SIEM para una defensa en profundidad

Hoy en día los ataques a organizaciones son cada vez más sofisticados e inmunes a la detección por parte de dispositivos IDS/IPS convencionales. Las indicios de posibles actividades maliciosas pueden ser difíciles de observar y pueden llegar a pasar desapercibidas. Se hace necesario por tanto revisar y correlar los eventos de varios dispositivos de nuestra red para encadenar y entender una serie de sucesos que nos lleven a la posibilidad real de detectar una posible intrusión en nuestros sistemas.

Aquí es donde entra SIEM, una solución que nos ayudará a detectar y a seguir la pista a estos posibles ataques y no perdernos entre los innumerables logs y alertas de nuestros heterogéneos sistemas.

¿Pero qué es exactamente SIEM? El acrónimo significa Gestión de la Seguridad de la Información y Gestión de Eventos y podemos decir que es una combinación de SEM (Gestión de Eventos) y SIM (Gestión de la Seguridad de la Información).

SEM proporciona monitoreo en tiempo real y gestión de eventos de TI de apoyo a las operaciones de seguridad. SEM requiere varias capacidades: la recopilación de eventos y datos, agregación y correlación en tiempo casi real, un control dinámico de la consola para ver y administrar los eventos y la generación de respuesta automática para los eventos de seguridad.

SIM ofrece un análisis más histórico y la presentación de informes de datos de eventos de seguridad. Esto requiere la recopilación de eventos/datos y correlación (pero no en tiempo real), un índice de repositorio de datos de registro y consulta flexible y capacidades de informe.

Actualmente en el mercado de la seguridad existen diversas soluciones globales SIEM que ofrecen una gestión central para estas dos características. Algunos productos caen más en una u otra área del SIM o el SEM, y otros afirman que son capaces de ofrecer ambas bondades con "demasiada ligereza". Lo mejor es enumerar nuestras necesidades y evaluar alguno de estos u otros productos antes de implantarnos definitivamente en nuestra empresa:

* Alert Logic - Log Manager
* AlienVault - OSSIM
* ArcSight - ArcSight Enterprise Security Manager
* Cisco - Security MARS
* Enterasys - DSCC
* IBM - Tivoli Security Information and Event Manager
* NetIQ - Security Manager
* NitroView - ESM
* Q1 Labs - QRadar SIEM
* RSA Security - RSA enVision Platform
* Tenable - Tenable's Security Center 3.4 con Log Correlation Engine 3.2
* TriGeo Network Security - TriGeo SIM

En definitiva las herramientas o soluciones SIEM nos ayudarán a identificar y responder a ataques que podrían pasar desapercibidos por nuestros IDS convencionales. Además nos ayudarán a administrar y archivar nuestros logs más fácilmente y a generar valiosos informes. No nos solucionarán todos los problemas de seguridad, pero se tratan de métodos efectivos para una "defensa en profundidad"...

4 comentarios :

  1. Hey! no se olviden de OSSIM (Open Source SIM), aunque ya fue adquirido por AlientVault, aún existe una opción de open source muy interesante y poderosa

    ResponderEliminar
  2. Para nada nos olvidamos de OSSIM, aparece segundo en la lista y es una opción interesantísima!

    ResponderEliminar
  3. Disculpen talves un manual de OSSIM, que me puedan colaborar, y si es Open Source se puede modificar el codigo par cambiar propiedades y asi corregir los erros que presenta.

    ResponderEliminar
  4. Y que me dicen del SIEM de Trustwave ????

    ResponderEliminar