La gestión de eventos e información de seguridad (SIEM) es un campo dentro de la seguridad informática que combina la gestión de información de seguridad (SIM) y la gestión de eventos de seguridad (SEM) para permitir el análisis en tiempo real de las alertas de seguridad generadas por aplicaciones y hardware de red. [1] [2] Los sistemas SIEM son fundamentales para el funcionamiento de los centros de operaciones de seguridad (SOC), donde se emplean para detectar, investigar y responder a incidentes de seguridad. [3] La tecnología SIEM recopila y agrega datos de varios sistemas, lo que permite a las organizaciones cumplir con los requisitos de cumplimiento y, al mismo tiempo, protegerse contra las amenazas.
Las herramientas SIEM se pueden implementar como software, hardware o servicios administrados. [4] Los sistemas SIEM registran eventos de seguridad y generan informes para cumplir con los marcos regulatorios como la Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA) y el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS). La integración de SIM y SEM dentro de SIEM proporciona a las organizaciones un enfoque centralizado para monitorear eventos de seguridad y responder a amenazas en tiempo real.
Introducido por primera vez por los analistas de Gartner Mark Nicolett y Amrit Williams en 2005, el término SIEM ha evolucionado para incorporar características avanzadas como inteligencia de amenazas y análisis de comportamiento, que permiten a las soluciones SIEM gestionar amenazas de ciberseguridad complejas, incluidas vulnerabilidades de día cero y malware polimórfico .
En los últimos años, la SIEM se ha incorporado cada vez más a las iniciativas nacionales de ciberseguridad. Por ejemplo, la Orden Ejecutiva 14028 firmada en 2021 por el presidente estadounidense Joseph Biden ordena el uso de tecnologías SIEM para mejorar la detección y notificación de incidentes en los sistemas federales. El cumplimiento de estos mandatos se refuerza aún más con marcos como NIST SP 800-92, que describe las mejores prácticas para gestionar los registros de seguridad informática. [2]
Inicialmente, el registro del sistema se utilizaba principalmente para la resolución de problemas y la depuración. Sin embargo, a medida que los sistemas operativos y las redes se han vuelto más complejos, también lo ha hecho la generación de registros del sistema. El monitoreo de los registros del sistema también se ha vuelto cada vez más común debido al aumento de los ciberataques sofisticados y la necesidad de cumplir con los marcos regulatorios, que exigen controles de seguridad de registro dentro de los marcos de gestión de riesgos (RMF).
A partir de finales de la década de 1970, los grupos de trabajo comenzaron a establecer criterios para gestionar los programas de auditoría y supervisión, sentando las bases para las prácticas modernas de ciberseguridad, como la detección de amenazas internas y la respuesta a incidentes. Una publicación clave durante este período fue la Publicación Especial 500-19 del NIST. [5]
En 2005, los analistas de Gartner Mark Nicolett y Amrit Williams introdujeron el término "SIEM" (Gestión de eventos e información de seguridad). Los sistemas SIEM proporcionan una única interfaz para recopilar datos de seguridad de los sistemas de información y presentarlos como información procesable. [6] El Instituto Nacional de Estándares y Tecnología proporciona la siguiente definición de SIEM: "Aplicación que proporciona la capacidad de recopilar datos de seguridad de los componentes del sistema de información y presentar esos datos como información procesable a través de una única interfaz". [2] Además, el NIST ha diseñado e implementado un RMF exigido a nivel federal.
Con la implementación de los RMF a nivel mundial, la auditoría y el monitoreo se han vuelto fundamentales para la seguridad y el aseguramiento de la información . Los profesionales de la ciberseguridad ahora dependen de los datos de registro para realizar funciones de seguridad en tiempo real, impulsadas por modelos de gobernanza que incorporan estos procesos en tareas analíticas. A medida que el aseguramiento de la información maduró a fines de la década de 1990 y en la década de 2000, se hizo evidente la necesidad de centralizar los registros del sistema. La gestión centralizada de registros permite una supervisión y coordinación más sencillas en todos los sistemas en red.
