SIEM, gestión de eventos e información de seguridad

‍

En el contexto actual de globalización e interconexión de sistemas y dispositivos, el número de ataques informáticos y amenazas de seguridad aumentan continuamente, siendo las amenazas cibernéticas cada vez más potentes y peligrosas.

Estas amenazas pueden provenir tanto de fuentes externas, ataques que buscan explotar las vulnerabilidades existentes, como internas, la posibilidad de que, accidentalmente, los empleados configuren erróneamente los ajustes de seguridad, haciendo los datos vulnerables a ataques.  

Para prevenir estos problemas, las organizaciones de IT/OT han incorporado varios sistemas para protegerse de intrusiones y de amenazas.

‍

Entorno OT

Una de las principales medidas de seguridad que debemos tener en cuenta a la hora de asegurar entornos OT es la monitorización.  

Al tratarse de una medida pasiva, si su implementación es debidamente estudiada antes de su despliegue, nos va a permitir tener un mayor conocimiento sobre qué está ocurriendo en nuestros equipos y a través de la red.  

Una de las herramientas de monitorización y análisis más comunes son los SIEM, que recogen la información y los eventos de sistemas y equipos para su almacenado y procesado. Su implementación y empleo en entornos OT es recomendable siempre y cuando se tengan en cuenta las particularidades de estas redes, por lo que recomendamos que, previamente, se realice un análisis detallado de la situación y las necesidades de cada infraestructura.  

‍

¿Qué es un SIEM?

‍

‍

SIEM (Security Information and Event Management) o Sistema de Gestión de Eventos e Información de Seguridad, es una tecnología capaz de detectar rápidamente, responder y neutralizar las amenazas informáticas. Su objetivo principal es el de proporcionar una visión global de la seguridad de la tecnología de la información.

Un sistema SIEM permite tener control absoluto sobre la seguridad informática de la empresa, ya que, al tener información y administración total sobre todos los eventos que suceden segundo a segundo, resulta más fácil detectar tendencias y centrarse en patrones fuera de lo común.

La tecnología SIEM nace de la combinación de las funciones de dos categorías de productos: SEM (gestión de eventos de seguridad) y SIM (gestión de información de seguridad).

• SEM centraliza el almacenamiento y permite un análisis casi en tiempo real de lo que está sucediendo en la gestión de la seguridad, detectando patrones anormales de accesibilidad y dando mayor visibilidad a los sistemas de seguridad.
• SIM recopila los datos a largo plazo en un repositorio central para luego analizarlos, proporcionando informes automatizados al personal de seguridad informática.

Ambas funciones nos permiten actuar más rápidamente sobre los ataques, gracias a la mayor visibilidad que ofrecen, y a la posibilidad de utilizar los datos para la supervisión y el análisis de la seguridad en tiempo real, avisando de los ataques que se están produciendo, e incluso presentando previsiones de los que se van a producir.

‍

¿Por qué es importante un SIEM?

El SIEM es la principal herramienta utilizada en los centros de operaciones de seguridad o SOC (Security Operations Center) para la detección y respuesta a incidentes, y su implementación en entornos industriales nos proporciona una serie de capacidades esenciales para gestionar y garantizar la seguridad.

Las principales capacidades de un SIEM son:

• Agregación de datos: capacidad para administrar la información recibida de múltiples fuentes.
• Correlación: procesamiento de los datos recibidos para transformar dichos datos en información.
• Alerta: análisis de los eventos correlacionados, de manera que se generan avisos de seguridad que se envían a un administrador.
• Cuadros de mando: un SIEM posee las herramientas necesarias para transformar la información en tablas y gráficas.
• Cumplimiento: gracias a un SIEM se puede automatizar la recopilación de la información necesaria para la elaboración de informes sobre normativas existentes.
• Retención: un SIEM posee capacidad de almacenamiento de datos a largo plazo, una característica que es vital para un correcto desempeño de funciones de análisis forense.
• Redundancia: para evitar la pérdida de datos, la base de datos de un SIEM suele estar redundada.
• Escalabilidad: un SIEM puede ser configurado jerárquicamente para aumentar o disminuir, en función de las necesidades del momento

Ventajas de los SIEM

El despliegue de un SIEM nos permite contar con un eje central de referencia para afrontar la seguridad de nuestras infraestructuras de manera proactiva, detectando riesgos y neutralizando las amenazas que pueden afectar a nuestros sistemas, redes y dispositivos.

Las ventajas que aporta un SIEM a nivel de seguridad son:

• Detección temprana de un incidente: gracias al análisis en tiempo real el SIEM detecta los incidentes que están ocurriendo en nuestra red, permitiendo incluso llevar a cabo las acciones necesarias para bloquear dichos incidentes antes de que ocasionen daños reales a la producción.
• Análisis forense: gracias a la capacidad del SIEM para almacenar y consultar eventos de seguridad antiguos, facilita la tarea de análisis forense en caso de querer identificar cómo se produjo un incidente.
• Centralización de la información: gracias a la recopilación de eventos de los equipos de red y otros elementos de seguridad en un SIEM, éste permite una gestión centralizada de toda esa información recogida.
• Ahorro de recursos: al realizarse la recopilación de información de manera centralizada y automática, se consigue un ahorro significativo en cuanto a recursos.
• Identificación de anomalías: gracias a que las redes industriales son comúnmente estables, el SIEM permite identificar fácilmente, tras un periodo de aprendizaje, anomalías en el comportamiento de los equipos, pudiendo detectar problemas en el funcionamiento o incluso incidentes.