Gestión de eventos e información de seguridad

Seguridad informática

La gestión de eventos e información de seguridad (SIEM) es un campo dentro de la seguridad informática que combina la gestión de información de seguridad (SIM) y la gestión de eventos de seguridad (SEM) para permitir el análisis en tiempo real de las alertas de seguridad generadas por aplicaciones y hardware de red. ^{[1] [2]} Los sistemas SIEM son fundamentales para el funcionamiento de los centros de operaciones de seguridad (SOC), donde se emplean para detectar, investigar y responder a incidentes de seguridad. ^[3] La tecnología SIEM recopila y agrega datos de varios sistemas, lo que permite a las organizaciones cumplir con los requisitos de cumplimiento y, al mismo tiempo, protegerse contra las amenazas.

Las herramientas SIEM se pueden implementar como software, hardware o servicios administrados. ^[4] Los sistemas SIEM registran eventos de seguridad y generan informes para cumplir con los marcos regulatorios como la Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA) y el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS). La integración de SIM y SEM dentro de SIEM proporciona a las organizaciones un enfoque centralizado para monitorear eventos de seguridad y responder a amenazas en tiempo real.

Introducido por primera vez por los analistas de Gartner Mark Nicolett y Amrit Williams en 2005, el término SIEM ha evolucionado para incorporar características avanzadas como inteligencia de amenazas y análisis de comportamiento, que permiten a las soluciones SIEM gestionar amenazas de ciberseguridad complejas, incluidas vulnerabilidades de día cero y malware polimórfico .

En los últimos años, la SIEM se ha incorporado cada vez más a las iniciativas nacionales de ciberseguridad. Por ejemplo, la Orden Ejecutiva 14028 firmada en 2021 por el presidente estadounidense Joseph Biden ordena el uso de tecnologías SIEM para mejorar la detección y notificación de incidentes en los sistemas federales. El cumplimiento de estos mandatos se refuerza aún más con marcos como NIST SP 800-92, que describe las mejores prácticas para gestionar los registros de seguridad informática. ^[2]

Historia

Inicialmente, el registro del sistema se utilizaba principalmente para la resolución de problemas y la depuración. Sin embargo, a medida que los sistemas operativos y las redes se han vuelto más complejos, también lo ha hecho la generación de registros del sistema. El monitoreo de los registros del sistema también se ha vuelto cada vez más común debido al aumento de los ciberataques sofisticados y la necesidad de cumplir con los marcos regulatorios, que exigen controles de seguridad de registro dentro de los marcos de gestión de riesgos (RMF).

A partir de finales de la década de 1970, los grupos de trabajo comenzaron a establecer criterios para gestionar los programas de auditoría y supervisión, sentando las bases para las prácticas modernas de ciberseguridad, como la detección de amenazas internas y la respuesta a incidentes. Una publicación clave durante este período fue la Publicación Especial 500-19 del NIST. ^[5]

En 2005, los analistas de Gartner Mark Nicolett y Amrit Williams introdujeron el término "SIEM" (Gestión de eventos e información de seguridad). Los sistemas SIEM proporcionan una única interfaz para recopilar datos de seguridad de los sistemas de información y presentarlos como información procesable. ^[6] El Instituto Nacional de Estándares y Tecnología proporciona la siguiente definición de SIEM: "Aplicación que proporciona la capacidad de recopilar datos de seguridad de los componentes del sistema de información y presentar esos datos como información procesable a través de una única interfaz". ^[2]  Además, el NIST ha diseñado e implementado un RMF exigido a nivel federal.

Con la implementación de los RMF a nivel mundial, la auditoría y el monitoreo se han vuelto fundamentales para la seguridad y el aseguramiento de la información . Los profesionales de la ciberseguridad ahora dependen de los datos de registro para realizar funciones de seguridad en tiempo real, impulsadas por modelos de gobernanza que incorporan estos procesos en tareas analíticas. A medida que el aseguramiento de la información maduró a fines de la década de 1990 y en la década de 2000, se hizo evidente la necesidad de centralizar los registros del sistema. La gestión centralizada de registros permite una supervisión y coordinación más sencillas en todos los sistemas en red.

