¿Qué es SIEM?: Administración de Eventos e Información de Seguridad: El Escudo Contra Ciberamenazas» EsGeeks

Hablamos de SIEM, el escudo inteligente contra las ciberamenazas que monitoriza los flujos de información y detecta las acciones de los ciberdelincuentes.

En las últimas décadas, el valor de los datos ha aumentado considerablemente, lo que ha provocado un incremento en el número de cibercriminales y en su sofisticación. No es sorprendente. Cuanto más valioso es un recurso, más personas desean poseerlo. La demanda de sistemas para garantizar la protección de la información ha llevado a un crecimiento activo de su número. En algún momento, los especialistas se enfrentaron a una cantidad excesiva de herramientas heterogéneas. Surgió la necesidad de un mecanismo que ayudara a gestionar el flujo desmesurado de datos generado por diversas utilidades.

En este artículo, examinaremos una solución en el ámbito de la protección de la información cuya popularidad ha crecido constantemente en los últimos años.

Tabla de Contenido

¿Qué es un sistema SIEM?
¿Cómo funciona SIEM?
Ventajas y desventajas de SIEM
- Ventajas
- Desventajas
Diferencias entre SIEM, XDR y SOAR
¿Quién necesita implementar SIEM?
Implementación de sistemas SIEM en organizaciones
Resumen de soluciones SIEM

¿Qué es un sistema SIEM?

SIEM son las siglas de Security Information and Event Management, que significa, literalmente, Gestión de Información y Eventos de Seguridad. Los usuarios a veces lo llaman simplemente “SIEM“.

Diagrama de la arquitectura básica de un sistema SIEM (Security Information and Event Management). — Comprende la arquitectura de un sistema SIEM y cómo protege tu infraestructura de ciberamenazas. *Fuente.*

Un sistema SIEM es una solución para la recopilación, el análisis y la evaluación centralizada de la correlación de eventos de seguridad de la información, que ayuda a las organizaciones a identificar amenazas y a responder a ellas de manera rápida.

¿Cómo funciona SIEM?

Un sistema SIEM recopila datos y busca en ellos indicios de violación de la seguridad de la infraestructura protegida. Si consideramos el funcionamiento de SIEM como un algoritmo, obtendremos la siguiente cadena de acciones:

Los medios de protección de la información utilizados en la empresa envían datos a SIEM. Se pueden agregar tanto registros generales como específicos. Además, SIEM puede trabajar con registros de sistemas operativos y software de aplicación. Estos a menudo también contienen información sobre eventos importantes para la seguridad de la información, como intentos de inicio de sesión o incidentes llamativos, como la elevación de privilegios.
En SIEM, todos los datos recopilados se normalizan (ordenan), es decir, se dividen por tipos y categorías. Por ejemplo, puede ver todos los intentos de autenticación de un usuario determinado en diferentes sistemas.
El paso más importante es la correlación de eventos. SIEM no solo puede identificar una simple violación de seguridad, por ejemplo, un virus encontrado en uno de los servidores. Sus algoritmos pueden construir conexiones increíblemente complejas entre los fenómenos observados en componentes dispersos. De esta manera, no solo se detectan los incidentes que ya han ocurrido, sino que también se anticipan los riesgos inminentes.
Por lo tanto, cada medio de protección de la información informó sobre los procesos observados. SIEM generalizó toda la información fragmentada y, según las reglas de correlación creadas, identificó una nueva amenaza. Luego, se envían los mensajes correspondientes al administrador a través de todos los canales disponibles, desde un correo electrónico hasta una ventana emergente en el monitor. El sistema de notificaciones puede ser multinivel: cada grupo de especialistas recibirá algo relevante para su área de responsabilidad.

Hemos descrito las funciones “activas”, que están dirigidas a la identificación de amenazas y a contrarrestar los incidentes de seguridad de la información. Además, el sistema SIEM realiza una serie de tareas “pasivas”:

Lleva un registro de los eventos. Además de notificar a los responsables, el sistema gestiona los incidentes de seguridad, realiza un seguimiento de su estado y los relaciona con otros incidentes.
Proporciona análisis: estadísticas, informes e infografías. Gracias a la gran cantidad de información de diversas fuentes, puede obtener un resumen de diversos eventos o de una tarea específica. Por ejemplo, nada impide conocer los hosts más vulnerables del último año o el usuario que con más frecuencia introdujo una contraseña incorrecta o descargó archivos sospechosos de Internet. Muchos sistemas SIEM comparten datos no solo de forma estática, sino también de forma dinámica, mostrando la información en paneles.
Almacena el historial. Sin exagerar, esta es una función fundamental sobre la que se basa toda la SIEM. Puede reducir el plazo de almacenamiento de los registros en cada fuente: SIEM se encarga de todas las preocupaciones. Solo se necesita que los administradores controlen la fiabilidad física y la seguridad del almacén.

