¿Qué es SIEM? Definición y funcionamiento

SIEM significa gestión de información y eventos de seguridad (según sus siglas en inglés). En la práctica, las soluciones de software SIEM combinan las ventajas de la gestión de la información de seguridad (SIM por sus siglas en inglés) y de la gestión de los eventos de seguridad (SEM según sus siglas en inglés) en una solución de seguridad completa capaz de proporcionar análisis en tiempo real de las alertas de seguridad generadas por las aplicaciones y el hardware.

¿Cómo funciona una solución SIEM?

Una solución SIEM funciona recopilando información de los registros y los datos de los eventos generados por una organización en todas sus aplicaciones, sistemas de seguridad y hardware. Cotejando los eventos con las reglas y los motores de análisis, los sistemas SIEM pueden detectar y analizar las amenazas de seguridad en tiempo real. Y lo que es mejor, todo está indexado para la búsqueda, para ayudar a los equipos de seguridad en los análisis, la gestión de los registros y la creación de informes.

Ejemplos de amenazas que una solución SIEM puede detectar

El acceso no autorizado

Que se produzcan unos cuantos intentos de inicio de sesión fallidos es algo comprensible. Si la cifra llega a 100, es muy probable que alguien esté realizando un ataque de fuerza bruta. El software SIEM puede supervisar la conducta del usuario e identificar los intentos de acceso inusuales.

Las amenazas internas

La supervisión continua de la conducta de los empleados permite que los sistemas SIEM detecten las amenazas internas, tanto accidentales como maliciosas. Desde los antiguos empleados, a los que aún no se les han retirado los privilegios de acceso, hasta el personal interno malintencionado, que puede estar intentando robar o filtrar información sensible, y los cambios de seguridad accidentales, el software SIEM puede detectar las conductas anómalas y comunicarlas a un analista de seguridad para que proceda a su análisis.

Phishing

Los ataques de phishing están diseñados para que las personas divulguen voluntariamente información personal o sensible, haciendo creer a la víctima que está ante una autoridad de confianza. La forma más común de phishing son los emails que incluyen enlaces o datos adjuntos maliciosos de los atacantes, que se hacen pasar por proveedores, responsables o trabajadores. Sumada a la formación en materia de seguridad, una solución SIEM puede permitir detectar cosas como los inicios de sesión de un empleado desde ubicaciones sospechosas y a horas inhabituales, lo que puede ser un indicio de que se ha vulnerado la cuenta de dicho empleado. Lo que hay que hacer a continuación es bloquear ese perfil de usuario para evitar daños, hasta que el empleado pueda confirmar el acceso.

Ataques DoS y DDoS

Los ataques de denegación de servicio (DoS) interrumpen los servicios inundando las redes con la cantidad de tráfico suficiente para paralizar los recursos de un sistema y provocar su bloqueo. La frecuencia de dichas amenazas va en aumento, debido a la facilidad con la que las redes de robots (botnets) pueden incluir los dispositivos de red de los usuarios incautos en sus propias flotas de recursos para efectuar ataques de denegación de servicio distribuidos (DDoS). Supervisando los registros del servidor web, el software SIEM puede marcar los eventos de tráfico anómalos que pueden ser un indicio de que se está produciendo un ataque DoS o DDoS. La detección temprana de este tipo de ataques puede permitir que su equipo de seguridad organice una defensa y un plan de restauración de los servicios.

Código de Inyección

La inyección de código consiste en insertar código malicioso en los canales de entrada del lado cliente, como los formularios online, para conseguir acceder a los sistemas o la base de datos de una aplicación. El ejemplo más habitual de ello es la inserción de SQL, en la que se insertan comandos SQL en una entrada no saneada, lo que permite que el atacante modifique o borre directamente los datos de la base de datos. Con la supervisión de la actividad de las aplicaciones web, es posible señalar los eventos anómalos y usar la correlación de eventos para ver si se ha producido algún cambio en el sistema.

Ransomware y los otros tipos de malware

El ransomware, los virus, los gusanos, los troyanos y los otros tipos de malware son software diseñado para infiltrarse en los sistemas informáticos y ejecutar programas malintencionados. La mejor defensa frente a estos ataques es la prevención y los sistemas SIEM le proporcionan la capacidad de supervisión que necesita para interpretar los registros de seguridad, identificar los vectores de los ataques y detectar las conductas anómalas que pueden llevar a un ataque. Cuando la vulneración ya es una realidad, el sistema SIEM también puede ayudarle a identificar el alcance del daño de un ataque de malware y proporcionar al equipo de seguridad la información que necesita para resolver el problema.