El 17 de mayo de 2021, el presidente de Estados Unidos, Joseph Biden, firmó la Orden Ejecutiva 14028, "Mejorar la ciberseguridad de la nación", que estableció más requisitos de registro, incluidos los registros de auditoría y la protección de puntos finales, para mejorar las capacidades de respuesta a incidentes. ^[7] Esta orden fue una respuesta a un aumento en los ataques de ransomware dirigidos a infraestructura crítica. Al reforzar los controles de seguridad de la información dentro de las RMF, la orden tenía como objetivo impulsar el cumplimiento y asegurar la financiación para las iniciativas de ciberseguridad.

Aseguramiento de la información

Publicada en septiembre de 2006, la Guía NIST SP 800-92 para la gestión de registros de seguridad informática sirve como documento clave dentro del marco de gestión de riesgos del NIST para orientar lo que debería ser auditable. Como lo indica la ausencia del término "SIEM", el documento se publicó antes de la adopción generalizada de las tecnologías SIEM. ^{[8] [9]} Aunque la guía no es exhaustiva debido a los rápidos cambios en la tecnología desde su publicación, sigue siendo relevante al anticipar el crecimiento de la industria. El NIST no es la única fuente de orientación sobre los mecanismos regulatorios para la auditoría y el monitoreo, y se alienta a muchas organizaciones a adoptar soluciones SIEM en lugar de confiar únicamente en controles basados ​​en host.

Varias regulaciones y estándares hacen referencia a la guía de registro del NIST, incluida la Ley Federal de Gestión de Seguridad de la Información (FISMA), ^[10] la Ley Gramm-Leach-Bliley (GLBA), ^[11] la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA), ^[12] la Ley Sarbanes-Oxley (SOX) de 2002, ^[13] el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS), ^[14] e ISO 27001. ^[15] Las organizaciones públicas y privadas frecuentemente hacen referencia a los documentos del NIST en sus políticas de seguridad.

El monitoreo de eventos AU-2 de NIST SP 800-53 es un control de seguridad clave que respalda la auditoría del sistema y garantiza el monitoreo continuo para las operaciones de seguridad cibernética y aseguramiento de la información. Las soluciones SIEM se emplean generalmente como herramientas centrales para estos esfuerzos. Los sistemas federales categorizados en función de su impacto en la confidencialidad, integridad y disponibilidad (CIA) tienen cinco requisitos de registro específicos (AU-2 ae) que se deben cumplir. ^[16] Si bien es posible registrar cada acción, generalmente no se recomienda debido al volumen de registros y la necesidad de datos de seguridad procesables. AU-2 proporciona una base para que las organizaciones desarrollen una estrategia de registro que se alinee con otros controles.

La norma NIST SP 800-53 SI-4 System Monitoring describe los requisitos para los sistemas de monitoreo, incluida la detección de acceso no autorizado y el seguimiento de anomalías, malware y posibles ataques. Este control de seguridad especifica los requisitos de hardware y software para detectar actividades sospechosas. ^[17] De manera similar, la norma NIST SP 800-53 RA-10 Threat Hunting, agregada en la Revisión 5, enfatiza la defensa proactiva de la red al identificar amenazas que evaden los controles tradicionales. Las soluciones SIEM desempeñan un papel fundamental en la agregación de información de seguridad para los equipos de búsqueda de amenazas. ^[18]

En conjunto, AU-2, SI-4 y RA-10 demuestran cómo los controles del NIST se integran en una estrategia de seguridad integral. Estos controles, respaldados por soluciones SIEM, ayudan a garantizar un monitoreo continuo, evaluaciones de riesgos y mecanismos de defensa en profundidad en redes federales y privadas. ^[18]

Terminología

Las siglas SEM , SIM y SIEM a veces se han utilizado indistintamente, ^[19] pero generalmente se refieren a los diferentes enfoques principales de los productos:

