SIEM: ¿más que una herramienta de generación de informes y útil como método de control?
En nuestro artículo reciente sobre la seguridad de endpoints “recuperando su atractivo”, un punto que hizo Neil Campbell, gerente general de seguridad de Dimension Data, que decidí no incluir, fue sobre el futuro de SIEM.
Dijo: “En este momento, la tecnología de gestión de eventos e incidentes de seguridad (SIEM) se trata de informar y no de controlar, y necesita expandirse para controlar y corregir o los jugadores clave desaparecerán mientras buscan seguridad que se ajuste a un ecosistema. que centraliza la comodidad en todas las capas.
“Este es el futuro del SIEM y la próxima expansión lógica. Si están buscando una forma de diferenciarse de la competencia, deben pasar al otro lado de la respuesta a incidentes «.
No es que hubiera nada incorrecto en lo que dijo, pero pensé que requería más investigación e interpretación. Le pregunté a Campbell qué quería decir con SIEM como un control de punto final. Dijo que no se trataba de que SIEM se convirtiera en una forma de detección o protección de intrusiones, ya que esa es solo otra fuente de información para un SIEM.
“Lo que quiero decir es que los SIEM expandirán su capacidad (y ya están comenzando a hacerlo) en el ámbito de la remediación, ya que a veces no es lo suficientemente bueno estar alerta de un incidente; desea responder automáticamente a un incidente con cambios de política ”, dijo.
«Tenga en cuenta que SIEM es bueno para identificar situaciones en las que un solo evento, que normalmente puede parecer inocuo, se vuelve mucho más preocupante cuando se combina con otros eventos en el medio ambiente».
Explicó que como un SIEM está conectado a todos los dispositivos clave en el entorno de un cliente, tiene sentido extender esa conexión para controlar a medida que recibe datos de eventos.
“Una vez que se tiene la capacidad de controlar una respuesta a un conjunto de circunstancias dado, no es un gran salto para los desarrolladores de la plataforma SIEM usar un SIEM para establecer políticas de manera centralizada en la red”, dijo.
Por el momento, SIEM es bueno para decir «Veo un incidente que deberías mirar más de cerca», pero Campbell predijo que pasarán a «Veo un incidente y estoy tomando las medidas que me dijiste que debería hacer cuando este sucede ”. En el futuro, dijo que esto pasará a «He configurado su red y aplicaciones para hacer cumplir las políticas que estableció y ahora estoy atento a los incidentes y responderé a los que me dijo».
Bueno, podemos esperar y ver, pero le pregunté a Piers Wilson, jefe de gestión de productos de Tier-3 Huntsman, quien recientemente describió el enfoque más ventajoso de la compañía para SIEM, sobre qué pensaba de esta posible dirección.
Dijo que pensaba que “la dirección de viaje es la correcta”, ya que ciertamente hay un llamado a una tecnología SIEM más inteligente que vaya más allá de simplemente marcar casillas de cumplimiento, escribir informes y detectar combinaciones preprogramadas de eventos.
Dijo: “Hemos visto (y de hecho, originalmente se concibió para abordar) la necesidad de análisis más profundos, mejor detección de anomalías y capacidad en tiempo real. Es cierto que tener la capacidad de responder cuando se detectan problemas es útil, aunque gran parte de la demanda de esto que estamos viendo no es para realizar bloqueos directos o conjuntos de operaciones activas, es decir, omitir completamente a los humanos del ciclo de toma de decisiones. es más sutil que eso.
“Una respuesta más inteligente, a la que nos suscribimos, es anticipar las preguntas que hará el analista de seguridad y juzgar qué información necesitarán para tomar una decisión. Recopilar automáticamente esos datos en el momento de una alerta (que podría provenir de un IPS, por ejemplo) y realizar el análisis en su nombre significa que el operador puede confirmar rápidamente un ataque real y responder, o juzgar con seguridad algo como falso. positivo.»
Wilson lo llamó una función de ejecución de procesos y orquestación, y junto con un conjunto de herramientas que permite acciones preprogramadas para evitar el ataque, deshabilitar una cuenta no autorizada, bloquear una fuga, contener un problema, etc. con la red de seguridad de una pista de auditoría y regresión. capacidad, entonces se puede construir un flujo de trabajo realmente hábil y efectivo.
Joe Schreiber, director de arquitectura de soluciones en AlienVault, le dijo a IT Security Guru que desea que haya un mejor nombre para SIEM, tal vez algo así como «Administración y automatización de gran información y cumplimiento» (MAGIC), pero tal vez SIEM tiene un problema de percepción. .
«A menudo se ve como una herramienta desalentadora, que requiere equipos de personas para configurarla, equipos de personas para administrarla y un doctorado para comprender su resultado», dijo. “Como muchas cosas mal entendidas, una vez que las conoces te das cuenta de que no son tan intimidantes como esperabas.
“SIEM en su esencia es realmente una herramienta de automatización. A menudo, el resultado de esta automatización es una alerta / alarma para que alguien investigue, pero este proceso se puede utilizar para mucho más. Como cualquier buena herramienta, SIEM puede ahorrarle tiempo y, con recursos limitados, el tiempo es valioso «.
Sí, funciona y se ve como una opción reactiva, pero ¿podría ser este un camino a seguir para que SIEM participe en la protección de los puntos finales? Lo que dijo Campbell tiene cierto sentido, ya que ahí es donde está la inteligencia, pero ¿quién hace el cambio: el proveedor que fabrica el producto, el administrador que lo ejecuta o el CISO que hace la inversión?