La gestión de información y eventos de seguridad ( SIEM ) es una subsección dentro del campo de la seguridad informática , donde los productos y servicios de software combinan la gestión de información de seguridad (SIM) y la gestión de eventos de seguridad (SEM). Proporcionan un análisis en tiempo real de las alertas de seguridad generadas por las aplicaciones y el hardware de red.
Los proveedores venden SIEM como software, como dispositivos o como servicios administrados; Estos productos también se utilizan para registrar datos de seguridad y generar informes con fines de cumplimiento . [1]
El término y el inicialismo SIEM fue acuñado por Mark Nicolett y Amrit Williams de Gartner en 2005. [2]
Descripción general
Las siglas SEM , SIM y SIEM a veces se han utilizado indistintamente [3], pero generalmente se refieren a los diferentes enfoques principales de los productos:
- Gestión de registros : céntrese en la recopilación y el almacenamiento simples de mensajes de registro y pistas de auditoría [4]
- Gestión de la información de seguridad ( SIM ): almacenamiento a largo plazo, así como análisis e informes de datos de registro. [5]
- Gestor de eventos de seguridad ( SEM ): Monitoreo en tiempo real, correlación de eventos, notificaciones y vistas de consola.
- Gestión de eventos e información de seguridad (SIEM): combina SIM y SEM y proporciona un análisis en tiempo real de las alertas de seguridad generadas por el hardware y las aplicaciones de la red. [1] [6]
- Servicio de seguridad administrado: ( MSS ) o Proveedor de servicios de seguridad administrado: (MSSP): Los servicios administrados más comunes parecen evolucionar en torno a la conectividad y el ancho de banda, la supervisión de la red, la seguridad, la virtualización y la recuperación ante desastres.
- Seguridad como servicio ( SECaaS ) : estos servicios de seguridad a menudo incluyen autenticación , antivirus , antimalware / spyware, detección de intrusiones , pruebas de penetración y gestión de eventos de seguridad, entre otros.
En la práctica, muchos productos en esta área tendrán una combinación de estas funciones, por lo que a menudo habrá cierta superposición, y muchos proveedores comerciales también promueven su propia terminología. [7] A menudo, los proveedores comerciales ofrecen diferentes combinaciones de estas funcionalidades que tienden a mejorar SIEM en general. La administración de registros por sí sola no proporciona información en tiempo real sobre la seguridad de la red, SEM por sí solo no proporcionará datos completos para un análisis profundo de amenazas. Cuando se combinan SEM y la gestión de registros, SIEM puede supervisar más información.
Un enfoque clave es monitorear y ayudar a administrar los privilegios de usuario y servicio, servicios de directorio y otros cambios de configuración del sistema [ aclaración necesaria ] ; además de proporcionar auditoría y revisión de registros y respuesta a incidentes. [5]
Capacidades / componentes
- Agregación de datos: la administración de registros agrega datos de muchas fuentes, incluida la red, la seguridad, los servidores, las bases de datos, las aplicaciones, lo que brinda la capacidad de consolidar los datos monitoreados para ayudar a evitar la pérdida de eventos cruciales.
- Correlación: busca atributos comunes y vincula eventos en paquetes significativos. Esta tecnología brinda la capacidad de realizar una variedad de técnicas de correlación para integrar diferentes fuentes, con el fin de convertir los datos en información útil. La correlación suele ser una función de la parte de gestión de eventos de seguridad de una solución SIEM completa [8]
- Alerta: el análisis automatizado de eventos correlacionados
- Paneles de control: las herramientas pueden tomar datos de eventos y convertirlos en gráficos informativos para ayudar a ver patrones o identificar actividades que no forman un patrón estándar.
- Cumplimiento: las aplicaciones se pueden emplear para automatizar la recopilación de datos de cumplimiento, produciendo informes que se adaptan a los procesos de seguridad, gobernanza y auditoría existentes. [9]
- Retención: Emplear el almacenamiento a largo plazo de datos históricos para facilitar la correlación de datos a lo largo del tiempo y proporcionar la retención necesaria para los requisitos de cumplimiento. La retención de datos de registro a largo plazo es fundamental en las investigaciones forenses, ya que es poco probable que se descubra una violación de la red en el momento en que se produce la violación. [10]
- Análisis forense: la capacidad de buscar registros en diferentes nodos y períodos de tiempo según criterios específicos. Esto mitiga tener que agregar información de registros en su cabeza o tener que buscar entre miles y miles de registros. [9]
Casos de uso
El investigador de seguridad informática Chris Kubecka identificó los siguientes casos de uso de SIEM, presentados en la conferencia de piratería 28C3 ( Chaos Communication Congress ). [11]
- La visibilidad de SIEM y la detección de anomalías podrían ayudar a detectar código polimórfico o de días cero . Principalmente debido a las bajas tasas de detección de antivirus contra este tipo de malware que cambia rápidamente.