• Gestión de registros : se centra en la recopilación y el almacenamiento sencillos de mensajes de registro y pistas de auditoría . ^[8]
• Gestión de información de seguridad ( SIM ): almacenamiento a largo plazo, así como análisis y generación de informes de datos de registro. ^[20]
• Gestor de eventos de seguridad ( SEM ): Monitoreo en tiempo real, correlación de eventos, notificaciones y vistas de consola.
• Gestión de eventos e información de seguridad (SIEM): combina SIM y SEM y proporciona análisis en tiempo real de las alertas de seguridad generadas por el hardware y las aplicaciones de la red. ^{[4] [ cita requerida ]}
• Servicio de seguridad gestionado ( MSS ) o Proveedor de servicios de seguridad gestionados (MSSP): Los servicios gestionados más comunes parecen evolucionar en torno a la conectividad y el ancho de banda, la supervisión de la red, la seguridad, la virtualización y la recuperación ante desastres.
• Seguridad como servicio ( SECaaS ) : estos servicios de seguridad a menudo incluyen autenticación , antivirus , antimalware /spyware, detección de intrusiones , pruebas de penetración y gestión de eventos de seguridad, entre otros.

En la práctica, muchos productos de esta área tendrán una combinación de estas funciones, por lo que a menudo habrá cierta superposición, y muchos proveedores comerciales también promueven su propia terminología. ^[21] A menudo, los proveedores comerciales ofrecen diferentes combinaciones de estas funcionalidades que tienden a mejorar SIEM en general. La gestión de registros por sí sola no proporciona información en tiempo real sobre la seguridad de la red, SEM por sí solo no proporcionará datos completos para un análisis profundo de las amenazas. Cuando SEM y la gestión de registros se combinan, hay más información disponible para que SIEM la monitorice.

Un objetivo clave es supervisar y ayudar a gestionar los privilegios de usuarios y servicios, los servicios de directorio y otros ^{[ aclaración necesaria ]} cambios de configuración del sistema; así como proporcionar auditoría y revisión de registros y respuesta a incidentes. ^[20]

Capacidades

• Agregación de datos: la gestión de registros agrega datos de muchas fuentes, incluidas redes, seguridad, servidores, bases de datos y aplicaciones, lo que proporciona la capacidad de consolidar datos monitoreados para ayudar a evitar la pérdida de eventos cruciales.
• Correlación: busca atributos comunes y vincula eventos en paquetes significativos. Esta tecnología brinda la capacidad de realizar una variedad de técnicas de correlación para integrar diferentes fuentes, con el fin de convertir los datos en información útil. La correlación es típicamente una función de la parte de Gestión de Eventos de Seguridad de una solución SIEM completa. ^[22]
• Alerta: El análisis automatizado de eventos correlacionados.
• Paneles de control: las herramientas pueden tomar datos de eventos y convertirlos en gráficos informativos para ayudar a ver patrones o identificar actividades que no forman un patrón estándar.
• Cumplimiento: Se pueden emplear aplicaciones para automatizar la recopilación de datos de cumplimiento, generando informes que se adapten a los procesos de seguridad, gobernanza y auditoría existentes. ^[23]
• Retención: Utilizar el almacenamiento a largo plazo de datos históricos para facilitar la correlación de datos a lo largo del tiempo y proporcionar la retención necesaria para los requisitos de cumplimiento. La retención a largo plazo de datos de registro es fundamental en las investigaciones forenses, ya que es poco probable que el descubrimiento de una violación de la red se produzca en el momento en que se produce la violación. ^[24]
• Análisis forense: la capacidad de buscar en registros de distintos nodos y períodos de tiempo según criterios específicos. Esto evita tener que agregar información de registros en la cabeza o tener que buscar entre miles y miles de registros. ^[23]

Componentes

Infraestructura básica SIEM

Las arquitecturas SIEM pueden variar según el proveedor; sin embargo, en general, los componentes esenciales comprenden el motor SIEM. Los componentes esenciales de un SIEM son los siguientes: ^[25]

• Un recopilador de datos reenvía registros de auditoría seleccionados desde un host (transmisión de registros basada en agente o basada en host a un índice y punto de agregación) ^{[26] [27]}
• Un punto de agregación de puntos de ingesta e indexación para análisis, correlación y normalización de datos ^[28]
• Un nodo de búsqueda que se utiliza para visualización, consultas, informes y alertas (el análisis se realiza en un nodo de búsqueda) ^[29]

En la imagen de la derecha se muestra una infraestructura SIEM básica.