Ilustración gráfica de un sistema SIEM que muestra sus componentes clave: recopilación de datos de diversas fuentes (bases de datos, endpoints, IoT, etc.), normalización, almacenamiento, análisis y aplicaciones como ciberseguridad, cumplimiento normativo y análisis de negocio. — Descubre cómo funciona un sistema SIEM y cómo puede mejorar la seguridad de tu organización

Ventajas y desventajas de SIEM

La industria SIEM se desarrolla rápidamente. En el mercado ya existe toda una clase de soluciones similares. Dado que todas ellas comparten las funciones descritas anteriormente, cada uno de los sistemas presentados posee un conjunto similar de ventajas e inconvenientes. Enumeraremos los principales:

Ventajas

Un punto único de agregación y procesamiento de eventos simplifica el trabajo diario de los especialistas.
Las reglas de correlación bien diseñadas permiten analizar e identificar eventos de seguridad de la información aparentemente dispersos, cuya interrelación una persona podría pasar por alto.
El sistema SIEM procesa rápidamente una cantidad prácticamente ilimitada de fuentes de datos, algo que resulta imposible para un operador. Al mismo tiempo, gracias a las mismas reglas de correlación, los marcadores importantes que indican un ataque inminente u otra amenaza no pasarán desapercibidos.
La recopilación de estadísticas o la elaboración de un informe detallado se convierten en una tarea sencilla.

Desventajas

Los sistemas SIEM, si consideramos el software con licencia, son soluciones costosas. No todas las organizaciones están dispuestas a asumir tales gastos en su presupuesto.
La complejidad de la implementación requerirá una gran inversión de tiempo y recursos. Es necesario conectar todas las fuentes de eventos, cada una de las cuales es individual.
La creación de reglas de correlación en sí misma es una tarea de alto nivel no trivial, que no todos los especialistas pueden realizar. Se requiere conocimiento de la infraestructura de la empresa, las posibles amenazas y ataques a los que puede estar expuesta, así como una gran cantidad de conocimientos específicos.
Al concentrar todos los eventos de seguridad de la información en un solo lugar, la empresa se ve obligada a tomar medidas para la fiabilidad del SIEM construido. Será necesario cuidar con especial atención la fiabilidad del almacenamiento de datos y la seguridad de los recursos de los que depende la viabilidad de todo el sistema.

Diferencias entre SIEM, XDR y SOAR

SIEM es solo una de las clases de soluciones de alto nivel en el ámbito de la seguridad de la información. Existen otros sistemas modernos de protección, como XDR y SOAR. Nos detendremos en ellos un poco más y destacaremos los puntos clave:

Un sistema SIEM (Security Information and Event Management) recopila y analiza los registros de eventos. Cuando detecta una actividad sospechosa, su función es advertir y proporcionar información completa sobre el evento de seguridad de la información. La funcionalidad del sistema no va más allá de la recopilación, el almacenamiento y la agregación de los datos recibidos. La prevención de amenazas e incidentes se realiza exclusivamente mediante la notificación a los responsables. En otras palabras, el trabajo de SIEM es la recopilación, el análisis y la entrega de información. El sistema no realiza ninguna otra acción independiente.
SOAR (Security Orchestration, Automation, and Response) automatiza la respuesta a amenazas e incidentes, ayudando así a los equipos de seguridad de la información a eliminarlos rápidamente. Aquí también vemos una gestión centralizada de todas las herramientas y medios de seguridad. Sin embargo, a diferencia de SIEM, esta solución es activa: utiliza guiones (playbooks) previamente preparados para eliminar rápidamente las amenazas e incidentes que surgen.

Un sistema SOAR es un excelente compañero para SIEM. Uno recopila y analiza datos y, si es necesario, los proporciona al otro. Esta, a su vez, al recibir notificaciones e información detallada, inicia una cadena de acciones de respuesta.

XDR (Extended Detection and Response) abarca todo el ciclo de gestión de amenazas: desde la detección hasta la respuesta y la recuperación. Las soluciones de esta clase también son activas. El sistema XDR tiene agentes en los hosts conectados. Cuando surge una amenaza, se toman medidas efectivas de neutralización: desde el inicio de una comprobación antivirus en el host hasta su desconexión completa. El sistema también toma de forma independiente la decisión de bloquear a usuarios individuales cuya actividad pueda interpretarse como acciones de un atacante.

