Blog de Seguridad

En busca de una SIEM avanzada

Escrito por Logicalis | 21/11/17 7:00

Reaccionamos a los ataques, pero cuando ya es demasiado tarde y el daño ya está hecho. Eso nos obliga a seguir los acontecimientos de seguridad y no a anticiparlos, lo que sería mucho más conveniente. Los sistemas SIEM (Security Information and Event Management) son la moneda común en empresas y organizaciones actuales, cuando se trata de detectar eventos que puedan suponer un riesgo para la seguridad informática. Pero, hay nuevas alternativas que vienen a completar su alcance y mejorar sus resultados. Asistimos al nacimiento de una nueva generación de SIEM avanzado.

 

Se aprovecha, para ello, la experiencia pasada (propia o ajena) y ciertas técnicas de simulación, que nos permiten actuar como supuestos atacantes, para poner a prueba las medidas de defensa. Pero hay otra alternativa, más sofisticada que permite detectar la posible debilidad de nuestra coraza y nos ayuda a prever ataques cibernéticos. Anticiparse es su gran objetivo.

La ciberseguridad ha avanzado a gran velocidad en los últimos años, gracias al incalculable valor que le aporta Big Data y la Inteligencia Artificial. Los sistemas de seguridad IT generan un volumen de información que, hasta hace relativamente poco, no se podía explotar en tiempo real. Mucha información se procesaba en investigaciones forenses que determinaban la fuente y causa de la vulnerabilidad.

Big Data ofrece respuesta a los tres grandes retos que plantea una seguridad adecuada; es preciso manejar las tres grandes “V” de los datos; Volumen, Variedad y Velocidad, para procesar una enorme cantidad de datos, de muy diverso tipo, y hacerlo rápidamente.

Para ello, se requiere, principalmente dotar a los sistemas y datos de uniformidad. En el mundo de la seguridad, los problemas vienen cuando algo se sale de la norma, del comportamiento habitual. Y es precisamente en eso, en el análisis de patrones, tendencias y desviaciones, donde la analítica predictiva juega un papel fundamental.

La combinación de la analítica de datos y el Big Data, es decir, la abundante cantidad de datos (volumen) y heterogeneidad (variedad) de los mismos, junto con la necesidad de respuesta rápida (velocidad), obliga a introducir un cambio radical en los sistemas SIEM tradicionales.

Gracias a ello, es posible clasificar automáticamente a los usuarios, por su navegación en redes y sistemas de información, en base a su actividad durante un tiempo determinado. Luego, cruzar esta información con bases de datos, por ejemplo, de RRHH (posición en la empresa, departamento, lugar de trabajo…). Para, luego, determinar si realizan alguna actividad “anormal” en la red.

Este conocimiento nos faculta para predecir posibles eventos que puedan comprometer la seguridad de una organización, añadiendo capacidades predictivas y analíticas avanzadas, que se basan en la evolución de los sistemas Big Data y de Inteligencia Artificial. Hasta el punto de poder desarrollar SIEM seguridad a la carta, con capacidades analíticas y predictivas adaptadas a las necesidades del entorno y a la realidad de la empresa.

Desde clasificar automáticamente a los usuarios, a detectar servicios o usuarios que no deberían estar operativos, a procesar eventos complejos para identificar fraude (por reseteo de password, por ejemplo), prevenir la fuga de datos internos o facilitar el análisis de las alertas de los sistemas SIEM por parte de personal especializado, todo ello es posible con las últimas tecnologías disponibles. Y están todas a nuestro alcance.