stroud dice que los profesionales de la seguridad a menudo comienzan persiguiendo una cantidad asombrosa de falsas alertas. Las organizaciones sofisticadas aprenderán a ajustar las herramientas con el tiempo para que el software comprenda cuáles son los eventos habituales y, por lo tanto, reducirá el número de alertas falsas.
Por otro lado, sin embargo, dice que algunos equipos de seguridad escatimarán en eso. paso y en su lugar desconecta más de las falsas alertas por costumbre, una práctica que corre el riesgo de perder amenazas reales.
Musich dice que las organizaciones más sofisticadas también escriben scripts para automatizar más funciones mundanas, como extraer datos de diferentes fuentes para ofrecer una imagen más completa de las alertas para acelerar las investigaciones y la identificación de amenazas reales.
«Se necesitan buenos procesos y madurez en las operaciones de seguridad», agrega. «Eso significa que no solo sea una herramienta en sí misma, sino que se integre con otras tecnologías y que tenga un proceso general para guiar las actividades ”.
Se mueve así, dice ella, que puede reducir el tiempo que el personal dedica a actividades de nivel inferior y les permite redirigir sus energías a las tareas de alto valor que elevan la postura de seguridad de la empresa.
Más sobre SIEM:
- ¿ArcSight vs. Splunk? Por qué es posible que desee ambos
- Criterios de evaluación para SIEM
- SIEM: 14 preguntas para hacer antes de comprar
- Conceptos básicos de administración de registros
- SIEM -as-a-service aborda las necesidades de las pequeñas y medianas empresas