Casos de uso

El investigador de seguridad informática Chris Kubecka identificó los siguientes casos de uso de SIEM, presentados en la conferencia de piratería 28C3 ( Chaos Communication Congress ). ^[30]

• La visibilidad y detección de anomalías de SIEM podrían ayudar a detectar códigos polimórficos o de día cero , principalmente debido a las bajas tasas de detección de antivirus contra este tipo de malware que cambia rápidamente.
• El análisis, la normalización y la categorización de registros pueden ocurrir automáticamente, independientemente del tipo de computadora o dispositivo de red, siempre que pueda enviar un registro.
• La visualización con un SIEM utilizando eventos de seguridad y fallas de registros puede ayudar en la detección de patrones.
• Las anomalías de protocolo que pueden indicar una configuración incorrecta o un problema de seguridad se pueden identificar con un SIEM utilizando detección de patrones, alertas, líneas de base y paneles de control.
• SIEMS puede detectar comunicaciones encubiertas, maliciosas y canales cifrados.
• Los SIEM pueden detectar la ciberguerra con precisión, descubriendo tanto a los atacantes como a las víctimas.

Ejemplos de reglas de correlación

Los sistemas SIEM pueden tener cientos y miles de reglas de correlación. Algunas de ellas son simples y otras son más complejas. Una vez que se activa una regla de correlación, el sistema puede tomar las medidas adecuadas para mitigar un ciberataque. Por lo general, esto incluye enviar una notificación a un usuario y luego posiblemente limitar o incluso apagar el sistema.

Detección de fuerza bruta

La detección por fuerza bruta es relativamente sencilla. La fuerza bruta se relaciona con el intento constante de adivinar una variable. Por lo general, se refiere a alguien que intenta adivinar constantemente su contraseña, ya sea de forma manual o con una herramienta. Sin embargo, puede referirse a intentar adivinar URL o ubicaciones de archivos importantes en su sistema.

Un ataque de fuerza bruta automatizado es fácil de detectar, ya que es imposible que alguien intente ingresar su contraseña 60 veces en un minuto.

Viaje imposible

Cuando un usuario inicia sesión en un sistema, por lo general, se crea una marca de tiempo del evento. Junto con la hora, el sistema suele registrar otra información útil, como el dispositivo utilizado, la ubicación física, la dirección IP, los intentos de inicio de sesión incorrectos, etc. Cuantos más datos se recopilen, más uso se puede sacar de ellos. En el caso de viajes imposibles, el sistema analiza la fecha y hora actual y la última fecha y hora de inicio de sesión, así como la diferencia entre las distancias registradas. Si considera que no es posible que esto suceda (por ejemplo, viajar cientos de millas en un minuto), activará una advertencia.

Actualmente, muchos empleados y usuarios utilizan servicios VPN que pueden ocultar la ubicación física. Esto debe tenerse en cuenta al establecer una regla de este tipo.

Copia excesiva de archivos

El usuario medio no suele copiar ni mover archivos en el sistema de forma repetida. Por lo tanto, cualquier copia excesiva de archivos en un sistema podría atribuirse a un atacante que desea causar daño a una organización. Lamentablemente, no es tan sencillo como afirmar que alguien ha obtenido acceso a su red de forma ilegal y quiere robar información confidencial. También podría tratarse de un empleado que busca vender información de la empresa o simplemente podría querer llevarse a casa algunos archivos para el fin de semana.

Ataque DDoS

Un ataque DDoS (denegación de servicio distribuida) puede causar daños importantes a una empresa u organización. Un ataque DDoS no solo puede dejar fuera de servicio un sitio web, sino que también puede debilitar un sistema. Con reglas de correlación adecuadas, un SIEM debería activar una alerta al comienzo del ataque para que la empresa pueda tomar las medidas de precaución necesarias para proteger los sistemas vitales.

