El concepto de Security Information and Event Management está incorporado en las soluciones de Seguridad Informática de alta gama. Tratamos en este informe de ir un poco más allá de la explicación técnica y analizamos en base a que parámetros evolucionó y lo seguirá haciendo.
La primera tecnología SIEM fue desarrollada para reducir los datos superfluos provenientes de la seguridad existente de dispositivos al descifrar tráfico de paquetes. Desafortunadamente, estos primeros productos SIEM no dieron buenos resultados por ser altamente complejos, poco flexibles e imposibles de escalar e integrar para mejorar el nivel de alerta contra ataques. Esto generaba una situación donde las mismas herramientas que habían sido concebidas para ahorrar tiempo a los analistas de seguridad, creaban sus propios problemas de gestión que a su vez demandaban mucho tiempo de resolución.
Aunque se trataba menos de un problema de la tecnología y más de procesos, la disparidad entre los requerimientos y la realidad significó que los SIEMs no eran una opción de seguridad viable y sólo se los utilizaba para cumplir reportes y análisis forenses muy limitados. Si una organización era atacada, se podía revisar el registro de datos y eventos de su SIEM para descubrir que era lo que había pasado y determinar con precisión el ataque, pero esto respondía más a un modelo de estrategia forense que preventivo.
Actualmente los hackers están violando los perímetros y estableciendo mejores posiciones dentro de las redes de las organizaciones. El incremento de Advanced Persistent Threats (APTs) generó cambios en materia de prevención y protección que llevó al renacimiento de los SIEMs. Estas herramientas son una parte fundamental de las estrategias de seguridad modernas.
Mientras que las herramientas SIEM tradicionales continúan trabajando para mantener el cumplimiento de estándares, las de nueva generación están integrando almacenaje y registro de datos de alta velocidad. Actualmente, los procesos tradicionalmente lentos y poco efectivos de los SIEMs están siendo mejorados significativamente. Los metadatos en particular están teniendo un rol preponderante para mejorar la visibilidad, racionalizar la capacidad de análisis y permitir a los especialistas en seguridad llevar a cabo de manera más eficaz y escalable la minería de datos y la interpretación del comportamiento del usuario.
Con metadatos no es necesario enviar cada paquete de información a un SIEM. En lugar de ello, los analistas pueden elegir con alto grado de detalle metadatos de alto valor y bajo volumen; información de certificados URL, DNS, SSL y códigos de respuesta http/HTTPS para un análisis de seguridad en tiempo real. Todo se reduce a ser capaz de ir a numerosos y variados conjuntos de datos con un problema en específico, extraer los datos correspondientes a ese problema, y crear registros altamente enriquecidos e individuales que van al SIEM para una detección en tiempo real del conocimiento de situaciones y detección de anomalías.
LA CLAVE PARA EL CANAL
SIEM alcanzó un grado de madurez significativo para enfrentar el actual escenario de riesgo.
Actualmente su implementación requiere no sólo de alto conocimiento por parte del Canal, sino de una fuerte inversión del lado del usuario. Estos dos parámetros deben disminuir para que el negocio prospere.
Este modelo no se detendrá aquí, evolucionará en sistemas expertos y aplicación de Inteligencia Artificial, de hecho algunas de las grandes marcas están trabajando en desarrollos concretos.









