SIEM

SIEM (Gestión de información y eventos de seguridad) es una combinación de dos términos que denotan el alcance del software: SIM ( Gestión de información de seguridad ) - gestión de información de seguridad, y SEM ( Gestión de eventos de seguridad ) - gestión de eventos de seguridad.

La tecnología SIEM proporciona un análisis en tiempo real de los eventos de seguridad (alarmas) de los dispositivos y aplicaciones de la red, y le permite responder antes de que ocurra un daño significativo [1] .

Resumen

Con la creciente cantidad de información que se procesa y transfiere entre diferentes sistemas de información (IS), las organizaciones y los usuarios individuales dependen cada vez más de la continuidad y corrección de estos procesos. Para responder a las amenazas de seguridad en SI, es necesario contar con herramientas que permitan analizar en tiempo real los eventos en curso, cuyo número no deja de crecer. Una solución a este problema es el uso de sistemas SIEM [2] . El principio fundamental del sistema SIEM es que los datos de seguridad del sistema de información se recopilan de diversas fuentes y el resultado de su procesamiento se presenta en una única interfaz a disposición de los analistas de seguridad, lo que facilita el estudio de los rasgos característicos correspondientes a los incidentes de seguridad. SIEM es una combinación de sistemas de gestión de seguridad de la información (SIM) y gestión de eventos de seguridad (SEM) en un solo sistema de gestión de seguridad. El segmento SIM es el principal responsable del análisis de datos históricos, tratando de mejorar la eficiencia a largo plazo del sistema y optimizar el almacenamiento de datos históricos. El segmento SEM, por el contrario, se centra en descargar cierta cantidad de información de los datos disponibles, con la ayuda de la cual se pueden identificar incidentes de seguridad de forma inmediata. A medida que crece la necesidad de características adicionales, la funcionalidad de esta categoría de productos se amplía y complementa continuamente.

Uno de los principales objetivos del uso de los sistemas SIEM es aumentar el nivel de seguridad de la información en la arquitectura existente al brindar la capacidad de manipular la información de seguridad y administrar de manera proactiva los incidentes y eventos de seguridad casi en tiempo real [3] .

La gestión proactiva de incidentes y eventos de seguridad consiste en tomar decisiones antes de que la situación se vuelva crítica. Dicho control puede llevarse a cabo utilizando mecanismos automáticos que predicen eventos futuros en base a datos históricos, así como el ajuste automático de los parámetros de monitoreo de eventos a un estado específico del sistema [4] .

SIEM está representado por aplicaciones, dispositivos o servicios, y también se utiliza para el registro de datos y la generación de informes para la compatibilidad con otros datos comerciales.

El concepto de gestión de eventos de seguridad de la información (SIEM), presentado por Mark Nicolett y Amrit Williams de Gartner en 2005, describe la funcionalidad de recopilar, analizar y presentar información de dispositivos de red y seguridad, identidad (gestión de credenciales) y aplicaciones de control de acceso, herramientas manteniendo la política de seguridad y rastreando vulnerabilidades , sistemas operativos , bases de datos y registros de aplicaciones, así como información sobre amenazas externas. La atención se centra en la gestión de privilegios de usuarios y servicios, servicios de directorio y otros cambios de configuración, así como en la auditoría y revisión de registros, respuestas a incidentes [5] .

Tareas a resolver

• recopilación, procesamiento y análisis de eventos de seguridad que ingresan al sistema desde una variedad de fuentes;
• detección en tiempo real de ataques y violaciones de criterios y políticas de seguridad ;
• evaluación operativa de la seguridad de la información, las telecomunicaciones y otros recursos críticos;
• análisis y gestión de riesgos de seguridad ;
• realizar investigaciones de incidentes;
• tomar decisiones efectivas sobre seguridad de la información;
• formación de documentos informativos.

Fuentes de datos

• Control de Acceso, Autenticación. Se utilizan para monitorear el control de acceso a los sistemas de información y el uso de privilegios.
• sistemas DLP. Información sobre intentos de filtraciones de información privilegiada, violación de los derechos de acceso .
• Sistemas IDS/IPS. Transportar datos sobre ataques a la red, cambios de configuración y acceso a dispositivos.
• Aplicaciones antivirus. Generan eventos sobre el estado del software, bases de datos, cambios en configuraciones y políticas y código malicioso.
• Registros de eventos de servidores y estaciones de trabajo . Se utilizan para control de acceso, continuidad, cumplimiento de políticas de seguridad de la información.
• cortafuegos _ Información sobre ataques, malware y más.
• Equipo activo de red. Se utiliza para control de acceso, contabilidad de tráfico de red.
• Escáneres de vulnerabilidades . Datos sobre el inventario de activos, servicios, software, vulnerabilidades, suministro de datos de inventario y estructura topológica.
• Sistemas de inventario y gestión de activos. Proporcionar datos para controlar los activos de infraestructura e identificar nuevos.
• Sistemas de filtrado web. Proporcionar datos sobre visitas a sitios web sospechosos o prohibidos por parte de los empleados.

