SIEM significa gestión de información y eventos de seguridad (según sus siglas en inglés). En la práctica, las soluciones de software SIEM combinan las ventajas de la gestión de la información de seguridad (SIM por sus siglas en inglés) y de la gestión de los eventos de seguridad (SEM según sus siglas en inglés) en una solución de seguridad completa capaz de proporcionar análisis en tiempo real de las alertas de seguridad generadas por las aplicaciones y el hardware.
Una solución SIEM funciona recopilando información de los registros y los datos de los eventos generados por una organización en todas sus aplicaciones, sistemas de seguridad y hardware. Cotejando los eventos con las reglas y los motores de análisis, los sistemas SIEM pueden detectar y analizar las amenazas de seguridad en tiempo real. Y lo que es mejor, todo está indexado para la búsqueda, para ayudar a los equipos de seguridad en los análisis, la gestión de los registros y la creación de informes.
El acceso no autorizado
Que se produzcan unos cuantos intentos de inicio de sesión fallidos es algo comprensible. Si la cifra llega a 100, es muy probable que alguien esté realizando un ataque de fuerza bruta. El software SIEM puede supervisar la conducta del usuario e identificar los intentos de acceso inusuales.
Las amenazas internas
La supervisión continua de la conducta de los empleados permite que los sistemas SIEM detecten las amenazas internas, tanto accidentales como maliciosas. Desde los antiguos empleados, a los que aún no se les han retirado los privilegios de acceso, hasta el personal interno malintencionado, que puede estar intentando robar o filtrar información sensible, y los cambios de seguridad accidentales, el software SIEM puede detectar las conductas anómalas y comunicarlas a un analista de seguridad para que proceda a su análisis.
Phishing
Los ataques de phishing están diseñados para que las personas divulguen voluntariamente información personal o sensible, haciendo creer a la víctima que está ante una autoridad de confianza. La forma más común de phishing son los emails que incluyen enlaces o datos adjuntos maliciosos de los atacantes, que se hacen pasar por proveedores, responsables o trabajadores. Sumada a la formación en materia de seguridad, una solución SIEM puede permitir detectar cosas como los inicios de sesión de un empleado desde ubicaciones sospechosas y a horas inhabituales, lo que puede ser un indicio de que se ha vulnerado la cuenta de dicho empleado. Lo que hay que hacer a continuación es bloquear ese perfil de usuario para evitar daños, hasta que el empleado pueda confirmar el acceso.
Ataques DoS y DDoS
Los ataques de denegación de servicio (DoS) interrumpen los servicios inundando las redes con la cantidad de tráfico suficiente para paralizar los recursos de un sistema y provocar su bloqueo. La frecuencia de dichas amenazas va en aumento, debido a la facilidad con la que las redes de robots (botnets) pueden incluir los dispositivos de red de los usuarios incautos en sus propias flotas de recursos para efectuar ataques de denegación de servicio distribuidos (DDoS). Supervisando los registros del servidor web, el software SIEM puede marcar los eventos de tráfico anómalos que pueden ser un indicio de que se está produciendo un ataque DoS o DDoS. La detección temprana de este tipo de ataques puede permitir que su equipo de seguridad organice una defensa y un plan de restauración de los servicios.
Código de Inyección
La inyección de código consiste en insertar código malicioso en los canales de entrada del lado cliente, como los formularios online, para conseguir acceder a los sistemas o la base de datos de una aplicación. El ejemplo más habitual de ello es la inserción de SQL, en la que se insertan comandos SQL en una entrada no saneada, lo que permite que el atacante modifique o borre directamente los datos de la base de datos. Con la supervisión de la actividad de las aplicaciones web, es posible señalar los eventos anómalos y usar la correlación de eventos para ver si se ha producido algún cambio en el sistema.
Ransomware y los otros tipos de malware
El ransomware, los virus, los gusanos, los troyanos y los otros tipos de malware son software diseñado para infiltrarse en los sistemas informáticos y ejecutar programas malintencionados. La mejor defensa frente a estos ataques es la prevención y los sistemas SIEM le proporcionan la capacidad de supervisión que necesita para interpretar los registros de seguridad, identificar los vectores de los ataques y detectar las conductas anómalas que pueden llevar a un ataque. Cuando la vulneración ya es una realidad, el sistema SIEM también puede ayudarle a identificar el alcance del daño de un ataque de malware y proporcionar al equipo de seguridad la información que necesita para resolver el problema.
