2002 fue el año en el que me enfrenté al reto de implementar mi primer Centro de Operaciones de Seguridad (SOC, por sus siglas en inglés). Su finalidad se orientaba a administrar infraestructuras de seguridad como Firewalls, VPN, IDS y Proxy para apoyar a los clientes en la administración y operación de su arquitectura de seguridad.
Para el año 2006, en una Big Four propuse la implementación de un SOC más orientado al monitoreo, gestión de incidentes y el análisis de diferentes fuentes de eventos de seguridad, mediante herramientas de correlación para reducir los falsos positivos. Al final, esa herramienta llamada SIEM se volvió el centro neurálgico de la operación de ciberseguridad.
Algunas de las inquietudes de los responsables de seguridad (CISO) de las organizaciones están enfocadas en cuáles son las características que deberían tener en cuenta para seleccionar el mejor SIEM de acuerdo a sus necesidades. Para ello, el Grupo A3Sec ha desarrollado un análisis basado en el cuadrante mágico de Garner, para establecer cuáles son las características mínimas de un SIEM, las funcionalidades claves y sus diferenciales.
A continuación, enumeraré los requerimientos mínimos, funcionalidades obligatorias que deben tener los sistemas SIEM, su ausencia deja por fuera de competencia en el entorno actual; funcionalidades clave, que hacen referencia a cómo están constituidos los SIEM para cumplir con su propósito en la actualidad; y los diferenciales, que son las características únicas y novedosas que tienen los líderes del mercado.
Estos son los requerimientos mínimos que debe tener una solución SIEM para que cumpla con el objetivo trazado:
-
-
- SaaS: es una solución Cloud Native con capacidades de escalabilidad y de fácil despliegue.
- Onpremise: es una solución para implementación local en equipos virtuales o máquinas físicas.
- Cifrado de Datos (Integridad y Confidencialidad): es una solución que protege la integridad de los datos desde el origen, en su procesamiento y en resguardo. Incluye capacidades de ofuscación.
- Term License: hace referencia a los términos establecidos en la licencia. Todas las herramientas tecnológicas han migrado sus modelos de un licencias de forma anual, con base en su orientación financiera.
- Licencia basada en Volumen de Datos: en la actualidad es el modelo de licenciamiento más utilizado en soluciones SIEM. La forma de dimensionar se soporta mediante eventos por segundo (EPS) o cantidad de datos indexados por día.
- Network: integración y explotación de eventos de red.
- EndPoint: integración y explotación de eventos de host.
A continuación, se listan las funcionalidades clave de los sistemas SIEM:
-
-
- UEBA: se refiere a la analítica de comportamiento anómalo de usuarios y equipos, que se ha convertido en una capacidad importante dentro de los SIEM, con el fin de reducir la cantidad de alarmas posibles.
- SOAR: los sistemas de orquestación y automatización de seguridad que apoyan la respuesta a incidentes.
- BigData & Analytics: las soluciones SIEM actuales deben apoyarse de tecnologías de BigData y tener la capacidad de aplicar modelos determinísticos y de aprendizaje de máquina para detectar lo desconocido.
- Fuentes propias de inteligencia: se cuenta con esta funcionalidad mediante la generación de conocimiento a través de un ecosistema o un equipo de investigación interno, tanto de indicadores de compromiso (IoC) como de indicadores de ataque (IoA).
- Módulo de Threat Intelligence: estos seccionales o módulos apoyan la gestión de múltiples fuentes de inteligencia, ayudando en la actualización de nuevos IoC y eliminando aquellos que ya no generan un riesgo para las organizaciones.
- Cumplimiento: módulos que ayudan a identificar la efectividad de los controles alineados con las diferentes normas, leyes y regulaciones. Según el tipo de sector, debe contar con la alineación correspondiente y casos de uso para: HIPAA (Seguridad de información del Sector Salud), PCI-DSS (Protección de Datos de Tarjetahabientes), GDPR (Protección de Datos Personales) y NIST 800-53 (Controles de Seguridad y Privacidad para las Agencias de Gobierno).