Arquitectura

Por lo general, un sistema SIEM se implementa sobre un sistema de información protegido y tiene una arquitectura de "fuentes de datos" - "almacenamiento de datos" - " servidor de aplicaciones ". Las soluciones SIEM son dispositivos integrados (todo en uno) o complejos de dos y tres componentes. La arquitectura distribuida generalmente implica un mayor rendimiento y una mejor escalabilidad, y también le permite implementar una solución SIEM en infraestructuras de TI con múltiples sitios.

Los agentes realizan el procesamiento inicial, el filtrado y la recopilación de eventos de seguridad.

La transferencia de información desde las fuentes de datos se puede realizar de varias formas:

• la fuente misma inicia la transmisión de eventos (por ejemplo, envía a través del protocolo syslog);
• los eventos de la fuente se toman pasivamente.

Considere el uso de estos métodos en la práctica. Con la primera opción, todo es bastante simple: la dirección IP del dispositivo que recopila los eventos (colector) se indica en la fuente y los eventos se envían al destino. La segunda opción incluye la recopilación de información con agente o sin agente, y en algunos sistemas SIEM ambos métodos están disponibles para algunas fuentes. El método basado en agentes implica el uso de un programa de agente especial, el método sin agente: configuración de origen de eventos, como la creación de cuentas adicionales, permitir el acceso remoto y/o el uso de protocolos adicionales.

La información recopilada y filtrada sobre eventos de seguridad ingresa al almacén de datos, donde se almacena en un formato de representación interna para su uso y análisis posterior por parte del servidor de aplicaciones.

El servidor de aplicaciones implementa las funciones básicas de seguridad de la información. Analiza la información almacenada en el repositorio y la transforma para generar alertas o decisiones de gestión de seguridad de la información .

En base a esto, en el sistema SIEM se distinguen los siguientes niveles de su construcción [6] :

• recopilación de datos: realizada desde fuentes de varios tipos, por ejemplo, servidores de archivos, firewalls, programas antivirus;
• gestión de datos: los datos almacenados en el repositorio se emiten a petición de los modelos de análisis de datos;
• análisis de datos: resultados en informes predefinidos y de forma libre, correlación en vivo de datos de eventos y alertas.

Operación SIEM

Para resolver las tareas planteadas, los sistemas SIEM de primera generación utilizan la normalización, filtrado, clasificación, agregación, correlación y priorización de eventos, así como la generación de informes y avisos [1] . En los sistemas SIEM de última generación, también habría que añadir a su número el análisis de eventos, incidentes y sus consecuencias, así como la toma de decisiones y visualización.

La normalización lleva los formatos de las entradas de registro recopiladas de varias fuentes a un único formato interno, que luego se utilizará para su almacenamiento y procesamiento posterior. Filtrar eventos de seguridad es eliminar eventos redundantes de flujos que ingresan al sistema. La clasificación permite asignar atributos de eventos de seguridad a clases específicas. La agregación combina eventos que son similares en ciertas características. La correlación revela relaciones entre eventos diferentes. La priorización determina la importancia y la criticidad de los eventos de seguridad en función de las reglas definidas en el sistema. El análisis de eventos, incidentes y sus consecuencias incluye los procedimientos de modelado de eventos, ataques y sus consecuencias, análisis de vulnerabilidades y seguridad del sistema, determinación de parámetros de infractores, evaluación de riesgos, previsión de eventos e incidentes. La generación de informes y alertas significa generar, transmitir, mostrar o imprimir los resultados de la operación. La visualización implica la presentación en forma gráfica de datos que caracterizan los resultados del análisis de los eventos de seguridad y el estado del sistema protegido y sus elementos.

