Si estás pensando en contratar un servicio de analítica de seguridad SIEM y SOAR para implementar en tu organización, vamos a compartir en este artículo algunos puntos clave que debemos tener en cuenta y que no pueden faltar en estas soluciones.
Hasta hace unos años los SIEM tradicionales estaban destinados a monitorizar normalmente entornos On Premise, entornos de red o dispositivos de red, sin embargo con la adopción masiva de los servicios cloud por parte de todas las empresas, las soluciones SIEM tradicionales no eran capaces de manejar tanto volumen de datos e información por lo que necesitaban evolucionar a un entorno en el que se les permitiese gestionarlo de manera automatizada, y es aquí donde los servicios de analítica de seguridad cobran aún más importancia, si cabe, como consecuencia de esta adopción a la nube, pero para entendernos veamos una breve descripción del mismo.
¿Qué es un servicio de analítica de seguridad?
De forma resumida podemos decir que un servicio de analítica de seguridad tiene como objetivo evaluar la seguridad de la información en las organizaciones, para detectar y dar respuesta a las amenazas aportando las soluciones más avanzadas con las que prevenirlas y garantizar su protección.
Generalmente se trata de un servicio administrado a través de equipos de expertos en seguridad que 24x7 analizan, administran, gestionan y establecen directrices para el tratamiento de todos los eventos que afecten o puedan afectar a la seguridad de la información corporativa en busca de anomalías.
Y en este punto, es donde comienza a cobrar mucha más relevancia los términos SIEM y SOAR, referido a ese registro de datos y eventos para la detección de anomalías, pero ¿Qué son exactamente?
¿Qué es un SIEM?
Un SIEM o (Security Information and Event Management) es un sistema que permite controlar la seguridad perimetral TI de una empresa, proporcionando una visión integral en la detección y respuesta ante cualquier evento de seguridad interno o externo.
¿Qué es un SOAR?
Un SOAR o (Security Orchestration Automation and Response) es una plataforma de operaciones y generación de informes de seguridad que utiliza datos extraídos de distintas fuentes para proporcionar capacidades de gestión, análisis y generación de informes en apoyo a los equipos analistas en un SOC
¿Qué debe tener un sistema SIEM?
Como comentábamos previamente, la adopción masiva de servicios cloud hace unos años supuso un salto importante en la incorporación de tecnologías acordes al entorno de la mayoría de las organizaciones, por ello; veamos algunos puntos que no pueden faltar en un SIEM:
1) Que sea Cloud Native. Las organizaciones pueden aprovechar todas las ventajas del cloud computing, no es necesario una infraestructura, se puede aplicar machine learning, inteligencia artificial y automatización para el análisis de todos la información con la que tener un entendimiento mucho mayor que los sistemas tradicionales.
2) Que sea Full XDR. No sólo puede quedarse en la detección y respuesta del endpoint, sino que debe cubrir la protección de identidades, emails, aplicaciones, contenedores, etc.. webs además de poder monitorizar otras nubes e incluir a estas herramientas de analítica otras fuentes como Firewalls o VPNS…
3) Que incluya el ciclo de vida de la información. Debe incluir capacidades SOAR con la automatización de otras fuentes de datos, analíticas de comportamiento (UEBA) y ser capaces de incorporar diversas fuentes de inteligencia para el enriquecimiento de la analítica.
4) Que incluya un framework de integración MITRE. De esta manera se podrá saber qué técnicas usan los adversarios y así conocer la cobertura que podemos tener para determinadas prácticas.
5) Qué el coste sea por ingesta. A la hora de comparar entre varios SIEM del mercado, por supuesto deberás realizar un análisis exhaustivo para saber que características te brinda cada uno, no obstante muchos incluyen un coste asociado a la automatización, al mantenimiento, a los costes físicos de la infraestructura, a la incorporación de servicios UEBA; integración de otras fuentes… etc sin embargo el punto interesante es encontrar una solución que incluya todo lo anterior sin coste adicional.
6) Que reduzca el tiempo de respuesta a las incidencias. Frente a los sistemas tradicionales, la elección de un SIEM cloud puede analizar billones de insights mucho más rápido y reducir la carga de tus equipos de trabajo destinados a esta tarea.
¿Conoces Azure Sentinel?
Azure Sentinel fue el primer SIEM nativo en la nube y a día de hoy es uno de los sistemas mejor valorados del mercado incorporando capacidades de automatización, inteligencia artificial e integración de millones de datos múltiples fuentes, incluyendo usuarios, aplicaciones, servidores y dispositivos ejecutados en entorno local y en la nube para brindar una solución de detección y repuesta frente a las amenazas.
¿Te gustaría ver una Demo de un SIEM en directo?
En Intelequia contamos con un equipo de expertos en seguridad TIC que estará encantado de mostrarte en primera persona el alcance que puede prestar una solución SIEM a tu organización, por lo que si estás interesado no dudes en escribirnos un formulario de contacto y nos pondremos en contacto contigo para mostrarte todas las ventajas de Azure Sentinel.