Al igual que SOAR, XDR se basa en guiones de respuesta preparados (playbooks). XDR combina análisis y mecanismos de contramedidas. De este modo, detecta incidentes y automatiza las acciones de respuesta a los eventos de seguridad de la información. Además, XDR, a diferencia de las soluciones anteriores, trabaja no solo con datos de los registros, sino también, por ejemplo, con el tráfico. La información adicional y el análisis profundo permiten detectar ataques más sofisticados.

Las soluciones mencionadas anteriormente son diversas. La elección dependerá del nivel de amenazas que sean relevantes para una empresa en particular y de las características de su infraestructura. Además, habrá que tener en cuenta la cantidad y el grado de preparación de los especialistas en seguridad de la información. Por supuesto, las capacidades financieras de la empresa también desempeñarán un papel importante.

¿Quién necesita implementar SIEM?

Hasta ahora, hemos hablado de SIEM solo en el contexto de su propósito funcional. Los motivos para implementar sistemas de este tipo pueden ir mucho más allá de las características tecnológicas. A menudo, la necesidad de implementar un sistema SIEM en una empresa se debe a los requisitos de los documentos normativos y otras entidades en el ámbito jurídico.

Enumeraremos algunos marcadores que indican que una organización necesita su propio sistema SIEM:

La empresa utiliza muchas soluciones de TI heterogéneas, lo que significa que se necesita un punto único de agregación de eventos de fuentes dispersas.
Los tiempos de inactividad que provocan pérdidas financieras y de reputación son inaceptables. En tales casos, el equipo de seguridad de la información recibe la tarea directa de prevenir las amenazas que pueden causar la interrupción de los procesos comerciales.
El sistema de seguridad de la información existente ha alcanzado un cierto nivel de madurez. En este caso, llega el momento en que los especialistas y los directivos llegan a la comprensión de que es hora de avanzar. Es necesario analizar más a fondo la información sobre los eventos de seguridad de la información, que proviene de diferentes fuentes.
Las leyes establecen el requisito de implementar SIEM. En España, normativas como el RGPD y la LOPDGDD exigen medidas robustas para proteger datos personales y garantizar la seguridad de la información, lo que puede incluir el uso de sistemas SIEM en sectores sensibles.
El uso de soluciones de este tipo es obligatorio para organizaciones del sector bancario y otras que manejan datos personales o infraestructuras críticas, según las normativas de protección de datos y ciberseguridad.

Implementación de sistemas SIEM en organizaciones

Cuando una organización decide implementar un sistema SIEM, ¿por dónde empezar? A continuación, se presenta un algoritmo general que no dependerá del desarrollador del sistema elegido ni de las características de la infraestructura.

Fase de preparación

Definir los objetivos y las tareas de la implementación de SIEM. Ejemplos: “Cumplir con los requisitos normativos”, “Reducir el tiempo de respuesta a los incidentes de seguridad de la información” o “Garantizar la recopilación centralizada de eventos de seguridad de la información”.
Establecer los criterios que debe cumplir el sistema proyectado. Por ejemplo, debe ser compatible con normativas como el RGPD, ser compatible con un software de aplicación específico o una solución de seguridad de la información que ya se utiliza en la empresa, ser en la nube o tener un sistema de notificaciones multinivel.
Evaluar si la organización dispone de suficientes recursos propios, incluso para el futuro mantenimiento del sistema. A veces, es óptimo subcontratar alguna parte del trabajo.
Analizar el mercado de las soluciones existentes. La organización debe estudiar las presentaciones, las demostraciones, las características, las condiciones y las particularidades.
Seleccionar las opciones que cumplan los criterios establecidos.
Realizar una prueba piloto y registrar los resultados.
La cantidad de ofertas es enorme. Actualmente, en el mercado hay alrededor de mil soluciones SIEM. Las más conocidas son: Splunk Enterprise Security, IBM Security QRadar SIEM, Microsoft Sentinel, ArcSight, LogRhythm y Wazuh (de código abierto).

Fase de implementación

Preparar un plan de acción, determinando los responsables de cada etapa del trabajo, incluida la conexión de las fuentes de datos al sistema.
Si el producto elegido es comercial, la organización debe adquirir licencias para su explotación. En algunos casos, los módulos individuales se tarifan de forma aislada: este modelo de negocio puede ser una ventaja o un inconveniente, dependiendo de la configuración requerida. A continuación, se examinarán soluciones alternativas que no requieren la adquisición de una licencia.
Formar un equipo de especialistas en seguridad de la información.
Asignar recursos informáticos para el sistema SIEM: no todos pueden implementarse en una infraestructura virtual.
Instalar todo el software necesario, activar las licencias y actualizar a la última versión.
Integrar los sistemas relacionados, por ejemplo, el servicio de directorio Active Directory. Configurar la interconexión con todos los componentes: correo electrónico, herramientas de monitoreo, software antivirus, firewall y otros.
Conectar las fuentes de eventos: pueden ser dispositivos (estaciones de trabajo automatizadas, portátiles de los empleados, máquinas virtuales) o subsistemas individuales (bases de datos, herramientas de virtualización). Los medios de seguridad existentes, tanto locales como con gestión centralizada, también son fuentes de eventos de seguridad de la información.
Elaborar reglas de normalización propias si las proporcionadas por el fabricante no son suficientes.
Desarrollar reglas de correlación que tengan en cuenta las características de la infraestructura y las soluciones utilizadas, incluso para reducir la cantidad de falsas alarmas del sistema.
Probar el envío de notificaciones y el funcionamiento de todos los componentes en conjunto.