Ataques MITM

Los ataques de intermediario, o de “man-in-the-middle” (MITM), se producen cuando un tercero malintencionado intercepta las comunicaciones entre dos hosts para robar o manipular la información. Una vez que las comunicaciones han sido interceptadas, el atacante puede emplear distintas técnicas, desde el secuestro de las sesiones de usuario, rastreando las entradas de contraseñas, hasta la inserción de paquetes maliciosos en los flujos de comunicación de datos. Las conexiones y desconexiones frecuentes a ubicaciones extrañas pueden indicar la existencia de un ataque MITM, por ello, un sistema SIEM puede ser una herramienta muy valiosa para ayudar a detectar a los espías, antes de que sea demasiado tarde.

Cuándo usar un sistema SIEM con ejemplos

Los sistemas SIEM constituyen el componente central de cualquier infraestructura de seguridad de una empresa. Veamos algunos ejemplos de casos de uso de estos sistemas SIEM.

Cumplimiento de las normativas de datos

Los sistemas SIEM agregan los datos de los registros de eventos, las herramientas de seguridad y los dispositivos de toda la empresa. Por ello, es la herramienta perfecta para ayudar a generar los informes reglamentarios y de cumplimiento normativo.

Aquí tiene algunos ejemplos:

• RGPD: el Reglamento General de Protección de Datos fue aprobado por la Unión Europea (UE) para proteger los datos personales de los ciudadanos de la UE.
• HIPAA: la Ley de Portabilidad y Responsabilidad de los Seguros de Salud (HIPAA) fue aprobada por la asamblea legislativa de los Estados Unidos para proteger la información sensible sobre la salud de los pacientes.
• PCI: el Estándar de Seguridad de los Datos del Sector de las Tarjetas de Pago (PCI DSS) es un estándar de seguridad de la información establecido por las empresas de tarjetas de crédito para proteger a sus clientes.
• Conformidad SOX: la Ley Sarbanes-Oxley (SOX) es una normativa estadounidense que se centra en el fraude en materia de contabilidad de las empresas. Se aplica a los consejos de administración de las empresas que cotizan en bolsa, a los directivos empresariales y a las empresas de contabilidad y exige la presentación de informes precisos en los que se indique dónde se almacena la información sensible, quién tiene acceso a ella y cómo se usa.

Un sistema SIEM proporciona un acceso estructurado a la información de los registros y los datos de seguridad de toda la empresa, por lo que permite crear informes detallados tanto para los organismos reguladores como para los propietarios individuales de los datos.

Detección de amenazas avanzadas para la seguridad

Tal como hemos visto con más detalle en el apartado anterior “Ejemplos de amenazas que una solución SIEM puede detectar”, los sistemas SIEM se crearon para detectar las amenazas avanzadas para la seguridad. Veamos algunos ejemplos más generales de cómo los sistemas SIEM ayudan a buscar activamente las amenazas.

• Identificación de anomalías: los análisis del comportamiento y la correlación de eventos pueden señalar las anomalías para que los equipos de seguridad las inspeccionen con más detalle.
• Exfiltración de datos: el hecho de tener una visión de conjunto de cómo se usan los datos permite obtener unos indicios claros de las amenazas internas y de otros intentos de transferir información sensible fuera de la organización de manera no autorizada.
• Respuesta a nuevas vulnerabilidades: si se identifica una nueva vulnerabilidad de día cero o del sistema, una solución SIEM puede ayudar a determinar el alcance de la vulnerabilidad para poder cerrarla.
• Aprendizaje de incidentes pasados: cuando se produce un incidente, puede comprobar rápidamente si ya ha ocurrido con anterioridad. La experiencia de cómo se trató el problema en el pasado puede ayudarle a evitar que dicho problema se vuelva a producir o a tratar más rápidamente los incidentes repetidos.
• Inteligencia sobre amenazas: detecte de manera inteligente los ataques en los sistemas informáticos, aplicando la IA a los registros y los datos de seguridad. Compruebe la coincidencia de patrones entre las señales conocidas de los ataques y los datos históricos.
• Guía de la investigación: empodere a los analistas para que pongan a prueba las hipótesis a través de la exploración de los datos mediante una plataforma SIEM.

