El entorno tecnológico donde son implementados los elementos que alimentan al SIEM, ha cambiado enormemente. Estos son: el volumen, la variedad y la velocidad. Es decir, el volumen de información que debemos manejar, la diversidad de ataques con las que se tienen que enfrentar los equipos de seguridad y la velocidad con la que deben responder dichos ataques.

Ciertamente, a través del tiempo estos elementos han evolucionado y lo seguirán haciendo según su entorno tecnológico. Los SIEM actuales manejan y gestionan cada vez más volúmenes de información, teniendo la capacidad de hacer análisis más eficientes y la posibilidad de aplicar diferentes fórmulas matemáticas para crear proyecciones. Lo anterior ha llevado a integrar procesos de machine learning y la integración con formatos de archivos más accesibles para conectarse con otras tecnologías.

Se irán incluyendo más elementos IOT que necesitarán supervisión y que formarán parte de la estrategia de visibilidad de las organizaciones. El SIEM deberá ayudar a organizar la información en donde el inventario tecnológico esté actualizado y se visibilicen los activos, usuarios y las acciones que los rodean. Los SIEM deberán mantener su relevancia y adaptarse muy bien a la diversidad tecnología de las organizaciones y no al revés.

Nueva llamada a la acción

¿Qué debe tener un SIEM para seguir siendo relevante?

A continuación, les compartiremos algunos puntos fundamentales para que un SIEM siga siendo relevante en el mercado:

    • Actualización: el SIEM debe poder comunicarse con las tecnologías existentes legacy, las que han llegado en los últimos años y las que se lanzarán en los próximos.
    • Análisis de datos: los datos obtenidos deben ser procesados para convertirlos en información relevante que pueda ser un factor de inteligencia para mejorar la toma de decisiones. Un dato por si solo no significa nada, pues le debemos dar un contexto con un objetivo transformador. Las decisiones basadas en Inteligencia logran objetivos claros y eficientes.
    • Anticipación: si queremos lograr la detección eficiente de ataques en la infraestructura tecnológica de las organizaciones, se necesita tomar decisiones rápidas basadas en Inteligencia. Ahí, es donde debe estar el SIEM y donde continuará trabajando
    • Monitorización: los actores maliciosos están probando sus ataques, y la monitorización debe estar presente para identificar y alertar sobre estos ataques. Por ejemplo: El endpoint quedó afectado y el EDR lo identifica; un elemento de red quedó comprometido y el NDR notifica, y por último, las aplicaciones están infectadas y el XDR entra en acción.

El SIEM es aquel que debe estar en contacto con todas las tecnologías para tener los contextos
necesarios y tomar las mejores decisiones.

Una mirada al futuro

El futuro del SIEM recae en la capacidad que tengan las organizaciones de estructurar mejor su información. Con la llegada de la transformación digital, las infraestructuras híbridas (cloud-onsite) están llegando, y el SIEM debe estar preparado para actualizaciones y nuevas herramientas.

Se proyecta que el SIEM será multilenguaje, con una interfaz de fácil uso, amigable y con una
herramienta de automatización más contundente.

Desde A3Sec hemos realizado varios análisis sobre el SIEM con base en Gartner. Identificamos los elementos más valorados por el autor: el modelo de servicio o despliegue, integración con múltiples plataformas, inteligencia de amenazas tanto propias como la capacidad de integrarse con otras, el apoyo al cumplimiento y la mejora en la interpretación de la información. Un SIEM  deberá integrar todos estos conceptos y adaptarse a tendencias como mapear las amenazas con la matriz MITTRE ATTACK y modelos de despliegue Cloud como OnPremise e Hybridos.

El futuro de la herramienta se basará en el soporte del BigData, crecimiento horizontal (IaaS-SaaS) e interacción en dos vías, tanto para recibir información como para enviarla. Se espera que el SIEM llegue a ser un modelo homogéneo de creación lógica de correlaciones, que permita además transformarlas al SIEM que se haya desplegado.

El mercado está solicitando mejores representaciones de la información, visualizaciones que aporten a los KPI de las empresas, que ayuden a entender qué es lo que está sucediendo y responda preguntas sobre el estado de la ciberseguridad de las organizaciones.

En 2017, leía un blog del Dr. Chuvakin donde bromeaba acerca de si el SIEM estaba muerto cuando la respuesta era "¡No!". El SIEM no ha muerto, sino que se debe volver cada vez más relevante. Ha sido y seguirá siendo una tecnología fundamental para la estrategia de ciberseguridad de las organizaciones, aunque puede requerir algún tiempo para mostrar su valor, pero ahí es donde las organizaciones como la nuestra, con una amplia experiencia en el manejo, despliegue y madurez del SIEM puede aportar un gran valor diferencial.

Más sobre SIEM

>_

Otros Blogs

Isotipo A3Sec