- Aplicaciones: es la integración con logs de aplicaciones como: Correo Electrónico, ERP, MainFrames, entre otros.
- OT/IoT: es la integración con redes de operación y con internet de las cosas.
- Capacidad para desarrollos de parsers: es una funcionalidad para la integración de nuevas fuentes de información con estructuras diversas.
- Capacidad para desarrollo de casos de uso: se utiliza para el desarrollo de casos de uso propios de la organización.
Y por último, les comparto las funcionalidades técnicas, que consideramos que se han vuelto diferenciales e innovadoras en los sistemas SIEM actuales:
-
-
- Mitre Attack: para reducir la fatiga de alertas, se ha aplicado tanto las líneas de tiempo como los frameworks de ataque. El mejor posicionado en el sector es Mitre Attack, en todos los casos de uso tienen etiquetas de las técnicas, tácticas y procedimientos de los atacantes.
- Otras fuentes de Inteligencia: es fundamental no cerrarse a fuentes propias de inteligencia, sino tener la capacidad de procesar fuentes como TAXII o STIX.
- Servicios en la nube: la migración a la nube es una realidad. Las plataformas SIEM deben tener la capacidad de integrar mediante API, fuentes de información de servicios en la nube y desarrollar casos de uso de seguridad para dichos servicios. Algunas de las integraciones clave son: AWS, AZURE, Google Cloud, SalesForce, Office365 y GSuite.
- Apps: desarrollar un ecosistema de integración de diferentes soluciones soportadas directamente por los fabricantes, ayuda a la misma evolución de la solución. En los portales de Apps fabricantes como: CISCO, Microsoft, Amazon, Google, CheckPoint, IBM, McAfee y SAP, publican aplicaciones para sacar el máximo provecho de sus logs en los SIEM de nueva generación.
Sin embargo, existen algunas funcionalidades que son raras en sistemas SIEM, pero algunas fábricas lo evidencian como diferencial. Se debe determinar si realmente son un diferencial o si, por el contrario, no aportan al objetivo de la organización en términos de seguridad. Les comparto algunos de ellos a continuación:
-
-
- Vulnerabilidades: algunas soluciones tienen integrado sistemas de análisis de vulnerabilidades. Generan la programación de los escaneos y estructuran los resultados, mostrando la tendencia y cambios mediante la gestión a través de tickets. Los resultados pueden ser procesados por SIEM BigData y se pueden enriquecer multitud de casos de uso de ataques particulares que explotan dichas fallas de control.
- Appliance: la adquisición de hardware y activos en proyectos de tecnología, vienen disminuyendo por la tendencia de migrar a la nube y las plataformas Cloud Native. Algunas agencias de gobierno en Latinoamérica, siguen viendo la necesidad de adquirir hardware.
- Common Criteria EAL 3+: algunos controles de seguridad cuentan con niveles EAL 4+ en SIEM, siendo una plataforma interna que se soporta con niveles medio-alto de aseguramiento del sistema operativo. Sin embargo, dependiendo del nivel de seguridad de la organización y el tipo de datos a procesar, se debe validar este tipo de requerimientos.
- CMDB: disponer de una base de datos de ítems de configuración, ayuda a tener tareas de operación de seguridad. Algunos ejemplos son: realizar análisis de vulnerabilidad pasiva mediante la validación de la versión de los paquetes de software instalados y las bases de datos de vulnerabilidades e identificar cambios no autorizados en hardware o software. Aunque muchas de esas actividades se identifican por eventos o acciones de los usuarios, la mayoría de SIEM se integran con dichas bases de datos de forma nativa.
Como miembro del equipo de A3Sec, añado que nos preocupamos por actualizar nuestras herramientas conforme a los avances tecnológicos del mercado y por adaptarnos al nuevo entorno de ciberseguridad, con el fin de compartir nuestro conocimiento y experiencia a nuestros clientes con requerimientos y necesidades distintas, enfocados en sus tipos de organización y realidad sectorial.