Las tecnologías de gestión de eventos e información de seguridad (SIEM) han sido durante mucho tiempo herramientas poderosas para los profesionales de la seguridad cibernética. Permiten a los equipos de seguridad recopilar y analizar datos basados en eventos de una gran cantidad de fuentes, como sistemas de seguridad de TI, redes, servidores, aplicaciones y más, en un intento por ayudar a identificar y mitigar los ataques cibernéticos entrantes.
Sin embargo, los productos de orquestación, automatización y respuesta de seguridad (SOAR) se han convertido en una alternativa viable a los sistemas SIEM más tradicionales en los últimos años. Si bien las tecnologías SOAR también ayudan a las organizaciones a administrar múltiples fuentes de datos en sus bienes raíces de TI, van más allá que los SIEM al automatizar varios aspectos del proceso de detección y mitigación de amenazas cibernéticas.
Pero con la rápida transición a un mundo laboral remoto y los ciberdelincuentes que continúan aprovechándose de la pandemia Covid-19, el panorama de amenazas ha evolucionado significativamente en el último año y, como consecuencia, las empresas enfrentan muchos nuevos desafíos de ciberseguridad. Entonces, ¿los servicios SIEM y SOAR siguen siendo herramientas poderosas para los equipos de seguridad? ¿Y cómo han evolucionado en 2021?
Los desafíos que enfrentan los equipos de seguridad de la red han cambiado significativamente debido a la pandemia de coronavirus y el posterior aumento del trabajo remoto, según Nicola Whiting, directora de estrategia de Titania.
“El cambio al trabajo remoto, incluida la introducción de nuevos dispositivos y aplicaciones, así como la adopción de tecnología en la nube, significa que los equipos tienen una cantidad cada vez mayor de datos de red para recopilar y analizar”, dice.
“Agregue a eso la creciente sofisticación de los actores de amenazas, que requieren una cantidad de tiempo cada vez menor para establecerse en una red de destino, y la importancia de monitorear continuamente el estado de configuración de una red es clara”.
Pero para los profesionales de la seguridad que buscan navegar con éxito en un panorama de amenazas cibernéticas cada vez más complejo, los SIEM pueden ser herramientas poderosas. Whiting dice que ofrecen una vista centralizada en tiempo real del estado real de una red a través de la recopilación y análisis de datos de diferentes herramientas de seguridad. Esto permite a los profesionales de la seguridad observar cuando los datos se desvían del estado deseado.
“Mediante la agregación y el enriquecimiento de datos de evaluación de vulnerabilidades frecuentes, si no continuos, los equipos de seguridad de la red pueden lograr la confianza en la configuración, sabiendo que la red está configurada correctamente para prevenir un ataque”, dice Whiting.
“Por lo tanto, especialmente en el nuevo, complejo y cambiante entorno de redes de TI de hoy, los SIEM son más críticos que nunca para minimizar la superficie de ataque y reducir el tiempo medio para la detección de configuraciones incorrectas”.
Sin embargo, Whiting cree que identificar anomalías y amenazas en un SIEM forma solo una parte de la confianza de la configuración. Otro elemento crítico de este proceso es poder remediar automáticamente los problemas una vez que se han descubierto, y su opinión es que las capacidades de automatización de triaje de las tecnologías SOAR se están volviendo cada vez más esenciales.
“Esto está dando lugar a un cambio hacia la integración de SIEM con capacidades de orquestación, automatización y respuesta de seguridad, es decir, detección y respuesta gestionadas [MDR] funcionalidad, reduciendo el tiempo medio para clasificar las vulnerabilidades de seguridad ”, dice. “Sin embargo, la confianza en la automatización que sustenta MDR son datos de alta fidelidad.
“Por lo tanto, los equipos de seguridad de la red, aunque están interesados en adoptar tecnología basada en la automatización para reducir las cargas de trabajo y acelerar la reparación, se están enfocando cada vez más en la precisión de las herramientas que alimentan datos en sus herramientas MDR. La automatización es redundante si se basa en información inexacta. Por lo tanto, enfrentar y enfrentar las amenazas y desafíos de seguridad actuales comienza en el nivel de evaluación de vulnerabilidades “.
