+5411 2128 3279

© 2020 Platinum Ciber-Seguridad

  • Platinum Ciber Team

Propuesta de solución al arduo trabajo del monitoreo de eventos de seguridad

Semanas atrás planteamos un tema muy importante en la mesa de decisión de un CISO y de los perfiles que trabajan en seguridad desde la nota https://www.platinumciber.com/post/el-arduo-trabajo-del-monitoreo-de-eventos-de-seguridad.



Desde el punto de vista tecnológico, la solución que existe hoy en día que permite concentrar y correlacionar grandes cantidades de información de seguridad es el <SIEM> https://www.csoonline.com/article/2124604/what-is-siem-software-how-it-works-and-how-to-choose-the-right-tool.html (Security and Information Event Management = Administración de información y eventos de seguridad).


Este tipo de soluciones permiten justamente, concentrar información de seguridad de diferentes fuentes y combinaras con eventos (logs) para brindar un panorama completo de la postura de ciberseguridad de la organización. Dichas plataformas se despliegan a lo largo de toda la infraestructura de la organización medidante diversos componentes que pueden ser: capturadores/procesadores de logs, capturadores/procesadores de flujos, capturadores de paquetes, nodos de aplicaciones, inteligencia de amenazas, consolas, tableros de control, etc. Y todos estos a su vez, se integran con las fuentes de datos de seguridad de la red (logs, flujos, paquetes, EDRs, etc.) y con información muchas veces no tecnológica que debe incorporarse a los sistemas (información de inventario, responsables, ubicación geográfica, información de riesgo, etc.). Para lograr que estos complejos sistemas funcionen correctamente en la organización, hasta existen 3 perfiles bien definidos de profesionales asociados a estas soluciones. Los diseñadores/implementadores que deben conocer las opciones de cada solución para saber como combinarlas y utilizar los recursos lo mejor posible manteniendo la escalabilidad. Los analistas/operadores quienes están en el día a día de la herramienta y que deben detectar y arbitrar los medios para mitigar las ciberamenazas detectadas. Y por último los administradores que son los encargados de mantener los sistemas en funcionamiento para que los analistas puedan hacer correctamente su trabajo. Comercialmente existen varios productos https://www.esecurityplanet.com/products/top-siem-products.html, cada uno con sus características particulares y cada uno adecuado a diferentes necesidades. En muchos sitios pueden verse las características estándar con las que se suelen <comparar> https://www.softwaretestinghelp.com/siem-tools/ los diferentes SIEMs, como por ejemplo performance, escalabilidad o costo. Sin embargo, en nuestra experiencia rescatamos otro conjunto de características que son muy importantes y que si no se tienen en cuenta pueden hacer que se gaste mucho dinero y que el proyecto SIEM finalmente fracase.


Estas son: - Instalación de base: Si bien en ambientes corporativos cualquiera de las soluciones existentes van a llevar su complejidad, la facilidad a la hora de instalar los diferentes componentes hará la diferencia entre tener el sistema desplegado en semanas vs. en meses. - Incorporación de fuentes: Casi todos los productos vienen con un conjunto de <fuentes de logs> https://medium.com/@chroniclesec/top-10-siem-log-sources-in-real-life-feacf299eba5 predefinidas de los sistemas más usados o más populares. Sin embargo, casi siempre ocurre que en nuestras instalaciones existen sistemas cuyos logs no son directamente compatibles con el colector de logs. Es por eso que es muy importante, o bien que haya actualizaciones periódicas de los parsers y normalizadores, o bien que la herramienta venga con una facilidad que le permita al administrador editar sus parsers para leer cualquier log, esté o no incorporado. Obviamente que si el sistema cuenta con ambas características, mucho mejor! - Correlación: el secreto del SIEM es la posibilidad de tomar logs de diferentes fuentes, normalizarlos y finalmente correlacionar toda esa información para brindar una compresión de información precisa y que los indicadores resultantes tengan un alto grado de confianza. El motor de reglas de correlación tanto respecto a su performance, como a su facilidad de uso, es uno de los aspectos más importantes a la hora de seleccionar un SIEM. - Inteligencia Artificial: Si además de todo lo mencionado, el SIEM tiene la capacidad de anticiparse a ciertos comportamientos y automatizar decisiones mediante técnicas de <AI> https://www.forbes.com/sites/louiscolumbus/2019/09/25/10-ways-ai-and-machine-learning-are-improving-endpoint-security/#63165e832db0, entonces el nivel de eficacia en la detección de ciber amenazas se incrementa considerablemente. - Actualizaciones: Gran parte de los SIEMs comerciales, se montan sobre diferentes componentes open source. Es por esto que las actualizaciones pueden resultar muy tediosas ya que se deben actualizar miles de componentes. Es muy importante conocer los ciclos de actualizaciones de los diferentes productos, cuáles son las ventanas en la que nos quedamos ciegos, si los eventos se almacenan durante las actualizaciones, etc. Esto permitirá poder elegir el más adecuado a nuestras necesidades. - Capacitación: Estas herramientas son muy completas y efectivas, pero muy complejas. Es finalmente muy importante que la solución seleccionada tenga facilidades de capacitación para los diferentes roles asociados con el SIEM, implementadores, analistas y administradores.




CONCLUSION


La solución al problema de lidiar con una infinidad de datos de seguridad existe y es el SIEM. Los temas por resolver entonces son: primero elegir el SIEM con las características más adecuadas para la organización; y segundo hacer todo el trabajo necesario para que la configuración esté permanentemente actualizada de forma que el resultado sean indicadores precisos y confiables.




PlatinumCiber Team | www.platinumciber.com | 2020