Blog A3Sec

Capacidades que deben considerarse para la selección de un SIEM

Escrito por Patricia Chávez, Gerente Técnico | 06 mayo, 2019

He implementado sistemas SIEM en los últimos 11 años de mi vida y siempre los retos han sido orientados a  ¿Por qué este SIEM y por qué no otro?, ¿Realmente  cubre las características de un SIEM?, ¿Ayuda a cubrir las necesidades de mi negocio?, ¿Se encuentra calificado y cumple con las bondades necesarias de seguridad para ser un SIEM maduro?

Todas estas preguntas iniciales de los Líderes de Seguridad y gestión de riesgo que me he encontrado tienen el común denominador de cuestionar el éxito de un proyecto SIEM.

Me gustaría hacer énfasis en lo que todo SIEM debe buscar y esto es la visibilidad, remarcando que “No podemos proteger lo que no podemos ver” y que todo SIEM debe ayudar a la reacción temprana ante los incidentes de seguridad, llámense ataques, amenazas, mal funcionamiento de la infraestructura o el mal uso por parte de los propios usuarios.

En contexto con esto se debe contar con una solución capaz de centralizar la información en un solo punto y facilitar la identificación, para dar seguimiento e incluso obtener una  retroalimentación y experiencia de nuestras  posturas de seguridad y/o funcionamiento. 

Sumaría con lo anterior el que deban cumplir con los retos de las 3 V’s Volumen|Variedad|Velocidad, que refiera a las capacidades de procesamiento de grandes cantidades de datos, las capacidades de integración de varios tipos, formatos y fuentes de datos y la actuación rápida tanto para la identificación como para la atención y respuesta a los incidentes, que permita el análisis, la correlación, la identificación de patrones, desviaciones, predicciones para alertamiento.

Si bien podemos intentar inventar el hilo negro, también podemos retomar la experiencia y las investigaciones Gartner, recordando que Gartner cita por primera vez el término  “SIEM" en un reporte de 2005 titulado “Improve IT Security With Vulnerability Management” y que en términos lo orienta completamente a la gestión de eventos y seguridad, y que ya después de unos años de haber madurado el concepto, basa su recomendación en tener en cuenta las Capacidades críticas para su evaluación, donde recomiendan considerar los resultados de sus calificaciones para lograr un efectivo valor de la solución SIEM y la planificación estratégica basada en los grandes retos futuros de seguridad y la ciberseguridad, aprovechando la experiencia pasada, presente y futura, dictando así que para el 2020 el 75% de los productos SIEM usarán tecnologías de Big Data en su núcleo, junto con aprendizaje automático, para mejorar la detección de amenazas y mejorar la capacidades de respuesta a incidentes.

Es importante recordar que por sexto año consecutivo Splunk se ha posicionado como Líder, ocupando la posición más alta en la Capacidad de ejecución del Cuadrante Gartner por lo que me parece interesante comentar sobre el producto Splunk Enterprise que es una solución compuesta, que se entrega como software y que se puede implementar en las instalaciones, en servicios en la nube / IaaS, en modos híbridos y como SaaS a través de Splunk Cloud en Splunk, cuenta con varias aplicaciones Premium entre las que se encuentra Splunk Enterprise Security (ES), que proporciona las características principales de SIEM y la madurez de identificación de amenazas y manejo de incidentes. Entre los componentes adicionales incluyen Splunk UBA que amplía las capacidades de análisis a través de una biblioteca de análisis basados en el aprendizaje automático y ahora Splunk Phantom para abordar las capacidades SOAR.

El nivel de administración de datos y las capacidades de búsqueda son manejados por Splunk Enterprise (o Cloud) que incluyen análisis y paneles de control en tiempo real, alertas, gestión de incidentes, respuesta automatizada (respuesta adaptativa), visualizaciones e informes, permite entornos escalables que se adapta al crecimiento de toda organización y consta  de indexadores y cabezas de búsqueda, así como clientes reenviadores de eventos que proporcionan la recopilación de eventos y reenvíos para puntos finales.

Además, ofrece una variedad de aplicaciones creadas por Splunk y creadas por terceros que son complementarias para diversos casos de uso de seguridad, que incluyen Security Essentials, Stream (para recolectar paquetes de red), Analytics for Hadoop, Machine Learning Toolkit y Ransomware y PCI Compliance (ambas aplicaciones premium).