El 17 de mayo de 2021, el presidente de Estados Unidos, Joseph Biden, firmó la Orden Ejecutiva 14028, "Mejorar la ciberseguridad de la nación", que estableció más requisitos de registro, incluidos los registros de auditoría y la protección de puntos finales, para mejorar las capacidades de respuesta a incidentes. [7] Esta orden fue una respuesta a un aumento en los ataques de ransomware dirigidos a infraestructura crítica. Al reforzar los controles de seguridad de la información dentro de las RMF, la orden tenía como objetivo impulsar el cumplimiento y asegurar la financiación para las iniciativas de ciberseguridad.
Publicada en septiembre de 2006, la Guía NIST SP 800-92 para la gestión de registros de seguridad informática sirve como documento clave dentro del marco de gestión de riesgos del NIST para orientar lo que debería ser auditable. Como lo indica la ausencia del término "SIEM", el documento se publicó antes de la adopción generalizada de las tecnologías SIEM. [8] [9] Aunque la guía no es exhaustiva debido a los rápidos cambios en la tecnología desde su publicación, sigue siendo relevante al anticipar el crecimiento de la industria. El NIST no es la única fuente de orientación sobre los mecanismos regulatorios para la auditoría y el monitoreo, y se alienta a muchas organizaciones a adoptar soluciones SIEM en lugar de confiar únicamente en controles basados en host.
Varias regulaciones y estándares hacen referencia a la guía de registro del NIST, incluida la Ley Federal de Gestión de Seguridad de la Información (FISMA), [10] la Ley Gramm-Leach-Bliley (GLBA), [11] la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA), [12] la Ley Sarbanes-Oxley (SOX) de 2002, [13] el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS), [14] e ISO 27001. [15] Las organizaciones públicas y privadas frecuentemente hacen referencia a los documentos del NIST en sus políticas de seguridad.
El monitoreo de eventos AU-2 de NIST SP 800-53 es un control de seguridad clave que respalda la auditoría del sistema y garantiza el monitoreo continuo para las operaciones de seguridad cibernética y aseguramiento de la información. Las soluciones SIEM se emplean generalmente como herramientas centrales para estos esfuerzos. Los sistemas federales categorizados en función de su impacto en la confidencialidad, integridad y disponibilidad (CIA) tienen cinco requisitos de registro específicos (AU-2 ae) que se deben cumplir. [16] Si bien es posible registrar cada acción, generalmente no se recomienda debido al volumen de registros y la necesidad de datos de seguridad procesables. AU-2 proporciona una base para que las organizaciones desarrollen una estrategia de registro que se alinee con otros controles.
La norma NIST SP 800-53 SI-4 System Monitoring describe los requisitos para los sistemas de monitoreo, incluida la detección de acceso no autorizado y el seguimiento de anomalías, malware y posibles ataques. Este control de seguridad especifica los requisitos de hardware y software para detectar actividades sospechosas. [17] De manera similar, la norma NIST SP 800-53 RA-10 Threat Hunting, agregada en la Revisión 5, enfatiza la defensa proactiva de la red al identificar amenazas que evaden los controles tradicionales. Las soluciones SIEM desempeñan un papel fundamental en la agregación de información de seguridad para los equipos de búsqueda de amenazas. [18]
En conjunto, AU-2, SI-4 y RA-10 demuestran cómo los controles del NIST se integran en una estrategia de seguridad integral. Estos controles, respaldados por soluciones SIEM, ayudan a garantizar un monitoreo continuo, evaluaciones de riesgos y mecanismos de defensa en profundidad en redes federales y privadas. [18]
Las siglas SEM , SIM y SIEM a veces se han utilizado indistintamente, [19] pero generalmente se refieren a los diferentes enfoques principales de los productos:
En la práctica, muchos productos de esta área tendrán una combinación de estas funciones, por lo que a menudo habrá cierta superposición, y muchos proveedores comerciales también promueven su propia terminología. [21] A menudo, los proveedores comerciales ofrecen diferentes combinaciones de estas funcionalidades que tienden a mejorar SIEM en general. La gestión de registros por sí sola no proporciona información en tiempo real sobre la seguridad de la red, SEM por sí solo no proporcionará datos completos para un análisis profundo de las amenazas. Cuando SEM y la gestión de registros se combinan, hay más información disponible para que SIEM la monitorice.
