kras99 - stock.adobe.com
Historia, evolución y estado actual del SIEM
SIEM satisfizo la necesidad de una herramienta de seguridad que pudiera identificar amenazas en tiempo real. Pero las nuevas amenazas significan que la próxima evolución de SIEM ofrecerá aún más armamento.
Érase una vez, el departamento de TI consideraba que los firewalls —los cuales filtran el tráfico según el puerto, el protocolo y las direcciones IP— eran la mejor manera de mantener seguros los dispositivos en red.
Pero a medida que el tráfico de la red creció —impulsado por una mayor conectividad a Internet y acceso de los usuarios—, los firewalls se volvieron menos efectivos. Carecían de visibilidad del contenido y el contexto de los datos, lo que significaba que no podían clasificar el tráfico adecuadamente. Eso creó una demanda de mejores tecnologías que pudieran monitorear el acceso a los sistemas para contrarrestar el creciente número y sofisticación de los ataques a la red.
A principios de los años 90, aparecieron en escena los sistemas comerciales de detección de intrusos (IDS). Estos sistemas podrían evaluar el tráfico de la red frente a un conjunto de reglas y ataques conocidos, generando una alerta si se identifica un ataque. Antes de IDS, el análisis de registros y mensajes del sistema se realizaba manualmente y los administradores sólo lograban un éxito limitado en la detección de una intrusión activa.
Sin embargo, la naturaleza variada de las redes durante los años 90 y principios de los 2000 significó que los IDS generaran una gran cantidad de falsos positivos, lo que desperdiciaba tiempo y recursos. También carecían de la capacidad de centralizar y correlacionar datos de eventos de múltiples sistemas.
Bienvenido SIEM
Lo que la industria necesitaba era un enfoque más dinámico para la seguridad de la red, uno que proporcionara una mayor visibilidad del entorno operativo general. Eso llevó a los proveedores de seguridad a combinar aún más dos conceptos: gestión de información de seguridad (SIM) y gestión de eventos de seguridad (SEM). El resultado fue la gestión de eventos e información de seguridad (SIEM), un término acuñado por Gartner en un informe de seguridad de TI de 2005.
La evolución de SIEM se basó en la necesidad de una herramienta que pudiera identificar amenazas genuinas en tiempo real al recopilar y priorizar de manera más efectiva las miles de alertas de seguridad generadas por firewalls, software antivirus e IDS. Los sistemas SIEM podrían identificar posibles riesgos de seguridad centralizando, normalizando y analizando datos de eventos en un entorno de TI. Esto permitió a los equipos de seguridad volverse más eficientes y eficaces a medida que abordaban volúmenes de tráfico cada vez mayores en infraestructuras de TI complejas.
Pero a pesar de sus beneficios, los sistemas SIEM de primera generación tenían deficiencias. Sus paneles e informes eran básicos y sus alertas carecían de sofisticación. Los primeros SIEM también adolecían de una escalabilidad deficiente, ya que cada etapa del proceso —ingerir datos, definir políticas, reglas y umbrales, revisar alertas y analizar anomalías— requería intervención manual.
Al mismo tiempo, un grupo aún mayor de usuarios —entre ellos trabajadores remotos, clientes y terceros— accedían a las redes. Los atacantes pronto pudieron operar sin ser detectados evitando desencadenantes basados en reglas.
SIEM se vuelve más analítico
La llegada del almacenamiento escalable y de bajo costo, como Apache Hadoop y Amazon S3, apuntaló la siguiente etapa en la historia de SIEM. Hicieron posible que los sistemas SIEM utilizaran análisis de big data para mejorar la correlación y la interpretación de datos históricos y en vivo, aunque los umbrales de alerta se preconfiguraban en su mayoría manualmente.
Alrededor de 2015, la integración del aprendizaje automático y la inteligencia artificial (IA) en las herramientas SIEM las hizo aún más eficientes a la hora de orquestar datos de seguridad y gestionar amenazas en rápida evolución. Esto significaba que los sistemas SIEM podían activar alertas sobre amenazas de día cero y patrones de ataque, así como amenazas conocidas. La precisión y utilidad de las alertas SIEM mejoraron aún más después de que SIEM comenzara a ingerir datos de registro de infraestructuras implementadas en la nube, aplicaciones SaaS y otras fuentes de datos no estándar, entre ellas fuentes de inteligencia de amenazas de terceros que contenían indicadores de compromiso obtenidos de múltiples fuentes.
