En el transcurso del último año, SIEM ha experimentado una evolución significativa en 2022, reforzando así las operaciones de seguridad digital. En este artículo, te contaremos las nuevas predicciones para el futuro de esta herramienta.
Analizar los SIEM es algo que nos apasiona, y llevamos la última década en A3Sec analizando para entender la evolución y el posicionamiento del mercado.
Para contextualizar, el término SIEM se refiere a "Gestión de la Información y Eventos de Seguridad". Se trata de un enfoque integral de ciberseguridad que fusiona la gestión de eventos de seguridad (SEM) con la gestión de seguridad de la información (SIM) en una plataforma unificada.
Recopila, relaciona y analiza datos, registros de eventos de seguridad de varias fuentes en una red o sistema informático. Estas fuentes pueden incluir registros de aplicaciones, dispositivos de red, sistemas operativos, firewalls y otros componentes de seguridad. Luego usamos técnicas de análisis y detección para identificar y responder a posibles amenazas de seguridad.
Para mayor información lee aquí la historia de los cuadrantes mágicos de SIEM.
Solo para recordar un poco, el año pasado concluimos que el SIEM no perdía espacio y seguía tomando fuerza en las estrategias de ciberseguridad. Además, evoluciona para incluir varias características que años antes veíamos como herramientas adicionales de la arquitectura de seguridad digital, como UEBA, SOAR y TIP. También se observaba la migración a la nube y la necesidad de tener servicios administrados.
Puede ser de tu interés: El análisis de MQ 2021
¿Quieres saber cómo quedó el resultado de SIEM 2022?
¡Pues aquí lo tenemos!
¿Cómo ha evolucionado en los últimos años?
El gran crecimiento lo tuvo Microsoft, que se presenta este año como líder en su segundo año. Además, se observó una notable recuperación por parte de Splunk, y una evolución destacada de Gucurul en el mercado.
- Si nos enfocamos en los líderes, podemos observar que hay uno nuevo con respecto a 2021, que son Microsoft, Rapid7 y LogRhythm.
- En términos de retroceso en su posición respecto a 2021, Exabeam fue el que más destacó.
- Y, por último, este año no se incluyeron Netwitness, VenusTech, FireEye, McAfee y Odyssey.
¿Qué vimos en 2022 que no veíamos antes?
En el año 2022, se fortalece la visión que veníamos presentando de evolución del SIEM a una herramienta que integra funcionalidades de la operación de seguridad, como por ejemplo TIP, UEBA y SOAR. Además, comienza a generar la intención de una integración del ecosistema de seguridad, planteando necesidades de conectar con EDR y NDR.
Gartner viene planteando una necesidad en el mercado de integración de proveedores, pero nosotros lo vemos más como una necesidad para robustecer y volver eficiente la operación diaria de seguridad digital.
Un elemento que empieza a ser de impacto es la cobertura, tanto en temas comerciales como en soporte, así como la capacidad de tener servicios administrados con dicho SIEM. Vemos que algunas soluciones se ven afectadas debido a la falta de cobertura o a la ausencia de MSSP o MDR.
Algo que destaca es la capacidad de ser un panel único de control con información, no solo de SecOps, sino también de DevOps y observabilidad de TI.
¿Qué precauciones son las que más impactaron en SIEM del 2022?
Los elementos que generan un llamado de atención por parte de Gartner para la adquisición de herramientas se pueden resumir en el siguiente listado.
- Ausencia de características de un SIEM moderno: Ha evolucionado e integra funcionalidades cómo: UEBA, Analítica Avanzada (ML y DL), SOAR, TIP.
- Cubrimiento regional y ausencia de servicios administrados: Se recalca la importancia de tener presencia y cobertura de mercado para garantizar procesos de venta y de soporte efectivos. Además, es importante contar con proveedores o la capacidad de tener servicios administrados de operación de ciberseguridad con la solución.
- Mensajes inadecuados de marketing: Se encuentran un problema en el posicionamiento de conceptos cómo XDR y NG SIEM. Algunas empresas no logran transmitir las diferencias entre estos conceptos con su promesa de valor.
- Cubrimiento de ambientes en la Nube: Integramos dos elementos claves, el primero es que la solución sea nativa nube, y el segundo la capacidad de tener visibilidad y capacidad de gestión de seguridad sobre soluciones nube.
- Agilidad en implementación y evolución de la visibilidad: Entre las problemáticas planteadas, se resalta por parte de los clientes la complejidad a la hora de implementar ciertas soluciones y la integración de nuevas fuentes de eventos o evolución del producto dentro de la organización.
- Modelo de precios: Es una precaución que plantea Gartner, los clientes deben tener claridad sobre el modelo de precios, comprender el impacto de crecer y tener todas las funcionalidades que se requiere, para evitar que los proyectos se vean afectados en el tiempo.
Nuestras predicciones para la Evolución del SIEM
Se empieza a resolver la gran inquietud que era el concepto de Marketing de XDR. Algunos planteaban que era un EDR con esteroides, otros que era la integración de la tríada EDR + NDR + SIEM. Lo que comienza a mostrarse es que es todo lo anterior, adicionando el servicio de operación de ciberseguridad.
La integración de componentes del ecosistema de ciberseguridad es una realidad. Hace 3 años hablábamos de que UEBA eran casos de uso y modelos de analítica avanzada sobre el SIEM, y que el SOAR debía ser una funcionalidad del SIEM. Ahora lo que veremos es que el SIEM se convertirá en la solución unificada de visibilidad y gestión de fallas, eventos, incidentes y brechas para la operación de ciberseguridad, así como para los procesos de Desarrollo y Operación de TI, OT, IoT y cargas de trabajo en el cloud.
El foco en el corto plazo será madurar los flujos de trabajo para ser más eficientes en la operación diaria, como la gestión de requerimientos de prevención (gestión de vulnerabilidades, parches y configuración) y la respuesta adecuada a brechas e incidentes, para reducir el Dwell Time y minimizar el impacto de los incidentes. ¿Quieres saber cuánto es el costo de los incidentes y el tiempo de exposición ante los ataques? Haz clic aquí e infórmate.
Impulsando la inteligencia colaborativa: mejorando la detección y respuesta de ciberseguridad con SIEM
Por último, pero no menos importante, es la capacidad de consumir, crear y compartir inteligencia. Esta capacidad ayuda al ecosistema a mejorar continuamente su capacidad de detección y respuesta.
Cada sistema de inteligencia, equipo de IR, Threat Hunting y científicos de datos de ciberseguridad deben aportar a mejorar las capacidades y postura de seguridad de todas las organizaciones. De esta manera, entre todos, podemos blindar activos digitales de forma más efectiva y eficiente. Todo esto es posible a través del sistema, que sigue evolucionando y convirtiéndose en el centro de control de nuestra operación de ciberseguridad.
Quieres leer el Cuadrante Mágico de Gartner de 2022, nuestro partner Splunk te comparte haciendo clic aquí.