Gartner identifica diez Capacidades críticas para un SIEM que ponderan de acuerdo a la importancia para el monitoreo básico y el monitoreo complejo, así como para la detección avanzada de amenazas, mismos que de acuerdo a mi experiencia personal me gustaría detallarles a continuación.

 

Capacidades críticas con las que debe contar un SIEM

1.- Arquitectura. 

En esta capacidad Splunk proporciona todas la facilidades para realizar una implementación de la solución, cuenta con los procedimientos bien documentados y los requisitos mínimos a disposición de los usuarios, esta solución es completamente escalable, permite tener los componentes en un solo equipo dedicado o distribuirlos en diversos equipos para ampliar sus capacidades de procesamiento indexación o gestión, permite entornos clusterizados que mejoran la distribución de cargas entre los componentes de manera balanceada y más productiva y veloz, esto para entornos de mayor exigencia de procesamiento o de gestión, es soportado para cualquier entorno tanto  físicos como virtuales e incluso cuentan con un servicio de  alojamiento in cloud, la arquitectura es diseñable y adaptable a cualquier crecimiento, en mi experiencia esto ha sido un factor fundamental para el éxito en las organizaciones que sufren constantes cambios de infraestructura tecnológica en poco tiempo ….les suena familiar?

 

2.- Despliegue, Operaciones y Soporte.

Splunk en esta capacidad brinda toda la facilidad de operación autodidacta y una vasta documentación para el uso o resolución a contingencias con la plataforma, además de contar con un soporte especializado por parte de A3Sec. Splunk también cuenta con un sitio splunkbase que pone a disposición la descarga de más de 2.000 aplicaciones gratuitas, con esto los clientes se han vuelto completamente autodidactas y autosuficientes en sus procesos de desarrollo, adaptación de indicadores y de investigación. Lo que nos ha permitido desarrollar aplicaciones para cubrir necesidades específicas de cada negocio, además es siempre útil para nosotros y mucho más para los clientes, que exista un desarrollo completamente personalizado al negocio que garantice el éxito de su SIEM.

 

3.- Administración de Datos y Logs.

En este contexto Splunk es capaz de recolectar logs y datos de casi toda fuente que la genere, se basa en el principio de: “Si se puede leer, se puede integrar”.

En mi experiencia personal con Splunk no he tenido ninguna limitación de integración, me ha permitido colectar de casi todos los métodos y protocolos soportados tanto TCP o UDP e incluso lectura de Traps SNMP, Syslogs, lectura archivos específicos o auditorías de diversos sistemas operativos con su reenviador Universal Forwarder, así como colección de Bases de datos mediante app DBConnect e incluso vía Stream para aquellos que no quieren afectar su performance o habilitar su auditoría, o incluso solo para los que quiere leer tráfico, los datos de DevOps e Internet de las cosas vía API de Event Collector, y nos hemos atrevido incluso a leer los hashtags de las redes sociales para la identificación y percepciones sociales de sus clientes de negocio.

Además Splunk enriquece y contextualiza la información mediante el uso y carga de lookups, para la detección de amenazas, el monitoreo y  cumplimiento.

 

4.- Monitoreo en tiempo real.

En esta capacidad Splunk cuenta con una interfaz UI centralizada y administrable que vive en el componente de Splunk llamado Cabeza de Búsqueda que es completamente soportada para integraciones LDAP, RADIUS o usuarios y roles gestionados de manera personalizada, su interfaz es fácil, intuitiva y permite el monitoreo en tiempo real para la detección de amenazas y respuesta a incidentes, permite la creación de indicadores llámese Dashboards, Vistas, Informes, Alertas con facilidad de integración y modificación. Splunk cuenta con la App Splunk Enterprise Security que cuenta con indicadores de posturas de seguridad que aprovechen la información contextual cargada como identidades o listas de activos categorizados por severidad y las redes de home para ayudar a los usuarios a identificar y priorizar los incidentes o alertas para su evaluación.

 

5.- Análisis.

Splunk cuenta con una gran capacidad de análisis de eventos y fuentes de datos que permite la detección de actividades específicas; desde eventos discretos, hasta comportamientos anómalos. La metodología de análisis, abarca desde coincidencias en listas blancas, directivas de correlación, hasta estadísticos básicos o avanzados que aprovechan el aprendizaje automático o tendencias.

Estas capacidades en mi experiencia son fundamentales ya que con éstas fácilmente hemos encontrado la aguja en el pajar dentro de toda la matrix y que ha permitido y garantizado el éxito del SIEM en el negocio.

 

6.- Monitoreo de datos y aplicaciones.

