¿Qué es SIEM/Gestión de Eventos e Información de Seguridad (Security Information and Event Management? Aprende cómo funciona y cómo elegir la herramienta informática adecuada.

Evolucionando más allá de sus raíces de gestión de registros, los vendedores de software de Gestión de Eventos e Información de Seguridad (SIEM) actuales, están introduciendo el aprendizaje automático, el análisis estadístico avanzado y otros métodos analíticos para sus productos.

1. ¿Qué es el software SIEM?

El software de Gestión de Eventos e Información de Seguridad (SIEM) brinda a los profesionales de seguridad empresarial una visión y un registro de las actividades dentro de su entorno de TI.

La tecnología SIEM existe desde hace más de una década, evolucionando inicialmente desde la disciplina de gestión de registros. Combinó la Gestión de Eventos de Seguridad (SEM), que analiza los datos de registro y eventos en tiempo real para proporcionar monitoreo de amenazas, correlación de eventos y respuesta a incidentes, con la Gestión de Información de Seguridad (SIM), que recopila, analiza e informa sobre los datos de registro.

2. Cómo funciona la SIEM

El software SIEM recopila y agrega los datos de registro generados en toda la infraestructura tecnológica de la organización, desde los sistemas host y las aplicaciones hasta los dispositivos de seguridad y de red, como los firewalls y los filtros antivirus.

El software luego identifica y categoriza incidentes y eventos, y los analiza. El software cumple con dos objetivos principales, que son:

  1. Proporcionar informes sobre incidentes y eventos relacionados con la seguridad, como inicios de sesión exitosos y fallidos, actividad de malware y otras posibles actividades maliciosas y
  2. envía alertas si el análisis muestra que una actividad se ejecuta contra los conjuntos de reglas predeterminados y, por lo tanto, indica un posible problema de seguridad.

La necesidad empresarial de una mejor gestión del cumplimiento impulsó gran parte de la adopción temprana de esta tecnología, afirma Paula Musich, directora de investigación de Enterprise Management Associates (EMA), una firma de investigación y consultoría de mercado con sede en Boulder, Colorado.

“Las grandes organizaciones generalmente miran a SIEM como una base para defender el centro de operaciones de seguridad”, dice Paula Musich, directora de investigación de Enterprise Management Associates (EMA).

3. Analítica e inteligencia

Uno de los principales impulsores detrás del uso del software SIEM para operaciones de seguridad descansa en las capacidades más recientes contenidas en muchos de los productos en el mercado.

Cómo funciona la SIEM

SIEM: Analítica e Inteligencia

Ahora muchas tecnologías SEIM incorporan feeds de inteligencia de amenazas además de los datos de registro tradicionales, y hay múltiples productos SIEM que tienen capacidades de análisis de seguridad que observan el comportamiento de la red y el comportamiento del usuario para proporcionar más inteligencia sobre si una actividad indica una actividad maliciosa.

De hecho, la firma de investigación tecnológica Gartner en su informe de mayo de 2017 sobre el mercado SIEM en todo el mundo, señala que los proveedores están introduciendo el aprendizaje automático, el análisis estadístico avanzado y otros métodos analíticos para sus productos, mientras que otros también están experimentando con inteligencia artificial y capacidades de aprendizaje profundo.

4. SIEM en la empresa

El software SIEM captura solo una pequeña parte del total de dólares gastados en seguridad empresarial en todo el mundo, según Gartner. Gartner calcula un gasto global en seguridad empresarial de casi $98,4 mil millones para 2017, con el software SIEM recaudando alrededor de $2,4 mil millones. Gartner predice que el gasto en tecnología SIEM aumentará modestamente, a casi $2.6 mil millones en 2018 y $ 3.4 mil millones en 2021.

El software SIEM es utilizado principalmente por grandes organizaciones y empresas públicas, donde el cumplimiento de las regulaciones sigue siendo un factor importante en el uso de esta tecnología, según los analistas.

Mientras que algunas empresas medianas también utilizan el software SIEM, las pequeñas empresas no suelen necesitar ni desean invertir en él. Los analistas dicen que a menudo no tienen que comprar su propia solución, ya que su costo anual puede oscilar entre decenas de miles y más de 100.000 dólares. Además, las pequeñas empresas no tienen la capacidad de contratar el talento necesario para mantener el software SIEM de forma continua.