Fase de explotación

Reglamentar el proceso de respuesta a incidentes, que debe prever su análisis periódico para eliminar las falsas alarmas y para identificar nuevas regularidades.
Evaluar periódicamente la calidad del funcionamiento del sistema SIEM en general y de las reglas de correlación en particular, incluso en términos de su actualidad y búsqueda de nuevas fuentes de datos necesarias.
Controlar los plazos de resolución de los incidentes y el orden de trabajo con ellos.
Garantizar el funcionamiento de los recursos. El sistema y todos sus componentes deben funcionar sin fallos, las paradas son inaceptables. La organización debe asegurar que los recursos informáticos sean suficientes para el funcionamiento estable de todos los componentes.

Resumen de soluciones SIEM

A pesar de su costo, los sistemas comerciales a menudo requieren menos gastos en la fase de implementación, ya que incorporan conectores: pequeños programas para conectar fuentes. Estos elementos son importantes porque te permiten conectar a tu SIEM muchas de las principales TI y productos comunes.

Al elegir un SIEM de código abierto, tendrás que escribir los conectores de forma independiente. Por supuesto, podrás encontrar fragmentos de código listos en Internet. Sin embargo, los gastos de búsqueda, prueba y selección de opciones infinitas no solo superarán la ventaja ilusoria, sino que también conllevarán riesgos graves: nadie garantiza la calidad del código ni la ausencia de puertas traseras. Además, la necesidad de crear conectores manualmente no es lo único. Tendrás que corregir las reglas de forma independiente y posiblemente conectar herramientas adicionales de visualización gráfica de los resultados del sistema de monitoreo. Para implementar la multitud de tareas que surjan, necesitarás contratar especialistas de alto nivel.

Los fabricantes comerciales de sistemas SIEM no solo se encargan de todo el desarrollo de los componentes básicos, sino que también te ofrecen servicios de implementación y asistencia técnica.

En algunos casos, para minimizar costos, tiene sentido considerar la externalización del sistema SIEM o la conexión a un centro SOC completo. Este enfoque te ayudará a descargar a tus especialistas, liberándolos de la resolución constante de tareas complejas de integración, monitoreo y análisis de eventos de seguridad de la información.

Como ya hemos mencionado, tu elección dependerá de tus tareas y la cantidad de recursos disponibles. Cada caso es individual, pero hemos descrito un algoritmo básico.

Certificación OSCP de Seguridad Ofensiva: Preparación, Costo, Duración y Más

Cómo Proteger mi Cuenta de Instagram de Hackers: Consejos y Reglas

Cómo Asegurar WordPress y Protegerlo Contra Ataques o Hackeos

Malware Sin Archivos: Qué Son y Cómo Defenderse de los Virus “invisibles”

Ataques a Impresoras: Los Nuevos Objetivos de los Ciberdelincuentes

¿Qué es Metasploit y Cómo se Usa en Hacking y Ciberseguridad?

Salida de la Sombra: 6 Comandos Linux poco Conocidos

Cómo Inutilizar Linux (dañar un sistema Linux) y Cómo Protegerte

¿Qué Distribución de Linux es la más Adecuada para Usuarios de Windows?

El Mejor Software para Monitorear Actividad del Sistema Windows

¿Qué Distribución de Linux es la más Adecuada para Usuarios de Windows?

Crear el Comando (Alias) MyIP para Obtener Direcciones IP en Linux y Windows

BrutDroid: Kit de Automatización para Emuladores Android

Enviar un Mensaje de WhatsApp desde la Línea de Comandos (Shell)

apk.sh: Facilita la Ingeniería Inversa de Aplicaciones Android

Hostagram: La Herramienta OSINT para Instagram

Cómo crear una app multiplataforma eficiente: herramientas y técnicas clave

Top 10 Herramientas para el Cifrado de Datos en la Nube

¿Qué es SIEM?: Administración de Eventos e Información de Seguridad

¿Qué es un sistema SIEM?

¿Cómo funciona SIEM?