- El análisis, la normalización de registros y la categorización pueden ocurrir automáticamente, independientemente del tipo de computadora o dispositivo de red, siempre que pueda enviar un registro.
- La visualización con un SIEM utilizando eventos de seguridad y errores de registro puede ayudar en la detección de patrones.
- Las anomalías de protocolo que pueden indicar una configuración incorrecta o un problema de seguridad se pueden identificar con un SIEM mediante la detección de patrones, alertas, línea de base y paneles de control.
- SIEMS puede detectar comunicaciones maliciosas y encubiertas y canales cifrados.
- Los SIEM pueden detectar la guerra cibernética con precisión, descubriendo tanto a los atacantes como a las víctimas.
Ejemplos de reglas de correlación.
Los sistemas SIEM pueden tener cientos y miles de reglas de correlación. Algunos de estos son simples y otros son más complejos. Una vez que se activa una regla de correlación, el sistema puede tomar las medidas adecuadas para mitigar un ciberataque. Por lo general, esto incluye enviar una notificación a un usuario y luego posiblemente limitar o incluso apagar el sistema. Según UTMStack , estos son algunos de los más importantes.
Detección de fuerza bruta
La detección de fuerza bruta es relativamente sencilla. La fuerza bruta se relaciona con tratar continuamente de adivinar una variable. Por lo general, se refiere a alguien que intenta adivinar constantemente su contraseña, ya sea manualmente o con una herramienta. Sin embargo, puede referirse a intentar adivinar direcciones URL o ubicaciones de archivos importantes en su sistema.
Una fuerza bruta automatizada es fácil de detectar, ya que es imposible que alguien intente ingresar su contraseña 60 veces en un minuto.
Viaje imposible
Cuando un usuario inicia sesión en un sistema, en términos generales, crea una marca de tiempo del evento. Junto con el tiempo, el sistema a menudo puede registrar otra información útil, como el dispositivo utilizado, la ubicación física, la dirección IP, los intentos de inicio de sesión incorrectos, etc. Cuantos más datos se recopilen, más uso se puede recopilar de ellos. Para viajes imposibles, el sistema mira la fecha / hora actual y la última de inicio de sesión y la diferencia entre las distancias registradas. Si considera que no es posible que esto suceda, por ejemplo, si viaja cientos de millas en un minuto, activará una advertencia.
Muchos empleados y usuarios ahora utilizan servicios VPN que pueden ocultar la ubicación física. Esto debe tenerse en cuenta al establecer dicha regla.
Copia excesiva de archivos
Si piensa en sus actividades diarias, lo más probable es que no copie ni mueva muchos archivos en su sistema. Por lo tanto, cualquier copia excesiva de archivos en un sistema podría atribuirse a alguien que desea causar daño a su empresa. Desafortunadamente, no es tan simple como afirmar que alguien ha obtenido acceso a su red ilegalmente y quiere robar información confidencial. También podría ser un empleado que busca vender información de la empresa, o simplemente podría querer llevarse a casa algunos archivos para el fin de semana.
Ataque DDoS
Un ataque DDoS (denegación de servicio distribuido) causaría un problema para casi cualquier empresa. Un ataque DDoS no solo puede desconectar sus propiedades web, sino que también puede debilitar su sistema. Con las reglas de correlación adecuadas en su lugar, su SIEM debería activar una alerta justo al comienzo del ataque para que pueda tomar las medidas de precaución necesarias para proteger sus sistemas.
Cambio de integridad de archivo
El Monitoreo de Integridad y Cambios de Archivos (FIM) es el proceso de monitorear los archivos en su sistema. Los cambios inesperados en los archivos de su sistema activarán una alerta, ya que es una indicación probable de un ataque cibernético.
Modelos
Además de las reglas de correlación, también es posible que SIEM tenga modelos. Los modelos difieren algo de las reglas de correlación, pero si se implementan correctamente pueden ser igualmente útiles. En lugar de utilizar una correlación uno a uno, un modelo requiere que sucedan una serie de pasos para activar una alerta. Por lo general, esto significa una regla inicial seguida de un comportamiento anómalo. Esto puede ser tan simple como que un usuario inicie sesión desde una ubicación diferente a la habitual y luego lleve a cabo una gran transferencia de archivos.
Esto puede ser extremadamente útil ya que un solo evento no significa necesariamente un compromiso de los servidores o la red de una organización, podría ser simplemente un miembro del equipo que trabaja desde un café para un cambio de escenario.