Actualmente, los usuarios de grandes empresas tienden a ejecutar siempre el software SIEM localmente, debido a la sensibilidad de algunos de los datos que pasan por el sistema.

Sin embargo, a medida que aumenta el aprendizaje automático y las capacidades de inteligencia artificial dentro de los productos SIEM, algunos analistas esperan que los proveedores de SIEM ofrezcan una opción híbrida, con algunos de los análisis que se ejecutan en la nube.

5. Herramientas SIEM y selección de proveedores

El mercado SIEM tiene varios proveedores dominantes basados ​​en las ventas mundiales, específicamente IBM, Splunk y HPE. Hay al menos varios jugadores más importantes, a saber, Alert Logic, Intel, LogRhythm, ManageEngine, Micro Focus, Solar Winds y Trustwave.

Las empresas necesitan evaluar los productos en función de sus propios objetivos para determinar cuál satisfaría mejor sus necesidades. Las organizaciones que quieren esta tecnología principalmente para el cumplimiento valorarán ciertas capacidades, como los informes, más que las organizaciones que desean aprovechar SIEM para establecer un centro de operaciones de seguridad.

Mientras tanto, las organizaciones que tienen petabytes de datos encontrarán que algunos proveedores pueden satisfacer mejor sus necesidades, mientras que aquellos que tienen menos datos pueden optar por otras opciones. Del mismo modo, las empresas que desean una excelente caza de amenazas probablemente buscarán las mejores herramientas de visualización de datos y capacidades de búsqueda que otros pueden no necesitar.

Los líderes de seguridad deben tener en cuenta muchos otros factores, como si pueden respaldar una herramienta en particular, la cantidad de datos que tendrán dentro del sistema y cuánto quieren gastar, cuando evalúan a los proveedores de SIEM. Por ejemplo, ArcSight ESM de HPE es una herramienta madura que tiene mucha funcionalidad pero requiere una gran cantidad de experiencia y es más costosa que otras opciones.

6. Maximizando el valor de SIEM

Aún así, la mayoría de las compañías continúan utilizando el software SIEM principalmente para rastrear e investigar lo que sucedió. Este caso de uso es impulsado por la creciente amenaza de violaciones y las consecuencias cada vez más graves que los líderes y las organizaciones enfrentarán en tales eventos.

Si una empresa es pirateada/hackeada, ningún CIO quiere que la junta pregunte qué sucedió y diga: ‘Maldición no sé’, más bien: ‘Estamos revisando los datos de registro para descubrir qué sucedió’ “.

Sin embargo, al mismo tiempo, muchas empresas están yendo más allá de eso y están usando cada vez más la tecnología para la detección y la respuesta casi en tiempo real.

El juego ahora es: ¿qué tan rápido se puede detectar?. La evolución de las capacidades de aprendizaje automático está ayudando a los sistemas SIEM a identificar con mayor precisión las actividades inusuales y potencialmente maliciosas.

A pesar de tales avances, las organizaciones continúan siendo desafiadas en sus habilidades para maximizar los beneficios y, por lo tanto, el valor que obtienen incluso de los sistemas existentes, dicen los expertos.

Hay varias razones para eso.

  • En primer lugar, las tecnologías SIEM consumen muchos recursos y requieren personal con experiencia para implementarlas, mantenerlas y ajustarlas, personal en el que no todas las organizaciones han invertido por completo.
  • El software SIEM también requiere datos de calidad para obtener el máximo rendimiento: “Cuanto mayor sea la fuente de datos que le proporcionas, mejor será y mejor podrás ver valores atípicos”.
  • E incluso con datos sólidos y un sofisticado equipo que ejecuta la tecnología SIEM, el software en sí tiene límites, dicen los analistas. Señalan que no es completamente preciso para detectar qué actividad es aceptable y cuál es una amenaza potencial legítima, una discrepancia que conduce a un gran número de alertas falsas en muchas implementaciones.

Hasta aquí hemos visto qué es, para qué sirve y cómo funciona un SIEM.

¿Qué es el software SIEM y cómo funciona?
5 (100%) 10 votes