Las herramientas SIEM han evolucionado
Durante dos décadas, las tecnologías SIEM han actuado como una herramienta vital en los departamentos de seguridad informática y cibernética de todo el mundo. Y aunque siguen siendo importantes en el panorama de seguridad actual, la analista de riesgos y seguridad de Forrester, Allie Mellen, dice que los sistemas SIEM actuales se centran principalmente en la detección y respuesta en lugar de en los casos de uso de cumplimiento.
“Esto se ejemplifica en una encuesta reciente que realicé, que encontró que más del 80% de los profesionales encuestados afirmaron que usan su SIEM principalmente para casos de uso de detección y respuesta”, dice ella. “A menudo no se discuten de esta manera; muchos proveedores sugieren que los SIEM solo son buenos para el cumplimiento, y se remontan a sus raíces “.
Si bien los SIEM han existido durante una cantidad significativa de tiempo, Mellen señala que están surgiendo innovaciones en esta industria y están dando lugar a una nueva era SIEM. Ella dice: “Este cambio se denomina más apropiadamente plataformas de análisis de seguridad, que no solo manejan la ingestión y el almacenamiento de registros, sino que también abordan de manera más efectiva los casos de uso de detección y respuesta que los SOC [security operations centres] necesitar.”
Lo que hace que las plataformas de análisis de seguridad sean tan poderosas es el hecho de que proporcionan capacidades SIEM, SOAR y UEBA (análisis de comportamiento de usuarios y entidades) en una única solución. Mellen dice que cubren todo el ciclo de vida de la respuesta a incidentes, incluida la detección, la investigación y la respuesta, junto con áreas vitales como el cumplimiento.
“Este año, las plataformas de análisis de seguridad continúan con el cambio a la nube, y los proveedores lanzan soluciones nativas de la nube o evolucionan su modelo de precios para respaldar este cambio y los altos costos que conlleva el almacenamiento masivo de datos”, dice. “Están intentando mejorar sus capacidades de aprendizaje automático para obtener detecciones más precisas y dinámicas, y están buscando activamente formas de ayudar a los profesionales a detectar mejor las amenazas en la nube”.
Mellen agrega que los proveedores de plataformas de análisis de seguridad también están comenzando a cambiar la forma en que envían mensajes a sus ofertas debido a la competencia que plantean las tecnologías de detección y respuesta extendidas (XDR). “El enfoque está mucho más centrado en la detección y respuesta de amenazas, con un énfasis renovado en mejorar las capacidades de investigación y simplificar el proceso del libro de estrategias SOAR con automatización adicional”, dice ella.
Nuevos enfoques
Según Sean Wright, líder de seguridad de aplicaciones en Immersive Labs, la industria está pasando de herramientas de procesamiento puramente impulsadas por eventos a soluciones de monitoreo del comportamiento como las tecnologías XDR.
“Esto tiene sentido porque los atacantes están en constante evolución, lo que significa que la detección tradicional basada en firmas se queda atrás”, dice. “La evolución de la infraestructura también obliga a algunos cambios. Por ejemplo, muchas organizaciones se están moviendo a la nube y ya no tienen un solo centro de datos, lo que puede afectar la efectividad de un SIEM “.
De cara al futuro, Wright cree que las tecnologías SOAR crecerán en popularidad a medida que la inteligencia de amenazas se convierta en una parte cada vez más importante de la postura de seguridad cibernética de una organización. “La automatización puede impulsar la eficiencia en su uso y análisis, lo que en última instancia ayuda a los equipos de seguridad a actuar sobre la información más rápido para reducir el riesgo”, dice.
Jake Moore, especialista en seguridad de ESET, dice que los sistemas SIEM y SOAR ofrecen la máxima visibilidad y son una herramienta esencial para las organizaciones que buscan mitigar un tsunami de amenazas a la seguridad cibernética. “Su idea es evaluar y analizar datos en tiempo real en busca de anomalías y patrones e identificar los riesgos, lo cual es invaluable en la respuesta a incidentes”, dice. “Esto es vital para cualquier empresa que desee hacer una prueba de futuro de la inevitable diatriba de ataques que enfrentan tantas organizaciones”.
Si bien Moore está de acuerdo en que las tecnologías SIEM basadas en software como servicio (SaaS) pueden mejorar sustancialmente la eficiencia en el departamento de seguridad cibernética, advierte a las organizaciones que no dependan demasiado de los sistemas SIEM que utilizan inteligencia artificial porque pueden generar falsos positivos.
