Erin O´Malley, Senior Solutions Marketing Manager de Gigamon
Para entender que es SIEM (security information & event management), es importante entender primero cuando fue que las personas empezaron a preocuparse por la seguridad de red. Para hacer eso, necesitamos dar un paso atrás en el tiempo.
En 1983, meses después de que el presidente de Estados Unidos Ronald Reagan anunció la iniciativa Strategic Defense Initiative (Star Wars), sistema de misiles antibalísticos enfocado a contraatacar los misiles intercontinentales de la extinta Unión Soviética (ICBMs). En ese tiempo no sólo la película del mismo nombre era una tema de conversación en todo el mundo sino los cuestionamientos que el presidente Reagan tuvo que hacerse: Tengo que detener el desconcierto?, es esto plausible?
De hecho, así fue. Como lo dijo Fred Kaplan en Dark Territory: The Secret History of Cyber War (publicado ese año), la historia no estaba tan alejada de la realidad. Y aunque en 1983 los mainframes reinaban, era tiempo donde la red comenzó a cobrar relevancia (DARPA tenía una “infraestructura de red”) – Para 1994, cuando SSL fue inventado, la World Wide Web empezaba a despegar y cada vez más usuarios se dieron cuenta que esta vasta realidad en línea tenía un potencial de maduración para ser monetizable y explotable. De pronto, lo que tuvo un valor, se convirtió en algo que proteger.
SIEM – Primer acto
Esa historia no sólo es aplicable a SIEMs, pero nos da una visión progresiva que deriva en la creación de los primeros SIEMs. Desde el momento en que productos de seguridad, antivirus, firewalls, IPS, IDS empezaron a inundar el mercado, los equipos de tecnologías de la información, empezaron a vivir verdaderas pesadillas. Eran bombardeados por alertas, enterrados en registros y necesitaban una forma de tecnología adyacente para ayudar a reducir el número de eventos IDS e IPS.
¿Qué es mejor que un SIEM?
La tecnología SIEM inicial fue desarrollada para reducir el ruido proveniente de la seguridad existente de dispositivos al descifrar la señal del ruido. Desafortunadamente, estos primeros productos SIEM fueron decepcionantes – renombrados por ser altamente complejos, inflexibles, imposibles de escalar e integrar para mejorar el nivel de alerta contra ataques, esto sin mencionar que eran excesivamente sensibles. Por lo tanto las mismas herramientas que habían sido concebidas para ahorrar tiempo a los analistas de seguridad, crearon sus propios problemas de gestión que a su vez demandaban mucho tiempo. Todo parecía levantar una bandera roja, inundando las bandejas de entrada de las personas con alertas de todo tipo.
Mientras estas herramientas eran buenas para encontrar lo que se les pedía encontrar, los equipos de seguridad buscaban desesperadamente formas para revelar un montón de amenazas desconocidas. Aunque se trataba menos de un problema de la tecnología y más sobre los procesos, la disparidad entre los requerimientos y la realidad significó que los SIEMs no eran una opción de seguridad viable, en menor medida, estaban relegados a cumplir reportes y análisis forense muy limitados. Seguro, una organización si era atacada, podía revisar el registro de datos y eventos de su SIEM – envés de muchos dispositivos para descubrir que era lo que había pasado y determinar con precisión el ataque. Simplemente no era viable.
SIEM – Segundo Acto
Hoy es casi un hecho consumado que los hackers están violando los perímetros y estableciendo mejores posiciones dentro de las redes de las organizaciones. El incremento en advanced persistent threats (APTs) ha llevado a cambios radicales en materia de prevención y protección; un renacimiento de los SIEMs. Estas herramientas no sólo están regresando a sus orígenes sino que en muchos casos, están siendo pilares en las estrategias de seguridad modernas.
Mientras las tradicionales herramientas SIEM tradicionales continúan trabajando para mantener compliance, las de nueva generación están integrando de origen almacenaje y registro de datos de alta velocidad. Actualmente, los procesos tradicionalmente lentos y poco efectivos de los SIEMs están siendo mejorados significativamente. Los metadatos en particular está teniendo un rol principal en mejorar la visibilidad, racionalizar la capacidad de análisis y permitir a los especialistas en seguridad, llevar a cabo de manera más eficaz y escalable la minería de datos y la interpretación del comportamiento del usuario.
Con metadatos no es necesario enviar cada paquete de información a un SIEM. Envés de ello, los analistas pueden elegir con alto grado de detalle metadatos de alto valor y bajo volumen; información de certificados URL, DNS, SSL; códigos de respuesta http/HTTPS para un análisis de seguridad en tiempo real. Todo se reduce a ser capaz de ir a numerosos y variados conjuntos de datos con un problema en específico, extraer los datos correspondientes a ese problema, y crear registros de resumen altamente enriquecido e individuales que van al SIEM para una detección en tiempo real del conocimiento de situaciones y detección de anomalías.
El juego ha cambiado. Mientras en 1983 War Games concluía que la única forma de ganar el juego era no jugarlo, las organizaciones no tienen hoy esa opción. Ellas necesitan jugar en línea y por suerte, los SIEMs están de vuelta para ayudar en el juego de la seguridad de redes.