En el transcurso del último año, SIEM ha experimentado una evolución significativa en 2022, reforzando así las operaciones de seguridad digital. En este artículo, te contaremos las nuevas predicciones para el futuro de esta herramienta.
Analizar los SIEM es algo que nos apasiona, y llevamos la última década en A3Sec analizando para entender la evolución y el posicionamiento del mercado.
Para contextualizar, el término SIEM se refiere a "Gestión de la Información y Eventos de Seguridad". Se trata de un enfoque integral de ciberseguridad que fusiona la gestión de eventos de seguridad (SEM) con la gestión de seguridad de la información (SIM) en una plataforma unificada.
Recopila, relaciona y analiza datos, registros de eventos de seguridad de varias fuentes en una red o sistema informático. Estas fuentes pueden incluir registros de aplicaciones, dispositivos de red, sistemas operativos, firewalls y otros componentes de seguridad. Luego usamos técnicas de análisis y detección para identificar y responder a posibles amenazas de seguridad.
Para mayor información lee aquí la historia de los cuadrantes mágicos de SIEM.
Solo para recordar un poco, el año pasado concluimos que el SIEM no perdía espacio y seguía tomando fuerza en las estrategias de ciberseguridad. Además, evoluciona para incluir varias características que años antes veíamos como herramientas adicionales de la arquitectura de seguridad digital, como UEBA, SOAR y TIP. También se observaba la migración a la nube y la necesidad de tener servicios administrados.
Puede ser de tu interés: El análisis de MQ 2021
¡Pues aquí lo tenemos!
El gran crecimiento lo tuvo Microsoft, que se presenta este año como líder en su segundo año. Además, se observó una notable recuperación por parte de Splunk, y una evolución destacada de Gucurul en el mercado.
En el año 2022, se fortalece la visión que veníamos presentando de evolución del SIEM a una herramienta que integra funcionalidades de la operación de seguridad, como por ejemplo TIP, UEBA y SOAR. Además, comienza a generar la intención de una integración del ecosistema de seguridad, planteando necesidades de conectar con EDR y NDR.
Gartner viene planteando una necesidad en el mercado de integración de proveedores, pero nosotros lo vemos más como una necesidad para robustecer y volver eficiente la operación diaria de seguridad digital.
Un elemento que empieza a ser de impacto es la cobertura, tanto en temas comerciales como en soporte, así como la capacidad de tener servicios administrados con dicho SIEM. Vemos que algunas soluciones se ven afectadas debido a la falta de cobertura o a la ausencia de MSSP o MDR.
Algo que destaca es la capacidad de ser un panel único de control con información, no solo de SecOps, sino también de DevOps y observabilidad de TI.
Los elementos que generan un llamado de atención por parte de Gartner para la adquisición de herramientas se pueden resumir en el siguiente listado.
Se empieza a resolver la gran inquietud que era el concepto de Marketing de XDR. Algunos planteaban que era un EDR con esteroides, otros que era la integración de la tríada EDR + NDR + SIEM. Lo que comienza a mostrarse es que es todo lo anterior, adicionando el servicio de operación de ciberseguridad.
La integración de componentes del ecosistema de ciberseguridad es una realidad. Hace 3 años hablábamos de que UEBA eran casos de uso y modelos de analítica avanzada sobre el SIEM, y que el SOAR debía ser una funcionalidad del SIEM. Ahora lo que veremos es que el SIEM se convertirá en la solución unificada de visibilidad y gestión de fallas, eventos, incidentes y brechas para la operación de ciberseguridad, así como para los procesos de Desarrollo y Operación de TI, OT, IoT y cargas de trabajo en el cloud.
El foco en el corto plazo será madurar los flujos de trabajo para ser más eficientes en la operación diaria, como la gestión de requerimientos de prevención (gestión de vulnerabilidades, parches y configuración) y la respuesta adecuada a brechas e incidentes, para reducir el Dwell Time y minimizar el impacto de los incidentes. ¿Quieres saber cuánto es el costo de los incidentes y el tiempo de exposición ante los ataques? Haz clic aquí e infórmate.
Por último, pero no menos importante, es la capacidad de consumir, crear y compartir inteligencia. Esta capacidad ayuda al ecosistema a mejorar continuamente su capacidad de detección y respuesta.
Cada sistema de inteligencia, equipo de IR, Threat Hunting y científicos de datos de ciberseguridad deben aportar a mejorar las capacidades y postura de seguridad de todas las organizaciones. De esta manera, entre todos, podemos blindar activos digitales de forma más efectiva y eficiente. Todo esto es posible a través del sistema, que sigue evolucionando y convirtiéndose en el centro de control de nuestra operación de ciberseguridad.
Quieres leer el Cuadrante Mágico de Gartner de 2022, nuestro partner Splunk te comparte haciendo clic aquí.