No se puede asegurar lo que no se puede ver. De hecho, las encuestas nos dicen que, en promedio, los ciberdelincuentes están en tu sistema durante casi 300 días antes de que se den cuenta. ¿Por qué sucede esto? Es porque los sistemas que utilizamos para descubrir estas incidencias a menudo tienen lagunas en su comprensión y no se puede asegurar lo que no se puede ver. Entonces, ¿qué utilizamos para buscar este tipo de incidentes cuando alguien está infiltrándose? Bueno, utilizamos una tecnología llamada sistema de gestión de la información y eventos de seguridad, o SIEM por sus siglas en inglés. Y lo que hacemos con un SIEM es tomar diferentes dispositivos que tenemos en nuestro entorno. Digamos, tal vez un firewall, tal vez un sistema de prevención de intrusos en la red, tal vez un sistema en el que voy a reunir todos los registros de ese sistema. Tomo toda esa información y la envío al SIEM, donde tengo una base de datos donde se almacena esa información. Luego, tengo un analista de seguridad en el SIEM que toma la información una vez que ha sido recopilada, agregada, correlacionada, y le aplica una política de seguridad para descubrir, en tiempo real, cuando alguien ha ingresado a nuestros sistemas. Así que eso debería funcionar muy bien. Y en general, así es. Pero hay algunas limitaciones. ¿Por qué tenemos limitaciones? Bueno, resulta que muchas organizaciones tienen otros sistemas que no están alimentando su SIEM. Tal vez un sistema de detección y respuesta en el punto final. Podría ser que a través de una adquisición o fusión tengas otro SIEM que adquiriste de la otra organización y no esté alimentando la información. Y luego, muchas organizaciones están creando lo que llaman lagos de datos, donde están recopilando información de seguridad para realizar análisis propios utilizando sus propios científicos de datos que trabajan en la empresa. Y todas estas cosas en conjunto constituyen una «brecha en el SIEM». Estas son las brechas que afectan nuestra visibilidad. Lo que necesito es una vista más integrada que me permita ver todas estas cosas a la vez. Bueno, ¿qué impide eso? En muchos casos, el costo. Es el hecho de que cuanto más información suba a mi SIEM, más caro se vuelve el SIEM. Así es como se fijan la mayoría de estos precios. Entonces, hay información que necesito para la alerta en tiempo real y otra información que tal vez necesite para análisis forense, para búsqueda de amenazas, para análisis posterior. Entonces, lo que realmente me gustaría tener es algo que complemente la capacidad que acabo de describir con un SIEM. Y les sugiero que eso podría ser algo como una capacidad de búsqueda federada. En la búsqueda federada, en lugar de llevar toda la información, como hicimos aquí con el SIEM, notarán que esta es una aproximación muy global, en realidad, lo que quiero hacer con la búsqueda federada es dejar los datos en su lugar y luego ir a buscarlos justo a tiempo. Así que notarán que no tengo la base de datos masiva donde se recopila todo por adelantado. Puedo tener solo la información que debe estar en el SIEM y luego usarla como una forma de informarme cuando necesito realizar una investigación. Ahora mi analista se encuentra aquí y puede ver las alarmas que llegan. Y, en algunos casos, vincularé el SIEM con la capacidad de búsqueda federada. Así que ahora tengo la capacidad de buscar en todas estas otras áreas que antes estaban oscuras, así como en el SIEM, en un sistema integrado. Y lo que esto hace por mí ahora con la búsqueda federada, es que dejo los datos en su lugar. ¿Por qué es útil eso? Dejar los datos en su lugar ayuda a reducir costos. Por lo tanto, bajamos los costos porque no estoy enviando toda la información al SIEM. Al dejar los datos en su lugar, tengo una operación más eficiente. Una operación más eficiente significa que no tengo que procesar toda esa información por adelantado. Puedo obtener las partes que necesito por adelantado y el resto las obtengo solo cuando las necesito. Les sugiero que esta aproximación global, complementada con una aproximación específica, te brinda lo mejor de ambos mundos. Como mencioné al principio, no se puede asegurar lo que no se puede ver. Entonces, necesitamos cubrir las brechas en la visibilidad que tenemos. Necesitamos eliminar las brechas en el SIEM. Y esta es una forma de hacerlo. Gracias por leer. Recuerda dar Like a este artículo y suscribirte a nuestro blog para que podamos seguir ofreciéndote contenido relevante.
Tabla de resumen
| Concepto | Solucion |
|---|---|
| Limitaciones del SIEM | Buscar una capacidad de búsqueda federada que complemente el SIEM |
| Costos del SIEM | Dejar los datos en su lugar y utilizar una búsqueda federada para reducir costos |
| Brechas en la visibilidad | Utilizar una búsqueda federada para tener una vista más integrada y eliminar las brechas en el SIEM |
Preguntas frecuentes (FAQs)
1. ¿Qué es un SIEM?
R: Un SIEM es un sistema de gestión de la información y eventos de seguridad que recopila, correlaciona y analiza los registros de diferentes dispositivos en un entorno de red para detectar y responder a posibles incidentes de seguridad.
2. ¿Qué es la capacidad de búsqueda federada?
R: La capacidad de búsqueda federada es una tecnología que permite buscar y acceder a información almacenada en diferentes sistemas o fuentes de datos sin tener que llevar dicha información a un punto centralizado.
3. ¿Cómo ayuda la búsqueda federada a llenar las brechas en la visibilidad del SIEM?
R: La búsqueda federada complementa el SIEM al permitir el acceso y búsqueda de información en sistemas que no están directamente integrados con el SIEM, lo que ayuda a obtener una visión más completa de posibles amenazas y llenar las brechas en la visibilidad.
Gracias por leer este artículo. Esperamos que te haya resultado útil y te anime a leer otros artículos relacionados en nuestro blog. ¡Nos vemos pronto!
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!