Hoy todas las organizaciones cuentan con al menos dos soluciones de seguridad informática, algunas de ellas siguen lineamientos de seguridad como “compliance” (ISO, SOX, PCI, etc) y otras no tanto; pero la mayoría cuenta con algún procedimiento de seguridad de la información.
Ahora, ¿todas estas organizaciones cuentan con una verdadera postura de seguridad informática? En primer lugar, ¿qué es seguridad informática?
Según la Universidad internacional de Valencia la seguridad informática “abarca una serie de medidas de seguridad, tales como programas de software de antivirus, firewalls, y otras medidas que dependen del usuario, tales como la activación de la desactivación de ciertas funciones de software, como scripts de Java, ActiveX, cuidar del uso adecuado de la computadora, los recursos de red o de Internet.”
Muy bien, pero hay algo en seguridad informática que muchos olvidan y es el “uso indebido de los recursos”.
Imagínese que tiene una infraestructura tecnológica por la cual velar, donde se tienen firewalls para proteger el perímetro y antimalware en los dispositivos finales para protegerlos de software malicioso y robo de información sobre los periféricos (USB,CD/DVD,etc).
Un funcionario de la organización con accesos privilegiados (ya que su rol lo amerita) ingresa a la infraestructura desde la comodidad de su hogar mediante una VPN e instala un software para realizar minería de criptomonedas, y a su vez obtener un backup de una base de datos donde a este usuario le han informado que no lo haga.
Lo anterior no es un ejemplo de ataques informáticos, ni malware ni robo de información, esto hace parte del mal uso de los recursos tecnológicos en una organización, pero es un elemento esencial para la seguridad informática.
¿Cómo podemos verlo?
Para ello es importante optar por una visibilidad 360° de la infraestructura tecnológica, “si no podemos ver, no podemos proteger” ni mucho menos tomar acciones, ni obtener mediciones, ni ningún otro procedimiento de seguridad de la información.
El primer paso para optar por una buena postura de seguridad informática es la visibilidad; ¿cómo lo hacemos?
Security Information and Event Management (SIEM) por sus siglas en ingles, es un mecanismo de gestión de eventos de seguridad de los recursos en una infraestructura que conlleva a una centralización y almacenamiento para correlacionar e interpretar datos relevantes de seguridad informática, dicho de otro modo es la visión de todos los eventos de los recursos a nivel de seguridad informática.
Una herramienta de SIEM brinda una visión holística de toda la red, si encuentra algún posible evento anómalo, lo detectará y lo informará a un administrador o centro de operaciones de seguridad llamado SOC.
Un SIEM no solamente es una solución reactiva sino también proactiva. Imagine un ladrón entrando a un banco; ingresa, observa todas las cámaras de seguridad, empieza a tener comportamientos extraños a diferencia de los demás usuarios y observa el banco todos los días de 3:00 a 5:00 pm.
En uno de esos días, el guardia de seguridad se percata de este usuario con comportamientos extraños y le solicita que se retire del banco, ya las cámaras, los guardias de seguridad y los funcionarios del banco lo han detectado, pero este usuario no ha realizado nada malo, solo es una medida preventiva ya que su comportamiento no es similar al de los otros usuarios.
Esto mismo pasa con el SIEM, esta herramienta detecta cualquier actividad extraña antes de un posible ataque, malware o cualquier intrusión y automáticamente lo reporta para que el administrador tome decisiones antes de que suceda un siniestro.
¿Cómo las herramientas de SIEM detectan ataques y amenazas de malware recientes?
Para ello es importante saber que una herramienta SIEM debe estar alineada a la inteligencia de amenazas.
Advanced Threat Analytics (ATA) es análisis de amenazas avanzado; es un repositorio de amenazas ciberneticas que constantemente investiga direcciones IP, URL y dominios maliciosos. Es una nube de amenazas que alimenta a una organización con estas nuevas amenazas para identificar los riesgos de manera temprana.
En vista de la evolución de los ciberataques se han visto en la necesidad de tener un formato estándar de intercambio de amenazas a nivel mundial, este es denominado STIX Structured Threat Informatione Xpression, este es un formato estructurado para intercambiar información de nuevas amenazas globales desde base de datos de amenazas bajo el protocolo TAXII, este ultimo es el protocolo de conducción de la información de bases de datos de amenazas.
Organizaciones open source de inteligencia de amenazas como Hail a Taxii, AlienVault Open Threat Exchange (OTX) son repositorios que alimentan a herramientas tales como un SIEM con el fin de que esta obtenga mas información de las amenazas globales y pueda proteger su organización.
En pocas palabras una herramienta de SIEM es útil y necesaria para obtener visibilidad de las operaciones usuario-Recurso y a su vez ser alimentada por una fuente de amenazas globales para garantizar una postura de seguridad frente a eventos anómalos en la red.
Log360 es la solución SIEM perfecta habilitada con funciones de inteligencia artificial para brindar una protección total desde un método preventivo de amenazas. Encuentre los recursos gratuitos disponibles para conocer más sobre la importancia de una óptima gestión de seguridad informática.
