Comunicaciones y Sistemas, Soluciones y consultoría, Tecnología

¿Qué es un SIEM?

Índice del contenido

Amenazas y posibles defensas

Este es el primer articulo de una serie que tratará sobre los sistemas de información y gestión de eventos (SIEM por sus siglas en inglés). En esta primera parte definiremos grosso modo y sin entrar en mucho detalle los ataques a los que estamos expuestos actualmente:

En los días que corren, las empresas están cada vez más expuestas a ataques (los cuales van creciendo tanto en cantidad como en complejidad). Lo que hace tiempo se hacía por diversión, notoriedad, reconocimiento o por probarse a uno mismo; ha pasado a convertirse en un negocio que mueve cada vez más dinero (la ciberdelincuencia está llegando a cifras de cientos o miles de millones de dólares, y haciendo que se tenga que invertir una cantidad exponencialmente mayor para mitigarla), un negocio muy ‘profesionalizado’ y casi al alcance de cualquier persona con ánimo de ‘hacer el mal’, puesto que en la DarkWeb se pueden encontrar ‘kits de exploits’ que con un par de simples ‘clicks’ de ratón pueden realizar diversidad de ataques (DDoS, Botnets, instalación de malware, campañas de Spam o Phising, etc…) lo cual hace que no sean necesarios amplios conocimientos técnicos , esto también es conocido como MaaS (Malware as a Service)

Diversidad de ataques informáticos:

Existe una amplia variedad de ataques, sin entrar en demasiados detalles listaremos aquí algunos de ellos:

  • Ransomware: Es un malware que encripta tus ficheros con una clave privada, haciendo que sean totalmente inaccesibles sin dicha clave. Su principal objetivo son archivos ofimáticos (hoja de cálculo, documentos, bases de datos, presentaciones, PDFs, etc..), imágenes, correos y cualquier tipo de archivo o contenido que (generalmente) haya sido creado por el usuario.
  • DDoS: Se basa en saturar un servidor con una cantidad enorme de peticiones hasta agotar sus recursos, haciendo que este deje de responder (propósito principal de un servidor). No suele provocar daños en el servidor más allá de no estar disponible mientras dura el ataque (imaginemos esto en una página de comercio electrónico, las consecuencias pueden ser desastrosas, quizás no tanto en una web de propósito simplemente informativo). Estos ataques también tienen varias subcategorias (SlowRead, SYN Flood)
  • Remote Access Tool (R.A.T): Modalidad de malware que permite el acceso a la máquina comprometida como si estuviésemos sentados delante de ella.
  • Phising: Es un ataque que se enfoca más en la ingeniería social, mediante un correo electrónico que suplanta alguna entidad de confianza (banco, servicio postal, empresa de servicios) nos redirige a una web para que introduzcamos nuestros datos, capturando de esta manera nuestra información personal.
  • Fuga o robo de datos: Uno de los ataques más ‘peligrosos’, al ser el que se produce (normalmente) desde dentro de nuestras instalaciones y por personal propio (algún empleado disgustado, espionaje industrial o alguien descontento con la organización pero que tiene la confianza de la misma).

Actuación frente a estos ataques:

Como se ha comentado anteriormente, el nivel de los ataques ha crecido en complejidad en muy poco tiempo, de forma que las defensas tradicionales (antivirus, firewalls, IDS, IPS, etc…) se quedan cortas para prevenir, mitigar y resolver los problemas que estos ataques puedan ocasionar. Esto sumado a la gran cantidad de datos que se recogen desde los diferentes puntos de información hacen la tarea de detección de amenazas un trabajo costoso (tanto en tiempo como en esfuerzo).

Para solucionar esta problemática, han aparecido en escena los ‘SIEM’ (Security Information and Event Management), Información de Seguridad y Gestión de Eventos, herramientas que para este propósito están demostrando que son verdaderamente efectivos.

Propósito y definición de un SIEM

¿Qué hace un SIEM?

Los SIEMs realizan diversas funciones, capturando y recibiendo tanto eventos como “flows” de red, pueden realizar una visión holística del entorno donde están instalados para entenderlo en su totalidad. Una vez instalado y configurado, sus tareas son:

  • Agregar datos desde una gran cantidad de fuentes de datos (eventos), que pueden ser tanto servidores, dispositivos de electrónica de red, como IoT, ordenadores de sobremesa, dispositivos móviles y prácticamente cualquier dispositivo que se pueda conectar a la red. Estos datos y el “estudio” de los mismos son los que hacen que el SIEM pueda identificar ataques y/o amenazas. Utilizar normalización para los eventos, de modo que puede recoger el nombre de usuario de diferentes fuentes aunque el campo de este sea “username”,”user” o “login”. Esto se puede hacer mediante los “parsers” propio

Hay que tener en cuenta que no todos los eventos son de seguridad, con lo que un SIEM debería recoger solo eventos relacionados con la seguridad.

  • Correlación de datos, integra los datos recibidos (o recogidos) desde los “recolectores de eventos”, para mediante un proceso de “machine learning” convertir estos en resultados entendibles y cómodos para tratar desde un punto de vista ágil.

 

  • Dashboards, son paneles o consolas de control desde las cuales podemos, de prácticamente un vistazo, hacernos una idea del estado de los componentes, así como del resultado de la información recogida. Estos paneles pueden mostrar una gran variedad de información (estado del sistema, número de eventos recogidos, número de eventos procesados, resultado de escaneados de vulnerabilidades, nivel de emergencia, etc..)

No te pierdas mis siguientes entregas.

¡Te esperamos!

Comparte
Share on facebook
Share on twitter
Share on linkedin
Share on email

No es sólo un blog

Noticias y avances sobre
tecnología

¿No está el horno para bollos con tus...
¿Qué es MindSphere? MindSphere es la plataforma en...
¿Trazabilidad de la industria alimentaria en blockchain? La...
Para muchas pyme la estrategia de adaptación y...
Microsoft Dynamics para ventas con Sales, la aplicación...

¡Gracias!

Tu formulario se ha enviado correctamente-