Cambio de integridad de archivo

El monitoreo de integridad y cambios de archivos (FIM) es el proceso de monitoreo de los archivos en su sistema. Los cambios inesperados en los archivos de su sistema activarán una alerta, ya que es una indicación probable de un ataque cibernético.

Ejemplos de alertas

Algunos ejemplos de reglas personalizadas para alertar sobre condiciones de eventos incluyen reglas de autenticación de usuarios, ataques detectados e infecciones detectadas. ^[31]

Véase también

• Gestión de incidentes de seguridad informática
• Modelo Gordon-Loeb para inversiones en ciberseguridad
• Riesgo de TI
• Gestión de registros
• Detección y respuesta de red
• Orquestación , automatización y respuesta de seguridad

Referencias

1. "¿Qué es SIEM?". IBM . 2024 . Consultado el 25 de enero de 2024 .
2. Johnson, Arnold; Dempsey, Kelley; Ross, Ron; Gupta, Sarbari; Bailey, Dennis (10 de octubre de 2019). "Guía para la gestión de la configuración de sistemas de información centrada en la seguridad" (PDF) . Instituto Nacional de Normas y Tecnología . doi :10.6028/nist.sp.800-128. S2CID  63907907 . Consultado el 23 de enero de 2024 .
3. Cinco, Marcello; Cotroneo, Domenico; Pecchia, Antonio (2018). Desafíos y direcciones en la gestión de eventos e información de seguridad (SIEM). págs. 95–99. doi :10.1109/ISSREW.2018.00-24. ISBN 978-1-5386-9443-5. Recuperado el 2 de febrero de 2024 .
4. "SIEM: una instantánea del mercado". Dr. Dobb's Journal. 5 de febrero de 2007.
5. Ruthberg, Zella; McKenzie, Robert (1 de octubre de 1977). Auditoría y evaluación de la seguridad informática. Departamento de Comercio de los Estados Unidos . doi :10.6028/NBS.SP.500-19 . Consultado el 23 de enero de 2024 .
6. Williams, Amrit (2005-05-02). "Mejore la seguridad de TI con la gestión de vulnerabilidades" . Consultado el 9 de abril de 2016. Gestión de eventos e información de seguridad (SIEM)
7. "Mejorar la ciberseguridad de la nación". Registro Federal . 2021-05-17 . Consultado el 2021-07-28 .
8. Kent, Karen; Souppaya, Murugiah (13 de septiembre de 2006). "Guía para la gestión de registros de seguridad informática". Instituto Nacional de Normas y Tecnología . doi :10.6028/NIST.SP.800-92. S2CID  221183642. Consultado el 24 de enero de 2024 .
9. "Marco de gestión de riesgos del NIST". Instituto Nacional de Normas y Tecnología . 7 de noviembre de 2024. Consultado el 25 de enero de 2024 .
10. División de Seguridad Informática, Laboratorio de Tecnología de la Información (30 de noviembre de 2016). «Marco de gestión de riesgos del NIST | CSRC | CSRC». CSRC | NIST . Consultado el 23 de julio de 2021 .
11. "Entendiendo el marco de ciberseguridad del NIST". Comisión Federal de Comercio . 2018-10-05 . Consultado el 2021-07-23 .
12. Derechos Civiles (OCR), Oficina de Derechos Civiles (2009-11-20). "Resumen de la regla de seguridad de HIPAA". HHS.gov . Consultado el 23 de julio de 2021 .
13. "El papel de la seguridad de la información en el cumplimiento de la ley Sarbanes-Oxley". Problemas en los sistemas de información . 2005. doi : 10.48009/2_iis_2005_124-130 . ISSN  1529-7314.
14. "Asignación de PCI DSS v3_2_1 al marco de ciberseguridad del NIST v1_1" (PDF) . Julio de 2019.
15. "NIST SP 800-53, Revisión 5, asignaciones de control a ISO/IEC 27001". 10 de diciembre de 2020.
16. "Marco de gestión de riesgos para sistemas de información y organizaciones" (PDF) . Instituto Nacional de Normas y Tecnología . Diciembre de 2018. doi :10.6028/nist.sp.800-37r2 . Consultado el 24 de enero de 2024 .
