Blog

Autor: David Muñóz, Coordinador de Soporte, Soluciones Seguras en Guatemala

La tarea de elegir una solución que maneje la información de seguridad y nos permita la gestión de eventos (SIEM) ha sido por muchos años un tema desalentador y complejo, una inversión en este tipo de tecnología puede obedecer a una necesidad específica de cumplimiento, sin embargo el valor más importante lo da la capacidad de gestionar los riesgos,

La detección de amenazas conocidas y desconocidas así como proporcionar una visibilidad completa para poder acelerar la investigación de amenazas y por consecuencia la respuesta a incidentes. Conforme la tecnología avanza se han ido adicionando características a un SIEM ideal, sin embargo, salir a buscar una solución a un mercado saturado de soluciones de seguridad puede resultar abrumador para cualquiera y si a esto le adicionamos que luego de elegirla entramos en la fase de implementación que es donde la gran mayoría de proyectos de SIEM se quedan abandonados por la complejidad para llegar a obtener el beneficio que nos ilusionó al elegirlo, esa gestión de eventos de seguridad a la que nunca llegamos, nos quedamos en una avalancha de logs y alertas sin contexto que nos generan montañas de contenido inútil por sí mismo, nos separan de la respuesta a incidentes meses y meses de configuración y afinamiento de la herramienta para que podamos hacer que nos comience a enviar información accionable y que genere por sí misma un valor para que por fin recibamos un retorno de esa inversión. Muchas veces esto nunca sucede, nos enfrentamos a un proyecto de duración indefinida, donde no tenemos clara la ruta para el éxito y ahogados con el día a día decidimos abandonar ese producto en un rincón al que nadie irá jamás.

Es por eso que escribo estos párrafos con el objetivo de contribuir con una serie de consideraciones a la hora de elegir la herramienta que mejor se adecua a sus necesidades.

Objetivos:

Es lógico que el primer paso sea tener definidos los objetivos, sin embargo, quiero que se hagan esa pregunta antes de continuar leyendo: ¿Son mis objetivos al buscar un SIEM los mismos objetivos que los de mi departamento de Seguridad Informática? ¿los mismos que los de la gerencia de TI? ¿Los mismos que los de la Dirección General de mi empresa?

Alcances:

Es de reconocer que vamos a toparnos con muchos análisis de terceros, rankings y presentaciones con ¡cientos de imágenes de la solución ideal, con dashboards y reportes!

Sin embargo, hay que analizar cuál es nuestro alcance, hasta donde necesitamos llegar, recordemos que mientras más configuración necesitemos hacer para llevar la herramienta hasta el punto de que vimos en la presentación, más costosa nos saldrá, en términos de tiempo, horas hombre y definitivamente hay que preguntar muy bien sobre los esquemas de licenciamiento, ¿Es por evento por segundo? ¿Es por fuente? ¿Las características adicionales tienen costo a parte o viene incluido?

 

 Madurez de mi Organización:

Debemos ser muy honestos al analizar este punto, ¿Qué nivel de madurez tiene mi organización?

¿Qué tecnologías de seguridad poseo? ¿Cómo nos va con la gestión de estas tecnologías?

¿Cómo está distribuido nuestro organigrama? ¿Cómo están distribuidas las responsabilidades respecto a estas tecnologías? ¿Quién audita? ¿Quién remedia?

Debemos considerar cada aspecto interno de mi organización, saber que capacidades tendré para integrar el SIEM con las tecnologías que ya convivo, desde el dimensionamiento me puedo ir dando cuenta de la cantidad de trabajo que tendré para integrar esta nueva herramienta en mi ecosistema actual.

¿Tiene mi equipo la capacidad y el tiempo para estar escribiendo largos queries para realizar investigaciones, luego de identificar las alertas importantes, dar seguimiento y luego alimentar la plataforma para cerrar los tickets?

 

Capacidades:

 

Hay capacidades que son muy importantes a la hora de elegir un SIEM aquí algunas que no debería dejar pasar por alto.

        Recopilación

¿Qué tan detallada es la recopilación de datos?

Es importante la integración con los agentes para detección y respuesta en los Endpoints (EDR) y con los servicios en la nube. Actualmente para muchas soluciones SIEM esto es muy básico, pero es importante asegurarse de que el proveedor al menos soporta los servicios que usa tu empresa.

¿El SIEM está recolectando datos de los endpoints?

