Las empresas de hoy en día cuentan con una gran diversidad de controles de ciberseguridad; sin embargo, muchos especialistas forenses y de incidencias han reportado durante el análisis post-mortem de un ataque que las redes cuentan con componentes actualizados: desde el software antivirus en los endpoints, hasta diversas capas en el perímetro de su red (firewalls, ips, anti-malware, ATP, etcétera), lo cual nos deja claro que las tecnologías tradicionales de seguridad no poseen plena capacidad para intercomunicarse, brindar visibilidad, detectar y proteger oportunamente ante ataques avanzados.
Todos los sistemas generan una gran cantidad de bitácoras (logs) con información que puede ser vital, no sólo para diagnosticar una falla en un servicio, sino para correlacionar y responder oportunamente a incidentes en tiempo real.
En este sentido, cabe mencionar que las empresas, por lo regular, disponen de los SIEM como soluciones de consolidación de bitácoras; empero, sin programar la revisión periódica de los mismos.
La incorporación de una solución SIEM permite centralizar la información de los dispositivos y aplicaciones correlacionadas, de manera que sea posible gestionar los incidentes mediante alertas, e incluso respuestas, en tiempo real.
En un escenario con una arquitectura de seguridad tradicional asumimos que un firewall registra las conexiones de entrada y salida, así como que un proxy nos permite ver y categorizar la actividad de los usuarios de navegación en internet.
Sin embargo, por sí solos difícilmente van a identificar si una de estas conexiones es a un sitio comprometido con descarga de malware o si es un servidor de control y comando (C&C o C2), lo cual nos abrirá una ventana de exposición hasta que ese ataque sea anunciado públicamente y los fabricantes envíen las actualizaciones necesarias a sus propias herramientas.
Los indicadores de compromiso están basados en un modelo escrito en XML, donde se especifican elementos clave de sistemas o archivos que han sido comprometidos.
Aunque muchos grupos de seguridad (CERT locales o internacionales), fabricantes y grandes redes de inteligencia, ya proveen información sobre IoC, pocas empresas saben realmente cómo utilizarlos para minimizar y prevenir incidentes.
Las soluciones SIEM tienen más de una década en el mercado y han evolucionado hasta tener la capacidad de administrar eventos derivados de analíticos de ciberseguridad, proveer reportes de canales de seguridad (feeds) para generar incidentes, informar detalladamente acerca de los accesos fallidos a los sistemas, la actividad de malware y otras prácticas maliciosas, alertando o tomando acciones sobre potenciales brechas de seguridad.
Con las nuevas figuras de transformación digital y ciberseguridad (CISO, CSO, DPO, etc) dentro de sus organigramas, las empresas son cada vez más conscientes de la necesidad de elaborar e implementar una estrategia de ciberseguridad que minimice los riesgos y el impacto a los que están expuestas.
Estos retos no son sencillos. Bajo ninguna circunstancia debería asumirse que la ciberseguridad es sólo una tendencia o un requisito para el cumplimiento de regulaciones locales o globales.
Es importante entender con amplitud el problema , comparar cuáles son las mejores prácticas aplicables en el mercado, e identificar las mejores soluciones, muchas de las cuales serán exclusivas del negocio.
En Data Warden contamos con personal especializado en adecuación, implementación y mantenimiento de soluciones específicas de ciberseguridad, incluidas soluciones SIEM.
Así mismo, apoyamos a las empresas en la reducción del tiempo de trabajo que los equipos internos le dedican a la resolución de estos problemas, permitiendo que sus esfuerzos sean redirigidos a otros procesos propios de su negocio, mientras se trabaja en un contexto de ciberseguridad de alto perfil.