Un objetivo clave es supervisar y ayudar a gestionar los privilegios de usuarios y servicios, los servicios de directorio y otros [ aclaración necesaria ] cambios de configuración del sistema; así como proporcionar auditoría y revisión de registros y respuesta a incidentes. [20]
Las arquitecturas SIEM pueden variar según el proveedor; sin embargo, en general, los componentes esenciales comprenden el motor SIEM. Los componentes esenciales de un SIEM son los siguientes: [25]
En la imagen de la derecha se muestra una infraestructura SIEM básica.
El investigador de seguridad informática Chris Kubecka identificó los siguientes casos de uso de SIEM, presentados en la conferencia de piratería 28C3 ( Chaos Communication Congress ). [30]
Los sistemas SIEM pueden tener cientos y miles de reglas de correlación. Algunas de ellas son simples y otras son más complejas. Una vez que se activa una regla de correlación, el sistema puede tomar las medidas adecuadas para mitigar un ciberataque. Por lo general, esto incluye enviar una notificación a un usuario y luego posiblemente limitar o incluso apagar el sistema.
La detección por fuerza bruta es relativamente sencilla. La fuerza bruta se relaciona con el intento constante de adivinar una variable. Por lo general, se refiere a alguien que intenta adivinar constantemente su contraseña, ya sea de forma manual o con una herramienta. Sin embargo, puede referirse a intentar adivinar URL o ubicaciones de archivos importantes en su sistema.
Un ataque de fuerza bruta automatizado es fácil de detectar, ya que es imposible que alguien intente ingresar su contraseña 60 veces en un minuto.
Cuando un usuario inicia sesión en un sistema, por lo general, se crea una marca de tiempo del evento. Junto con la hora, el sistema suele registrar otra información útil, como el dispositivo utilizado, la ubicación física, la dirección IP, los intentos de inicio de sesión incorrectos, etc. Cuantos más datos se recopilen, más uso se puede sacar de ellos. En el caso de viajes imposibles, el sistema analiza la fecha y hora actual y la última fecha y hora de inicio de sesión, así como la diferencia entre las distancias registradas. Si considera que no es posible que esto suceda (por ejemplo, viajar cientos de millas en un minuto), activará una advertencia.
Actualmente, muchos empleados y usuarios utilizan servicios VPN que pueden ocultar la ubicación física. Esto debe tenerse en cuenta al establecer una regla de este tipo.
El usuario medio no suele copiar ni mover archivos en el sistema de forma repetida. Por lo tanto, cualquier copia excesiva de archivos en un sistema podría atribuirse a un atacante que desea causar daño a una organización. Lamentablemente, no es tan sencillo como afirmar que alguien ha obtenido acceso a su red de forma ilegal y quiere robar información confidencial. También podría tratarse de un empleado que busca vender información de la empresa o simplemente podría querer llevarse algunos archivos a casa para el fin de semana.
Un ataque DDoS (denegación de servicio distribuida) puede causar daños importantes a una empresa u organización. Un ataque DDoS no solo puede dejar fuera de servicio un sitio web, sino que también puede debilitar un sistema. Con reglas de correlación adecuadas, un SIEM debería activar una alerta al comienzo del ataque para que la empresa pueda tomar las medidas de precaución necesarias para proteger los sistemas vitales.
El monitoreo de integridad y cambios de archivos (FIM) es el proceso de monitoreo de los archivos en su sistema. Los cambios inesperados en los archivos de su sistema activarán una alerta, ya que es una indicación probable de un ataque cibernético.
Algunos ejemplos de reglas personalizadas para alertar sobre condiciones de eventos incluyen reglas de autenticación de usuarios, ataques detectados e infecciones detectadas. [31]
Gestión de eventos e información de seguridad (SIEM)
...el acrónimo SIEM se utilizará de forma genérica para referirse...