Gestión de eventos de seguridad de la información

¿Para qué analizar los logs del sistema? Básicamente para saber qué está ocurriendo en su red, que potencialmente pueden encontrarse y suspender cualquier acción maliciosa.

¿Para qué analizar los logs del sistema? Básicamente para saber qué está ocurriendo en su red, qué amenazas potenciales se encuentran y suspender cualquier acción maliciosa.

Pero… ¿Qué logs del sistema debemos analizar? ¿Qué debemos detectar? ¿Cuánto tiempo debemos invertir en esta tarea? 

Hay logs en todos nuestros dispositivos perimetrales como enrutadores, conmutadores, cortafuegos e IDS/IPS, Servidores, Aplicaciones, bases de datos y servidores web, etc. y los logs de todos son importantes para su análisis, ya que un ataque se puede originar desde cualquier equipo, interno o externo, también tener en cuenta que estos logs varían sus formatos de archivos.

Debemos ser capaces de detectar accesos de usuarios, actividades inusuales, anomalías en el comportamiento del usuario, violaciones de políticas, amenazas internas, ataques externos, robo de datos y todo aquel evento que podamos notar como malicioso.

El gran desafío, nuestro tiempo invertido como equipo de seguridad de la información. imaginemos la cantidad de logs que genera cada uno de nuestros dispositivos, los diferentes tipos de formatos a organizar y los diferentes tipos de actividades maliciosas que debemos revisar, es una tarea extensa e incremental, que de solo pensarlo muchos de nosotros nos bloquearíamos y sabemos que es imposible terminarla.

Por otro lado, no nos sirve analizar los logs si este análisis llega muy tarde, cuando ya el ataque es más que notorio y no fuimos capaces de poder mitigarlo a tiempo, es por esto que necesitamos de un software, que pueda procesar rápidamente esta data y generar las alertas necesarias, es así como el equipo de seguridad de la información poder actuar con respecto a los eventos que están presentando de una manera eficaz y con rapidez.

Esta tecnología se llama SIEM: Security Information and Event Management (Gestión de Eventos e Información de Seguridad) es una combinación entre SEM (Gestión de Eventos de Seguridad) con SIM (Gestión de Información de Seguridad) que nos ayuda a prevenir ataques como malware y DoS, protegiendo desde adentro a diferencia de otras tecnologías de seguridad, un SIEM detecta ataques en tiempo real.

5 características que deberían tener un SIEM 

  1. Monitoreo en tiempo real
  2. Almacenamiento y análisis de datos
  3. Alertas de eventos
  4. Correlación de eventos
  5. Generación de reportes de resultados

El primer aspecto que debemos validar dentro de una solución SIEM es el monitoreo, que sea capaz de monitorear cada acción dentro de nuestros sistemas, desde la creación, acceso, vista, eliminación, modificación, renombre de archivos y carpetas, eventos de las actividades de los usuarios privilegiados, cada acceso rastreado desde el equipo donde ingresó el usuario, qué actividades realizó y cuál fue su impacto.

El almacenamiento y análisis de los logs es algo que preocupa y atemoriza, debido a la cantidad de datos y sus diferentes tipos de fuentes como (sistemas Windows, Unix / Linux, aplicaciones, routers, firewalls), un SIEM bien estructurado debe recolectar, procesar, analizar y descifrar toda la información de una manera heterogénea todo en una sola ubicación central, lo que nos facilita su accesibilidad y análisis, permitiéndonos así centrarnos en tareas de mitigación de incidentes.

Ninguna organización está a salvo de ataques de seguridad, no espere a que un evento de estos ocurra para poder identificarlo y mitigarlo, las soluciones SIEM cuentan con inteligencia de detección de amenazas, utilizando los protocolos como STIX / TAXII que comparten estándares mundiales para identificar amenazas y alerta cuando las direcciones IP y URL incluidas en la lista negra global interactúan con su red, según nos explica ANOMALI

Si bien tenemos alertas para que estas sean utilizadas de una manera eficiente hay que reaccionar con rapidez y proactivamente a las amenazas de seguridad detectadas, los SIEM poseen un constructor de reglas de correlación, que le ayudarán a identificar patrones de ataques, con reglas modificables y filtros basados ​​en campos, de esta manera podrá definir qué eventos son considerados maliciosos para su organización y llevar la seguridad a un nivel superior, así si sufrimos un ataque debemos tener un plan de acción para restablecer nuestros servicios en el menor tiempo posible, considera algunos consejos que compartimos en el artículo Tips Para La Práctica De Gestión De Incidentes.

Ahora ya tenemos nuestra red monitoreada, con alarmas y correlación de eventos, nos queda la tarea de documentar y la generación de reportes para análisis de los eventos o con fines de auditoría, estos deben ser bien detallados y acorde a lo que se nos solicita, por eso es importante que al momento de elegir un software SIEM, este sea capaz de brindar plantillas de informes y se puedan generar informes personalizados y programables de una manera ágil, para cumplir con estándares como: HIPAA, GBLA, PCI, DSS, SOX, FISMA y más.

No sabemos ¿cuándo? ¿dónde? o de ¿quién? Seremos víctimas de ataques cibernéticos, por lo cual estar protegidos, con un software de prevención de ataques es sumamente importante hoy en día, independientemente del tamaño  de nuestra organización.

 

Si desea conocer más sobre nuestros servicios contáctenos:

ventas@agrega.com

info@agrega.com

+504 2269-0133.

Referencias:

¿Qué es un sistema SIEM? | ¿Como Funciona Y Cuales hijo Los Mejores?

¿Qué es SIEM en seguridad informática? Alcance e implementación

 

Otros articulos