SIEM para una defensa en profundidad

Hoy en día los ataques a organizaciones son cada vez más sofisticados e inmunes a la detección por parte de dispositivos IDS/IPS convencionales. Las indicios de posibles actividades maliciosas pueden ser difíciles de observar y pueden llegar a pasar desapercibidas. Se hace necesario por tanto revisar y correlar los eventos de varios dispositivos de nuestra red para encadenar y entender una serie de sucesos que nos lleven a la posibilidad real de detectar una posible intrusión en nuestros sistemas.

Aquí es donde entra SIEM, una solución que nos ayudará a detectar y a seguir la pista a estos posibles ataques y no perdernos entre los innumerables logs y alertas de nuestros heterogéneos sistemas.

¿Pero qué es exactamente SIEM? El acrónimo significa Gestión de la Seguridad de la Información y Gestión de Eventos y podemos decir que es una combinación de SEM (Gestión de Eventos) y SIM (Gestión de la Seguridad de la Información).

SEM proporciona monitoreo en tiempo real y gestión de eventos de TI de apoyo a las operaciones de seguridad. SEM requiere varias capacidades: la recopilación de eventos y datos, agregación y correlación en tiempo casi real, un control dinámico de la consola para ver y administrar los eventos y la generación de respuesta automática para los eventos de seguridad.

SIM ofrece un análisis más histórico y la presentación de informes de datos de eventos de seguridad. Esto requiere la recopilación de eventos/datos y correlación (pero no en tiempo real), un índice de repositorio de datos de registro y consulta flexible y capacidades de informe.

Actualmente en el mercado de la seguridad existen diversas soluciones globales SIEM que ofrecen una gestión central para estas dos características. Algunos productos caen más en una u otra área del SIM o el SEM, y otros afirman que son capaces de ofrecer ambas bondades con "demasiada ligereza". Lo mejor es enumerar nuestras necesidades y evaluar alguno de estos u otros productos antes de implantarnos definitivamente en nuestra empresa:

* Alert Logic - Log Manager
* AlienVault - OSSIM
* ArcSight - ArcSight Enterprise Security Manager
* Cisco - Security MARS
* Enterasys - DSCC
* IBM - Tivoli Security Information and Event Manager
* NetIQ - Security Manager
* NitroView - ESM
* Q1 Labs - QRadar SIEM
* RSA Security - RSA enVision Platform
* Tenable - Tenable's Security Center 3.4 con Log Correlation Engine 3.2
* TriGeo Network Security - TriGeo SIM

En definitiva las herramientas o soluciones SIEM nos ayudarán a identificar y responder a ataques que podrían pasar desapercibidos por nuestros IDS convencionales. Además nos ayudarán a administrar y archivar nuestros logs más fácilmente y a generar valiosos informes. No nos solucionarán todos los problemas de seguridad, pero se tratan de métodos efectivos para una "defensa en profundidad"...

Comentarios

  1. Hey! no se olviden de OSSIM (Open Source SIM), aunque ya fue adquirido por AlientVault, aún existe una opción de open source muy interesante y poderosa

    ResponderEliminar
  2. Para nada nos olvidamos de OSSIM, aparece segundo en la lista y es una opción interesantísima!

    ResponderEliminar
  3. Disculpen talves un manual de OSSIM, que me puedan colaborar, y si es Open Source se puede modificar el codigo par cambiar propiedades y asi corregir los erros que presenta.

    ResponderEliminar
  4. Y que me dicen del SIEM de Trustwave ????

    ResponderEliminar

Publicar un comentario