Protección de las implementaciones de IdC

El Internet de las cosas (IdC) consiste en una flota de dispositivos de red distribuida, cada uno de los cuales transmite sus propios registros de eventos en tiempo real. Los sistemas SIEM son ideales para proteger las implementaciones del IdC.

• Supervisión de los dispositivos del IdC: los dispositivos del IdC son uno de los objetivos principales de los secuestros que se llevan a cabo para formar las redes de robots (botnets) que realizan los ataques DDoS. La supervisión constante con un sistema SIEM puede proporcionarle un indicio claro de que hay una conducta anómala que apunta a la existencia de un dispositivo vulnerado.
• Supervisión del flujo de datos: los dispositivos del IdC con frecuencia se comunican entre ellos a través de protocolos sin cifrar. Una solución SIEM puede detectar unos patrones de tráfico no habituales entre nodos de su red de IdC y avisar a los equipos de seguridad cuando se vulnere la información sensible.
• Control de accesos: la supervisión de quién accede a sus dispositivos de IdC y cuándo lo hace puede alertarle de la existencia de actividades o conexiones sospechosas.
• Gestión de la vulnerabilidad: una solución SIEM puede ayudarle a detectar los sistemas operativos viejos y las vulnerabilidades no corregidas que existen en su flota de dispositivos del IdC. También puede ayudarle a aislar los dispositivos que es más probable que sufran un ataque, por ejemplo, aquellos con puntos de acceso a datos sensibles o funciones críticas.

¿Qué diferencia a un sistema SIEM de un IDS?

La diferencia principal entre un sistema SIEM y un sistema de detección de intrusiones (IDS) es que el primero es preventivo, mientras que el segundo está optimizado para detectar e informar de los eventos que suponen una amenaza cuando se producen. Ambas herramientas generan alertas y registros, pero solo el sistema SIEM puede centralizar y relacionar esa información de registro con diferentes dispositivos y sistemas, para proporcionar una visión general de la seguridad de la empresa.

Las organizaciones suelen utilizar los sistemas SIEM e IDS conjuntamente. El sistema IDS ayudará durante un ataque. La solución SIEM cogerá esos registros IDS y hará que estén disponibles junto con la otra información del sistema, para que los equipos de seguridad puedan generar informes de conformidad y prevenir ataques futuros.

SIEM versus SOAR: ¿cuál es la diferencia?

La orquestación, automatización y respuesta de seguridad (SOAR por sus siglas en inglés) es un recién llegado relativo. Amplía las funcionalidades del sistema SIEM al permitirle también la automatización de los flujos de trabajo de las vías de investigación. Esto reduce el tiempo necesario para manejar las alertas.

El sistema SIEM identifica las amenazas al correlacionar la información procedente de múltiples fuentes, incluidos los cortafuegos, las aplicaciones, los servidores y los dispositivos. La solución SIEM tratará de proporcionar la información más relevante para el equipo de seguridad, junto con sugerencias de corrección, pero es el equipo de seguridad el que tiene que localizar y corregir la fuente de la posible amenaza.

La plataforma SOAR hace todo eso y más, ya que da otro paso y automatiza la vía de investigación. Es decir, va más allá de simplemente alertar al equipo de seguridad de una posible amenaza y usa la IA para aprender los patrones de conducta y abordar las amenazas automáticamente a través de la orquestación.

Los proveedores de ciberseguridad SIEM más comunes

Estas son algunas herramientas SIEM populares que están disponibles en el mercado:

• Elastic SIEM
• SolarWinds SIEM
• Datadog
• Splunk Enterprise SIEM
• McAfee ESM
• Micro Focus ArcSight
• LogRhythm
• AT&T Cybersecurity SIEM (anteriormente AlienVault USM)
• RSA NetWitness
• Netsurion EventTracker
• Securonix SIEM

Conclusión

En resumen, SIEM significa gestión de información y eventos de seguridad (según sus siglas en inglés). Las herramientas SIEM pueden utilizarse para detectar y prevenir una variedad de amenazas, incluidas la inserción de código, los ataques de ransomware y los ataques DDoS. Son especialmente útiles para detectar anomalías, como los accesos no autorizados, los intentos de inicio de sesión sospechosos y los flujos de datos inusuales. Si necesita una plataforma de seguridad capaz de agregar los registros de múltiples fuentes en una ubicación centralizada para realizar análisis de seguridad, una solución SIEM puede ayudarle.