Funcionalidad

• Agregación de datos: gestión de registros de datos; los datos se recopilan de varias fuentes: dispositivos y servicios de red, sensores del sistema de seguridad, servidores, bases de datos, aplicaciones; se proporciona consolidación de datos para buscar eventos críticos.
• Correlación: encontrar atributos comunes, vincular eventos en grupos significativos . La tecnología prevé el uso de varias técnicas para integrar datos de varias fuentes para convertir datos sin procesar en información significativa. La correlación es una característica típica de un subconjunto de la gestión de eventos de seguridad.
• Notificación: análisis automatizado de eventos correlacionados y generación de notificaciones (alarmas) sobre problemas actuales. La notificación puede mostrarse en el "panel de control" de la propia aplicación o enviarse a otros canales de terceros: correo electrónico, puerta de enlace GSM, etc.
• Herramientas de visualización (paneles): Visualice gráficos para ayudar a identificar patrones distintos al comportamiento estándar.
• Compatibilidad (transformabilidad): el uso de aplicaciones para automatizar la recopilación de datos, informes para adaptar los datos agregados a los procesos de auditoría y gestión de seguridad de la información existentes.
• Retención de datos: aplicación de un almacén de datos históricos a largo plazo para correlacionar datos a lo largo del tiempo y proporcionar capacidad de transformación. El almacenamiento de datos a largo plazo es fundamental para el análisis forense informático, ya que es poco probable que la investigación de un incidente en la red se lleve a cabo en el mismo momento de la violación.
• Análisis experto: la capacidad de buscar a través de múltiples revistas en diferentes nodos; se puede realizar como parte del software y la experiencia técnica.

Visión general de los sistemas modernos

Según un estudio de Garther, los siguientes sistemas estuvieron entre los líderes en 2018: Splunk, IBM y LogRhythm [7] . He aquí una breve descripción de ellos:

IBM ofrece una solución SIEM integral llamada Tivoli Security Information and Event Manager (TSIEM). TSIEM permite, por un lado, auditar eventos de seguridad para el cumplimiento de políticas internas y diversos estándares internacionales y, por otro lado, manejar incidentes de seguridad de la información y detectar ataques y otras amenazas a los elementos de la infraestructura. En el campo de la presentación y almacenamiento de eventos, TSIEM utiliza la metodología patentada W7 (Quién, hizo qué, Cuándo, Dónde, De dónde, Dónde y sobre qué), según la cual todos los eventos se transforman en un único formato comprensible para los administradores de seguridad. , auditores y gerentes. TSIEM también tiene capacidades avanzadas de generación de informes y monitoreo de la actividad del usuario.

Splunk es otra solución de registro comercial comercializada como una solución de "búsqueda de TI" que está integrada en productos como Cisco System IronPort. Con una interfaz web, Splunk es intuitivo de configurar y administrar. Splunk adopta un enfoque bastante fácil de usar para el diseño de la interfaz, simplificando la experiencia inicial para el administrador menos experimentado. Al igual que muchos productos de registro similares, los informes son parte del producto base y, en el caso de Splunk, son relativamente fáciles de usar. Los tipos comunes de formatos de representación de datos están disponibles en los menús desplegables de la pantalla. Una de las cosas buenas de la interfaz web de Splunk es que cualquier informe se puede proporcionar como una URL, lo que permite que otras personas de la organización vean los informes específicos que el administrador del sistema crea para ellos.

LogRhythm Inc. es una empresa de seguridad estadounidense que integra la gestión de eventos e información de seguridad (SIEM), la gestión de registros, la supervisión de redes y terminales, y el análisis y la seguridad. LogRhythm afirma ayudar a los clientes a detectar y responder rápidamente a las amenazas cibernéticas antes de que ocurran daños significativos. También tiene como objetivo proporcionar automatización y cumplimiento normativo. Los productos de LogRhythm están diseñados para ayudar a las organizaciones a proteger sus redes y optimizar las operaciones. También ayudan a automatizar la recopilación, organización, análisis, archivo y recuperación de datos de registro, lo que permite a las empresas cumplir con las políticas de retención de datos de registro. Los componentes del producto incluyen recopilación de datos, monitoreo de sistemas y redes, módulos analíticos, registro y gestión de eventos.

Recientemente, han aparecido en el mercado soluciones domésticas, entre ellas:

KOMRAD Enterprise SIEM es capaz de monitorear unificadamente los eventos de seguridad de la información, identificar incidentes de seguridad de la información emergentes, responder rápidamente a las amenazas emergentes, cumplir con los requisitos para proteger la información personal y puede garantizar la seguridad de los sistemas de información estatales. Se pueden considerar las ventajas de usar este sistema: soporte para una gran cantidad de plataformas, notificación y respuesta oportunas a varios tipos de amenazas, la posibilidad de configuraciones flexibles, administración de configuración remota, recopilación de información de fuentes de eventos no estándar.

