SIEM es el corazón del SOC y la correlación es el cerebro del SIEM

SIEM (Security Information and Event Management, por sus siglas en inglés) es un sistema, aplicación o solución donde se concentra la información de seguridad de TI. Es un principio fundamental en la creación de un sistema de gestión de eventos de seguridad.

En 2003, Gartner fue el referente sobre la formalización de la tecnología SIEM, como se puede evidenciar en el primer cuadro de Gartner. En 2011, McGraw Hill publicó el primer libro sobre el SIEM, "Security Information Event Management (SIEM) Implementation”, escrito también por David R. Miller, Shon Harris, Allen A. Harper, Stephen VanDyke y Chris Blask.

Un libro que habla acerca de los que se consideraban, en su momento, los principales SIEM: OSSIM, Cisco MARS, Q1 y Arcsight. Sin embargo, algunos de estos nombres ya no circulan en la red, puesto que fueron absorbidos o transformados por otras organizaciones.

Hemos visto la llegada de los sistemas DR (Detection and Response), EDR, NDR, XDR ... Y así, múltiples tecnologías que han cambiado más de nombre que de tecnología como tal. El SIEM ha pasado por Next-Generation SIEM, Security Analytics y ahora es un servicio MDR.

La evolución del SIEM

En su proceso de formalización, el SIEM era considerado un gestor de logs, una herramienta de cumplimiento regulatorio para: la correlación de eventos,  brindar una respuesta activa y seguridad en el endpoint.

• • Gestor de Logs: cada vez habrá una mayor cantidad de información circulando desde el Pentabyte hasta el Yottabyte. El SIEM que soporte estos volúmenes de información de forma eficiente, será aquel que haya hecho el 50% del trabajo para adaptarse a los nuevos desafíos en el manejo y análisis de la información.
  • Cumplimiento Regulatorio: toda regulación debe  ser tenida en cuenta. El SIEM deberá cumplir al 100% los requerimientos. Si se encuentra correctamente configurado y administrado, no debería ser problema una auditoría.
    
  • Correlación de Eventos: en esta área se han visto grandes mejoras en los últimos años, en donde los fabricantes de SIEM han agregado más correlaciones y casos de uso. Inclusive, se han creado nuevas formas de desarrollar estos casos y de adaptarse a una mejor y más eficiente correlación. Se podrán observar cambios importantes en la formalización de metodologías de correlación, nuevas reglas y normalizaciones (en este proceso) donde el Machine Learning jugará un rol muy importante.

La correlación es la base de la inteligencia, un SIEM Inteligente es aquel que tiene la capacidad de desarrollar mejores y distintas formas de correlaciones, que en definitiva, tendrá un mayor impacto en las organizaciones.

Si el SIEM es el corazón del SOC, la correlación es el cerebro del SIEM, y aquí es donde todos los fabricantes deberán apostar a crear mejores formas de correlacionar la información, ya que de la inteligencia que puedan generar, se dispara la capacidad de detección y atención a incidentes.

• • Respuesta Activa o llamada SOAR (Security Orchestration Automation and Response): es
    necesaria para reaccionar a los incidentes de seguridad. Las diferentes áreas de TI deben adoptar metodologías y tecnologías ágiles para todo el proceso de creación, gestión tecnológica y seguridad.

La automatización ahora es SOAR y el futuro de esto estará orientado en modelos ágiles tipo SecDevOps con recetas y playbooks. Cuantas más infraestructuras tengamos como código, la correlación disparará eventos que ejecuten playbooks, y estos a su vez producirán más eventos para mejores playbooks. Generando de este modo un ciclo de trabajo para una mejor reacción a diferentes incidentes de seguridad.

Ahora mismo el SOAR debe evolucionar para crear mejores playbooks o recetas adaptables y que el trabajo se vuelva más colaborativo y replicable. Veremos sistemas SOAR que se adapten más rápido y mejor a las diferentes tecnologías, tanto emergentes como las que se han establecido.

• • Seguridad en el Endpoint: hace 15 años se consideraba que el SIEM debía tener agentes tipo HIDS que apoyaran la protección del endpoint, recolectando información para generar correlación, mejorar la visibilidad y aumentar las posibilidades de protección y seguridad.

Ahora podemos ver que esta funcionalidad ha quedado relegada hacia el EDR, sistemas propios de recolección de información, Machine Learning y capacidades de detección sin reglas para la detección y reacción temprana de amenazas. El SIEM sigue teniendo un alto valor frente a los EDR, ya que debemos traer los datos de una herramienta a la otra para identificar, contener y asegurar la infraestructura con una visión mejorada de lo que está pasando en el endpoint. El sistema SIEM seguirá evolucionando para soportar mejor la integración de los sistemas EDR y construir bases de conocimiento para las organizaciones.

A pesar de que contiene parte de estos elementos, el SIEM ha cambiado en los últimos 15 años, convirtiéndose en el centro neurálgico de la estrategia de detección y respuesta a incidentes de seguridad, es el corazón del SOC.