En un mundo perfecto, dice Moore, las organizaciones podrían detectar ciberataques lo antes posible. Pero admite que las tecnologías autónomas de detección de amenazas no están lo suficientemente avanzadas en la actualidad como para que esto sea una realidad en la actualidad. “Pero este es al menos el comienzo de una mejor protección y es muy probable que crezca exponencialmente con confianza mientras se concentra con más solidez”, dice.
Los SOAR son herramientas poderosas
Cuando los SIEM aparecieron por primera vez en la década de 2000, fueron una excelente manera para que los equipos de seguridad de TI controlaran múltiples fuentes de datos y usaran esta información variable para hacer frente a los ataques cibernéticos. Pero Michael Morris, director de alianzas tecnológicas globales de Endace, cree que los SOAR están emergiendo como una solución más eficaz para los profesionales de la seguridad cibernética.
“Ahora los SOAR se están convirtiendo en la próxima plataforma imprescindible, que ofrece la promesa de ayudar a los equipos a mantenerse al día con superficies de ataque expandidas y fluidas y un volumen cada vez mayor de amenazas mediante la automatización y estandarización de los procesos de investigación y respuesta”, dice Morris.
Advierte que las amenazas a la seguridad de TI se están volviendo más sofisticadas, mientras que los tiempos de permanencia más largos facilitan que los ciberdelincuentes accedan a activos y datos críticos. Debido a esto, las plataformas SIEM y SOAR están ganando importancia a medida que las organizaciones apuntan cada vez más a “conectar indicadores de compromiso de las herramientas de monitoreo de seguridad, los datos de registro y el tráfico de la red”.
Morris agrega: “Juntas, estas plataformas pueden ayudar a los equipos a automatizar el análisis, la correlación y la preservación de la evidencia forense de posibles brechas de seguridad, dando a los equipos de SecOps tiempo para responder y una visión clara de lo que sucedió exactamente”.
Si los equipos de seguridad no utilizan las tecnologías SIEM y SOAR, Morris advierte que tendrán dificultades para mantenerse al día con los volúmenes crecientes de alertas cibernéticas, distinguir los falsos positivos de las amenazas genuinas y concentrar su tiempo en abordar los riesgos más graves.
“A su vez, eso dificulta ser más proactivo”, dice. “Pasan demasiado tiempo combatiendo incendios y carecen de tiempo para participar en la búsqueda de amenazas proactiva y desarrollar la experiencia y los conocimientos necesarios para lidiar con actores de amenazas más avanzados y ataques dirigidos más persistentes”.
Pero aunque las tecnologías SOAR ofrecen muchos beneficios, no siempre son fáciles de implementar si una organización no tiene experiencia previa. Mark Nicholls, CTO de Redscan, dice que el mayor desafío de la adopción de SOAR es la baja madurez de los procesos y procedimientos en los equipos de SOC.
Al adoptar un sistema SOAR, Nicholls recomienda que las organizaciones busquen el asesoramiento de expertos para asegurarse de que estén completamente preparadas y puedan aprovechar al máximo estas tecnologías. “Muchas organizaciones sufren expectativas poco realistas en torno a SOAR y métricas poco claras”, dice. “No es una solución milagrosa para abordar todos los desafíos de seguridad. Si las organizaciones no logran establecer casos de uso claramente definidos, objetivos realistas y parámetros para el éxito, inevitablemente se sentirán defraudados por los resultados “.
Además, dice, las organizaciones que buscan implementar soluciones SOAR deben comprender los diferentes elementos que deben automatizarse sin depender demasiado de la automatización. “Las organizaciones no deben simplemente confiar en los manuales y procesos establecidos inicialmente en SOAR”, agrega. “Deben asegurarse de aplicar la experiencia en seguridad actualizada para que su capacidad SOAR mejore a medida que madura la postura de seguridad de la organización y está continuamente lista para responder de manera eficaz a nuevos tipos de amenazas”.
Las organizaciones enfrentan una gran variedad de amenazas a la seguridad cibernética en la actualidad, y el panorama de las amenazas cibernéticas continúa creciendo rápidamente. Pero una forma excelente para que las empresas identifiquen y mitiguen los ataques cibernéticos es mediante el uso de una solución SIEM o SOAR. Si bien ambas son tecnologías excelentes para los equipos de seguridad modernos, parece que las tecnologías SOAR se están convirtiendo en la opción más popular y efectiva de las dos.