Este punto busca contar con una buena capacidad de integración de diversas aplicaciones y fuentes de datos, así como con una interfaz para definir formatos de eventos no compatibles. Lo anterior en mi experiencia con otros SIEM, era todo un ritual. Les digo con todo mi corazón que es algo que deben considerar rigurosamente, ya que hay muchos SIEM que requieren muchísimo trabajo de desarrollo de plugins,  mucho conocimiento y un arduo trabajo experto detrás de toda configuración, para lograr la visibilidad de su información. Lo que lo vuelve muy difícil de administrar, ya que las fuentes incluso en cada actualización sufren muchos cambios incluso de formato y contenido, y el desconocerlos o no considerarlos lo vuelve no confiable o un proceso de implementación inmortal, sin embargo Splunk no requiere desarrollo de plugins, ni formatos forzosos de logs, para lograr la extracción, clasificación o visibilidad de la información, ésta es uno de los aciertos más valiosos que yo considero de esta solución.


7.- Amenaza y contexto.

En esta capacidad a considerar Splunk me ha permitido enriquecer y contextualizar la información, categorizar incluso los activos físicos y humanos por criticidad, la conectividad y propiedad sobre el entorno de los usuarios, así como el panorama de amenazas externas, que en conjunto desempeñan un papel importante en la detección, validación y priorización de eventos detectados que ayudan a evaluar y analizar el riesgo y el impacto potencial de un incidente, esto lo he logrado con la aplicación de Enterprise Security y la App de PCI, contando con la capacidad de creación e identificación, basándose en la colección de fuentes, la clasificación de eventos de acuerdo al CIM, y reglas de correlación integradas. Esto ha permitido el éxito de la detección temprana de incidentes para nuestros clientes.

 

8.- Contexto de usuario y monitoreo.

Splunk me ha permitido lograr el monitoreo de actividad usuaria de las fuentes de tecnologías tales como Servidores de Dominio, Aplicaciones hechas en casa, Bases de Datos, Dispositivos de comunicaciones y de Seguridad, tales como FW, IPS’s, WAF, Dispositivos de comunicación etc. y la capacidad de correlacionar y analizar los datos de autenticación y alertamiento oportuno, permitiendo con esto:  informar las infracciones de políticas y comportamientos sospechosos, por ejemplo: ataques de fuerza bruta, bloqueos y desbloqueos de cuentas, cuentas promiscuas, falta de uso en cuentas y cambios en privilegios y roles, etc. Esto se ha logrado con un análisis del comportamiento de la actividad, cabe resaltar que permite identificar desviaciones contra líneas base o umbrales predefinidos.

Incluso Splunk ha permitido mediante los logs internals la creación de una aplicación de automonitoreo de la solución Splunk para la verificación de la actividad usuaria para identificar el buen o mal uso de la plataforma, esto me ha resultado muy útil para temas de compliance.

 

9.- Administración de incidentes.

En este contexto Splunk Enterprise me ha permitido la configuración de diversas alertas y la capacidad de asignar y notificar a usuarios específicos e incluso agregar acciones automatizadas mediante scripts como método de atención y respuesta. Además mediante Splunk Enterprise Security he logrado integrar flujos de operación y asignación de incidentes más formales, donde los incidentes tienen la capacidad de cambiar el estado y la asignación a usuarios, las capacidades de integrarse con sistemas de tickets y la capacidad incluso de documentar el procesos de respuesta.

También es importante mencionar que Splunk está tratando de enfocar esfuerzos en el cumplimiento de los retos futuros de seguridad que refieren a la automatización de las acciones de respuesta a incidentes como por ejemplo: deshabilitando las cuentas de usuario afectadas y bloqueando o filtrando la conectividad de la red cuando es detectada una alerta, esto lo está logrando con la adquisición adicional de Pathom ya como SOAR.

 

10.- Herramientas de detección de amenazas.

En este contexto me gustaría remarcar que Splunk nos ha permitido crear aplicaciones personalizadas de seguridad, o implementar las aplicaciones premium de Splunk tales como Enterprise Security como SIEM y/o PCI para temas de compliance o la inclusión de aplicaciones con foco de seguridad de diversas plataformas disponibles recomendables tales como: UBA, Stream, Splunk Security Essential, Alert Manager para la gestión de eventos notables (alertas), etc.

 

¿Quieres conocer cómo Splunk  puede detectar y controlar ciberataques en tu empresacontacta con nuestros asesores.