Security Capsule es el primer sistema de control de seguridad de la información ruso. Es el más accesible entre los sistemas SIEM utilizados en Rusia. Tiene las siguientes cualidades: detección de ataques a la red tanto en perímetros locales como globales, detección de infecciones de virus, capacidad de registrar eventos en el sistema operativo utilizado, dar cuenta de las acciones de las personas que interactúan con el sistema de gestión de la base de datos.

MaxPatrol SIEM es un sistema que tiene una evaluación objetiva del nivel de seguridad de los departamentos, nodos y aplicaciones individuales, y de todo el sistema en su conjunto. En comparación con el producto de software anterior, se destaca por su mayor costo. Este sistema se caracteriza por el uso de mecanismos de análisis heurístico y una base de conocimiento formada capaz de comprobar los sistemas operativos más comunes y equipos especializados. A diferencia de los sistemas SIEM clásicos, no necesita instalar componentes de software en los nodos, lo que simplifica enormemente el proceso de uso y reduce el costo final de propiedad. Cuenta con un sistema de fácil personalización y diferenciación de derechos de acceso, lo que permite formar monitoreos de seguridad de la información en cada nivel de la jerarquía. Para un solo usuario de MaxPatrol, existe la oportunidad de crear su propia lista de tareas que puede realizar dentro del sistema.

RUSIEM es un sistema desarrollado por la empresa RuSIEM del mismo nombre. Según los desarrolladores, el producto debería reemplazar a sus homólogos extranjeros en el mercado ruso y competir con ellos debido al bajo costo de implementación y soporte, así como a su potente funcionalidad. Las diferencias visibles con respecto a las empresas competidoras son: interpretación de eventos en una forma comprensible, etiquetado y ponderación, lo que brinda una forma más conveniente y rápida de analizar la información entrante. También vale la pena señalar un número ilimitado de fuentes de información, lo que, junto con un almacenamiento compacto, permite construir consultas optimizadas en cualquier profundidad de almacenamiento.

Notas

1. ↑ 1 2 Implementación de gestión de eventos e información de seguridad (SIEM) . - Nueva York: McGraw-Hill, 2011. - 1 recurso en línea (xxxiv, 430 páginas) p. — ISBN 9780071701082 , 0071701087.
2. ↑ H. Karlzen, "Un análisis de la información de seguridad y los sistemas de gestión de eventos: el uso de SIEM para la recopilación, gestión y análisis de registros", pág. 45 de enero de 2009.
3. ↑ Kotenko I.V., Saenko I.B., Polubelova O.V., Chechulin A.A. Aplicación de Tecnologías de Gestión de Eventos de Seguridad e Información para la Protección de la Información en Infraestructuras Críticas // Actas de SPIIRAS. Número 1 (20). San Petersburgo: Nauka, 2012. S.27-56.
4. ↑ Kotenko I.V. Mecanismos inteligentes para gestionar la ciberseguridad // Gestión de riesgos y seguridad. Actas del Instituto de Análisis de Sistemas de la Academia Rusa de Ciencias (ISA RAS). T.41, Moscú, URSS, 2009. P.74–103.
5. ↑ Williams, Amrit (2005-05-02). "Mejore la seguridad de TI con la gestión de vulnerabilidades". Consultado el 09-04-2016. Información de seguridad y gestión de eventos (SIEM)
6. ↑ Stevens M. Gestión de eventos e información de seguridad (SIEM). Presentación // Conferencia CERT de NEbraska, del 9 al 11 de agosto de 2005. http://www.certconf.org/presentations/2005/files/WC4.pdf
7. ↑ K. Kavanagh, T. Bussa, G. Sadowski. Cuadrante Mágico de Información de Seguridad y Gestión de Eventos. Gartner, 3 de diciembre de 2018

Literatura

• Abdul B. Subhani. ¡Mantenerse a salvo! - Abbott Press, 2016. - 182 p. — ISBN 1458220273 .
• Implementación de gestión de eventos e información de seguridad (SIEM). - Nueva York: McGraw-Hill, 2019. - 1 recurso en línea (xxxiv, 430 páginas) p. — ISBN 9780071701082 , 0071701087.
• Alexey Parfentiev, SearchInform, sobre SIEM y los peligros de las funciones innecesarias. — Hacker Magazine, 26/11/2021 Archivado el 28 de noviembre de 2021 en Wayback Machine .