Con esto me refiero a la herramienta de análisis de comportamiento de Usuario (UBA), es necesario entender que un SIEM es la única herramienta de seguridad con una oportunidad real de exponer movimientos laterales maliciosos y el uso de credenciales robadas mediante la recopilación de datos a través de su entorno (por ejemplo, Active Directory).

¡Un SIEM es una herramienta muy cara para hacer más fáciles las búsquedas en los logs de su firewall!  Es por eso que es crítico que su SIEM recolecte los datos correctos para identificar automáticamente a los usuarios en riesgo y externos no deseados.

¿Dónde se almacenarán los datos?

Cuantos menos recursos de tiempo completo se tienen disponibles para gestionar la seguridad. Es cuando más se debe considerar una solución basada en la nube para su SIEM.

Mientras que las implementaciones locales requieren hardware, gestión de software y gestión de las actualizaciones para mantener al ritmo del crecimiento de los datos, un SIEM basado en la nube maneja todo el almacenamiento de datos, gestión y seguridad para su organización, con la seguridad de que los datos de sus eventos permanecerán fuera de las manos de los atacantes.

Análisis

¿Cómo evolucionan las detecciones de la solución SIEM en Respuesta a las amenazas emergentes? Con un SIEM obsoleto, para obtener nuevas detecciones, es necesario ser creadas por el proveedor, desplegado en el SIEM local, potencialmente activado por el equipo de analistas, emparejado contra datos relevantes, y luego conceptualmente entendido por el analista de SOC cuando se dispara. Esto crea un tiempo de retraso y múltiples puntos de falla.

 

Una serie de consideraciones importantes que hacer al evaluar herramientas de SIEM:
Saturación de alertas: Si no tenemos un contexto significativo nos ahogaremos en una avalancha de alertas, es necesaria la priorización.
Confianza en las reglas: No todas las alertas implican intrusos. Recuerde que las fuentes se originan de archivos de registro, esto no alcanza para crear un contexto completo, es importante asegurarnos que nuestro SIEM utilice tecnologías de detección adicionales. (por ejemplo, honeypots y honey credentials) para complementar las reglas de detección basadas en log.
Implementaciones largas y complejas: Recomiendo analizar las opciones buscando la más intuitiva con análisis “out of the box” y con detecciones pre-configuradas. Mejor aún, elegir una solución basada en la nube para evitar uso de hardware e instalación y gestión de software.
Esquema de licenciamiento: Es común escuchar que los proyectos de SIEM consumen demasiado tiempo y dinero específicamente en la gestión de datos, Por eso debemos valorar mucho cuando una solución ofrece precios basados ​​en activos. Esto es para evitar gastos por exceso de datos.

 

Servicios en la nube: El camino de las organizaciones se dirige hacia las soluciones basadas en la nube como Microsoft Office 365, Salesforce, y otros, Su SIEM necesita integrarse y monitorear su Servicios en la nube y IaaS.

Experiencia en Seguridad

Es importante para depositar la confianza en un fabricante, conocer que hay fabricantes que no solo hacen SIEMs, existen que han estado involucrados por años en diseñar productos de  pruebas de penetración, diseño de exploits, análisis de vulnerabilidades y entienden perfectamente el cyberkill chain, por lo tanto tienen toda esa inteligenicia integrada en su herramienta de SIEM.

EMPRESAS PROTEGIDAS, EMPRESAS TRANQUILAS Contáctenos

PANAMÁ

Soluciones Seguras
Edificio 237, Segundo piso
Tecnoparque Internacional de Panamá
Ciudad del Saber
Clayton, Panamá
Tel: +507 317-1312
Fax: +507 317-1320
Apdo. 0831-0206, Panamá
[email protected]

 

COSTA RICA

Soluciones Seguras Costa Rica
150m. Sur de la entrada principal 
de los Cines de Multiplaza Escazú
Edificio Atrium piso 3.
San Rafael de Escazú
San José, Costa Rica
Tel: +506-4000 0885
Fax: +506-4001 5822
[email protected]

GUATEMALA

Soluciones Seguras Guatemala
Edificio Zona Pradera
Torre IV, Nivel 6, Oficina 608
Boulevard Los Próceres 24-69.
Guatemala.
Tel: +502 2261-7101
[email protected]

EL SALVADOR

Soluciones Seguras El Salvador
Colonia Escalón, Calle El Mirador,
#4814, Edificio Vittoria, 5o Nivel,
San Salvador, El Salvador
Tel: +503 2206-6929
[email protected]