Manejo de falsos positivos
Desafortunadamente, los falsos positivos aparecen en todos los ámbitos de la vida, y esto es cierto para SIEM. Todas las herramientas y sistemas tienen la posibilidad de producir un resultado falso positivo. Por ejemplo, demasiados intentos fallidos de inicio de sesión pueden deberse simplemente a que un empleado olvidó su contraseña y no a alguien que intenta ingresar al sistema. Es importante que para cualquier evento desencadenado, los pasos que se tomen sean justificables y de una medida adecuada, ya que no querrá que los empleados queden bloqueados durante horas en tales escenarios. [12]
Ejemplos de alertas
Algunos ejemplos de reglas personalizadas para alertar sobre condiciones de eventos incluyen reglas de autenticación de usuarios, ataques detectados e infecciones detectadas. [13]
Regla | Objetivo | Desencadenar | Fuentes de eventos |
---|---|---|---|
Repetir fuente de inicio de sesión de ataque | Alerta temprana de ataques de fuerza bruta, adivinación de contraseñas y aplicaciones mal configuradas. | Alerta sobre 3 o más inicios de sesión fallidos en 1 minuto desde un solo host. | Active Directory, Syslog (hosts Unix, conmutadores, enrutadores, VPN), RADIUS, TACACS, aplicaciones supervisadas. |
Repetir Ataque-Cortafuegos | Alerta temprana para escaneos, propagación de gusanos, etc. | Alerta sobre 15 o más eventos de caída / rechazo / denegación de firewall desde una única dirección IP en un minuto. | Cortafuegos, enrutadores y conmutadores. |
Sistema de prevención de intrusiones de red de ataques repetidos | Alerta temprana para escaneos, propagación de gusanos, etc. | Alerta sobre 7 o más alertas IDS desde una sola dirección IP en un minuto | Dispositivos de prevención y detección de intrusiones en la red |
Sistema de prevención de intrusiones de host de ataque repetido | Encontrar hosts que puedan estar infectados o comprometidos (que presenten comportamientos de infección) | Alerta sobre 3 o más eventos desde una sola dirección IP en 10 minutos | Alertas del sistema de prevención de intrusiones del host |
Detección / eliminación de virus | Alerta cuando se detecta un virus, software espía u otro malware en un host | Alerta cuando un solo host detecta una pieza identificable de malware | Antivirus, HIPS, Detectores de anomalías de comportamiento de red / sistema |
Virus o spyware detectado pero no se pudo limpiar | Alerta cuando ha pasado> 1 hora desde que se detectó malware, en una fuente, sin el virus correspondiente eliminado con éxito | Alerta cuando un solo host no puede limpiar automáticamente el malware dentro de 1 hora después de la detección | Firewall, NIPS, antivirus, HIPS, eventos de inicio de sesión fallidos |
Ver también
Referencias
- ^ a b "SIEM: Una instantánea del mercado" . Diario del doctor Dobb. 5 de febrero de 2007.
- ^ Williams, Amrit (2 de mayo de 2005). "Mejorar la seguridad informática con la gestión de vulnerabilidades" . Consultado el 9 de abril de 2016 .
Gestión de eventos e información de seguridad (SIEM)
- ^ Swift, David (26 de diciembre de 2006). "Una aplicación práctica de SIM / SEM / SIEM, Automatización de la identificación de amenazas" (PDF) . Instituto SANS . pag. 3 . Consultado el 14 de mayo de 2014 .
... el acrónimo SIEM se utilizará genéricamente para referirse ...
- ^ Kent, Karen; Souppaya, Murugiah (septiembre de 2006). "Guía para la gestión de registros de seguridad informática" . Centro de recursos de seguridad informática, NIST. doi : 10.6028 / NIST.SP.800-92 . SP 800-92.
- ^ a b Jamil, Amir (29 de marzo de 2010). "La diferencia entre SEM, SIM y SIEM" .
- ^ El futuro de SIEM: el mercado comenzará a divergir
- ^ Bhatt, S .; Manadhata, PK; Zomlot, L. (2014). "El papel operativo de la información de seguridad y los sistemas de gestión de eventos" . Seguridad y privacidad de IEEE . 12 (5): 35–41. doi : 10.1109 / MSP.2014.103 .
- ^ Correlación Archivado el 19 de octubre de 2014 en la Wayback Machine.
- ^ a b "Gestión del cumplimiento y automatización del cumplimiento: cómo y cuán eficiente, parte 1" . accelops.net . Archivado desde el original el 23 de julio de 2011 . Consultado el 2 de mayo de 2018 .
- ^ "Informe de investigaciones de filtración de datos 2018 | Verizon Enterprise Solutions" . Soluciones empresariales de Verizon . Consultado el 2 de mayo de 2018 .
- ^ "28c3: visualización del registro de seguridad con un motor de correlación" . 29 de diciembre de 2011 . Consultado el 4 de noviembre de 2017 .
- ^ "Reglas de correlación SIEM esenciales para el cumplimiento" . UTMStack.
- ^ Swift, David (2010). "Estrategias exitosas de gestión de registros y SIEM para auditoría y cumplimiento" . Instituto SANS .