Ataques MITM
Los ataques de intermediario, o de “man-in-the-middle” (MITM), se producen cuando un tercero malintencionado intercepta las comunicaciones entre dos hosts para robar o manipular la información. Una vez que las comunicaciones han sido interceptadas, el atacante puede emplear distintas técnicas, desde el secuestro de las sesiones de usuario, rastreando las entradas de contraseñas, hasta la inserción de paquetes maliciosos en los flujos de comunicación de datos. Las conexiones y desconexiones frecuentes a ubicaciones extrañas pueden indicar la existencia de un ataque MITM, por ello, un sistema SIEM puede ser una herramienta muy valiosa para ayudar a detectar a los espías, antes de que sea demasiado tarde.
Los sistemas SIEM constituyen el componente central de cualquier infraestructura de seguridad de una empresa. Veamos algunos ejemplos de casos de uso de estos sistemas SIEM.
Cumplimiento de las normativas de datos
Los sistemas SIEM agregan los datos de los registros de eventos, las herramientas de seguridad y los dispositivos de toda la empresa. Por ello, es la herramienta perfecta para ayudar a generar los informes reglamentarios y de cumplimiento normativo.
Aquí tiene algunos ejemplos:
Un sistema SIEM proporciona un acceso estructurado a la información de los registros y los datos de seguridad de toda la empresa, por lo que permite crear informes detallados tanto para los organismos reguladores como para los propietarios individuales de los datos.
Detección de amenazas avanzadas para la seguridad
Tal como hemos visto con más detalle en el apartado anterior “Ejemplos de amenazas que una solución SIEM puede detectar”, los sistemas SIEM se crearon para detectar las amenazas avanzadas para la seguridad. Veamos algunos ejemplos más generales de cómo los sistemas SIEM ayudan a buscar activamente las amenazas.
Protección de las implementaciones de IdC
El Internet de las cosas (IdC) consiste en una flota de dispositivos de red distribuida, cada uno de los cuales transmite sus propios registros de eventos en tiempo real. Los sistemas SIEM son ideales para proteger las implementaciones del IdC.
La diferencia principal entre un sistema SIEM y un sistema de detección de intrusiones (IDS) es que el primero es preventivo, mientras que el segundo está optimizado para detectar e informar de los eventos que suponen una amenaza cuando se producen. Ambas herramientas generan alertas y registros, pero solo el sistema SIEM puede centralizar y relacionar esa información de registro con diferentes dispositivos y sistemas, para proporcionar una visión general de la seguridad de la empresa.
Las organizaciones suelen utilizar los sistemas SIEM e IDS conjuntamente. El sistema IDS ayudará durante un ataque. La solución SIEM cogerá esos registros IDS y hará que estén disponibles junto con la otra información del sistema, para que los equipos de seguridad puedan generar informes de conformidad y prevenir ataques futuros.
La orquestación, automatización y respuesta de seguridad (SOAR por sus siglas en inglés) es un recién llegado relativo. Amplía las funcionalidades del sistema SIEM al permitirle también la automatización de los flujos de trabajo de las vías de investigación. Esto reduce el tiempo necesario para manejar las alertas.
El sistema SIEM identifica las amenazas al correlacionar la información procedente de múltiples fuentes, incluidos los cortafuegos, las aplicaciones, los servidores y los dispositivos. La solución SIEM tratará de proporcionar la información más relevante para el equipo de seguridad, junto con sugerencias de corrección, pero es el equipo de seguridad el que tiene que localizar y corregir la fuente de la posible amenaza.
La plataforma SOAR hace todo eso y más, ya que da otro paso y automatiza la vía de investigación. Es decir, va más allá de simplemente alertar al equipo de seguridad de una posible amenaza y usa la IA para aprender los patrones de conducta y abordar las amenazas automáticamente a través de la orquestación.
Estas son algunas herramientas SIEM populares que están disponibles en el mercado:
En resumen, SIEM significa gestión de información y eventos de seguridad (según sus siglas en inglés). Las herramientas SIEM pueden utilizarse para detectar y prevenir una variedad de amenazas, incluidas la inserción de código, los ataques de ransomware y los ataques DDoS. Son especialmente útiles para detectar anomalías, como los accesos no autorizados, los intentos de inicio de sesión sospechosos y los flujos de datos inusuales. Si necesita una plataforma de seguridad capaz de agregar los registros de múltiples fuentes en una ubicación centralizada para realizar análisis de seguridad, una solución SIEM puede ayudarle.