17. División de Seguridad Informática, Laboratorio de Tecnología de la Información (30 de noviembre de 2016). "Búsqueda de versiones - Marco de gestión de riesgos del NIST | CSRC | CSRC". CSRC | NIST . Consultado el 19 de julio de 2021 .
18. "Controles de seguridad y privacidad para sistemas de información y organizaciones" (PDF) . Instituto Nacional de Estándares y Tecnología . 12 de octubre de 2020. doi :10.6028/NIST.SP.800-53r5 . Consultado el 24 de enero de 2024 .
19. Swift, David (26 de diciembre de 2006). "A Practical Application of SIM/SEM/SIEM, Automating Threat Identification" (PDF) . SANS Institute . p. 3 . Consultado el 14 de mayo de 2014 . ...el acrónimo SIEM se utilizará de forma genérica para referirse...
20. Jamil, Amir (29 de marzo de 2010). "La diferencia entre SEM, SIM y SIEM".
21. Bhatt, S.; Manadhata, PK; Zomlot, L. (2014). "El papel operativo de los sistemas de gestión de eventos e información de seguridad". IEEE Security & Privacy . 12 (5): 35–41. doi :10.1109/MSP.2014.103. S2CID  16419710.
22. Correlación Archivado el 19 de octubre de 2014 en Wayback Machine.
23. "Gestión del cumplimiento y automatización del cumplimiento: cómo y con qué eficiencia, parte 1". accelops.net . Archivado desde el original el 23 de julio de 2011 . Consultado el 2 de mayo de 2018 .
24. "Informe de investigaciones sobre violaciones de datos de 2018 | Verizon Enterprise Solutions". Verizon Enterprise Solutions . Consultado el 2 de mayo de 2018 .
25. Kotenko, Igor; Polubelova, Olga; Saenko, Igor (noviembre de 2012). "El enfoque ontológico para la implementación de repositorios de datos SIEM". Conferencia internacional IEEE 2012 sobre informática y comunicaciones ecológicas . Besançon, Francia: IEEE. págs. 761–766. doi :10.1109/GreenCom.2012.125. ISBN. 978-1-4673-5146-1.S2CID18920083  .​
26. Kotenko, Igor; Chechulin, Andrey (noviembre de 2012). "Marco común para el modelado de ataques y la evaluación de la seguridad en sistemas SIEM". Conferencia internacional IEEE de 2012 sobre informática y comunicaciones ecológicas . págs. 94–101. doi :10.1109/GreenCom.2012.24. ISBN 978-1-4673-5146-1. Número de identificación del sujeto  15834187.
27. Karl-Bridge-Microsoft. "Clave de registro de eventos: aplicaciones Win32". docs.microsoft.com . Consultado el 18 de julio de 2021 .
28. Kotenko, Igor; Polubelova, Olga; Saenko, Igor (noviembre de 2012). "El enfoque ontológico para la implementación de repositorios de datos SIEM". Conferencia internacional IEEE de 2012 sobre informática y comunicaciones ecológicas . págs. 761–766. doi :10.1109/GreenCom.2012.125. ISBN 978-1-4673-5146-1.S2CID18920083  .​
29. Azodi, Amir; Jaeger, David; Cheng, Feng; Meinel, Christoph (diciembre de 2013). "Superando los límites de la normalización de eventos para mejorar la detección de ataques en sistemas IDS/SIEM". Conferencia internacional de 2013 sobre nube avanzada y big data . págs. 69–76. doi :10.1109/CBD.2013.27. ISBN 978-1-4799-3261-0.S2CID1066886  .​
30. "28c3: Visualización de registros de seguridad con un motor de correlación". YouTube . 29 de diciembre de 2011. Archivado desde el original el 2021-12-15 . Consultado el 4 de noviembre de 2017 .
31. Swift, David (2010). "Estrategias exitosas de SIEM y gestión de registros para auditoría y cumplimiento normativo". SANS Institute .

Enlaces externos

• Reglas esenciales de correlación SIEM para el cumplimiento.