Una detección de anomalías más potente ha sido el pilar de la evolución de SIEM. La creación de reglas y perfiles automatizados impulsados por IA agregaron una capa dinámica de capacidades de detección. El análisis del comportamiento de usuarios y entidades (UEBA) dio a SIEM un impulso adicional. UEBA se basa en información de eventos, aprendizaje automático y análisis estadístico para generar una línea de base del comportamiento normal, lo que le permite detectar actividades fuera de los rangos aceptados que podrían resultar en una amenaza real. Considere, por ejemplo, un hacker malintencionado que utiliza las credenciales robadas de un administrador. Es posible que puedan obtener acceso a sistemas confidenciales, pero les resultaría casi imposible reflejar las acciones del administrador. Un SIEM que utilice UEBA podría detectar, marcar y detener el acceso.
SIEM evoluciona conforme los ataques se vuelven más complejos
Las herramientas SIEM continúan evolucionando a medida que aumentan el número y la complejidad de los ciberataques. Los proveedores están comercializando nuevos conceptos para diferenciar sus productos con características nuevas o adicionales. La automatización y respuesta de la orquestación de seguridad (SOAR) es un buen ejemplo. SOAR utiliza API para integrar sistemas SIEM con otras herramientas de seguridad. Esto permite a los equipos de seguridad mejorar su capacidad para detectar amenazas complejas y movimientos laterales ejecutando automáticamente acciones planificadas previamente en respuesta a incidentes específicos.
Las herramientas SIEM se han convertido en una parte establecida de la mayoría de los centros de operaciones de seguridad en organizaciones de todos los tamaños y en todas las industrias. Se implementan de diversas formas, entre ellas dispositivos, software y servicios de seguridad gestionados. Aunque los sistemas SIEM se utilizan principalmente para monitorear y detectar amenazas en la nube y en recursos locales, su telemetría en tiempo real también permite a los equipos de operaciones analizar y resolver problemas de red. Los equipos de respuesta a incidentes utilizan sus registros para realizar exámenes forenses de eventos históricos de seguridad y recopilar pruebas para investigaciones policiales. Los equipos de cumplimiento también pueden utilizar datos SIEM para cumplir con los requisitos de monitoreo, auditoría y generación de informes especificados en regulaciones como GDPR, HIPAA y PCI DSS.
Las herramientas SIEM están disponibles a través de todos los grandes proveedores, pero los costos de implementación e integración son solo una parte de la ecuación. Las empresas necesitan al menos tres o cuatro miembros del personal capacitado para administrar y monitorear una herramienta SIEM e investigar cualquier alerta que genere. Las organizaciones más grandes requerirán personal aún mayor. Ésta es una de las razones por las que las organizaciones con pocos recursos podrían utilizar un proveedor de servicios de seguridad gestionados.
Incrementando la proactividad
La evolución de SIEM significa que ha madurado hasta convertirse en algo mucho más que la suma de sus dos partes iniciales — SIM y SEM. Cualquier forma de tecnología diseñada para detectar y prevenir amenazas tiene SIEM en su núcleo. La capacidad de la herramienta para recopilar y analizar datos registrados por dispositivos y software en la red es la única forma de obtener visibilidad de infraestructuras grandes y complejas.
Las herramientas de seguridad basadas en SIEM desempeñan un papel vital en la seguridad de los datos y, cualquiera que sea la forma en que eventualmente se transformen los productos y servicios SIEM, el objetivo siempre será el mismo: identificar las amenazas a los hosts, priorizar aquellos con mayor riesgo y mitigar automáticamente el riesgo en tiempo real.
Ésta es la única forma en que los equipos de seguridad pueden reaccionar con la suficiente rapidez para evitar que los ataques se conviertan en violaciones de datos en toda regla. Las herramientas SIEM seguirán mejorando, permitiéndoles procesar miles de millones de eventos. Pero los avances más importantes serán cómo SIEM convierte estos datos en información procesable y cómo esas acciones pueden automatizarse para acelerar los procesos de investigación y respuesta a incidentes de seguridad.
Independientemente de cómo se cambie el nombre de estas herramientas de próxima generación —las últimas versiones son TDIR, para detección, investigación y respuesta a amenazas, y XDR, para detección y respuesta extendidas— SIEM desempeñará un papel clave.
El aprendizaje automático y la IA están empezando a mejorar nuestra comprensión de lo que sucede en una red, pero el verdadero avance de SIEM llegará cuando las alertas puedan ser tanto predictivas como reactivas. Este será el punto en el que SIEM se convierta en un verdadero sistema de detección y prevención de intrusiones, que bloquee no sólo la actividad maliciosa conocida, sino que detenga un ataque cibernético antes de que pueda ocurrir — sin interrumpir las operaciones y actividades cotidianas. Cuando llegue ese día, SIEM necesitará un nuevo nombre y acrónimo.