Adoptando una solución SIEM

Adoptando una solución SIEM, Parte 1: ¿Por qué elegir SIEM?

Las amenazas de seguridad van en aumento y los métodos de ataque de los hackers se vuelven cada vez más sofisticados.

Según el reciente Informe de Verizon Data Breach, "el sesenta y ocho por ciento de las violaciones tardaron meses o más en descubrirse, a pesar de que el ochenta y siete por ciento de las violaciones examinadas tenían datos comprometidos en cuestión de minutos o menos desde que ocurrieron los ataques".

Esto significa que los atacantes están utilizando técnicas que pasan desapercibidas para los centros de operaciones de seguridad (SOC). En muchos casos, las violaciones de datos son detectadas por un tercero que notifica a la empresa; el negocio luego encarga una investigación forense. Aunque un número considerable de ataques toma muy poco tiempo para robar datos específicos, el método de intrusión, los movimientos laterales dentro de la red y la ruta a través de la cual se roban los datos se extraen unos meses después. En este momento, los datos se han ido.

Estos ataques dejan rastros, incluso si el SOC no puede conectar los puntos. Con el advenimiento de estrictos mandatos de cumplimiento como el Reglamento General de Protección de Datos (GDPR) y la Ley de Protección de Información Personal (POPIA) que entran en vigencia, el panorama de la seguridad de TI está cambiando. Las organizaciones están buscando soluciones que detecten y resuelvan incidentes antes de que se vuelvan críticas, y las soluciones de información de seguridad y gestión de eventos (SIEM) son la mejor manera de hacerlo.

El Cuadrante Mágico de Gartner para SIEM desarrolla las capacidades requeridas para una solución SIEM. Lee el informe .

Tres razones por las que necesita una solución SIEM:

Visibilidad en profundidad de los incidentes de la red: es probable que esté utilizando un puñado de soluciones de seguridad en su red. Estas soluciones van desde cortafuegos, IDS / IPS, escáneres de vulnerabilidad, aplicaciones antivirus y antimalware, y más. Lo que necesita es una vista consolidada de todos los eventos de seguridad que suceden en su red para que pueda conectar fácilmente información discreta que indique un posible ataque. Una solución SIEM recopila datos de registro de toda la red, extrae información significativa de esos registros, correlaciona diferentes eventos para detectar patrones de ataque y le ayuda a buscar datos de registro para el análisis de causa raíz, proporcionando una visibilidad profunda de lo que está sucediendo en su red. Esto ayuda a prevenir o contener ataques de seguridad lo más rápido posible.

La auditoría continua es clave: cuando se trata de detectar y contener ataques de seguridad, nunca debe configurarlo y olvidarlo. Aunque establezca políticas de seguridad críticas como reglas de firewall, listas de control de acceso, permisos de pertenencia a grupos, etc., debe vigilar constantemente cualquier cambio en estas configuraciones. Una solución SIEM ofrece informes periódicos que lo ayudan a auditar continuamente eventos para validar la aplicación de políticas y detectar cambios de configuración críticos o comportamientos inusuales del usuario para mantener las amenazas bajo control.

Orquestación de seguridad: las organizaciones usan varias soluciones para facilitar sus operaciones de TI. Por ejemplo, el software de mesa de ayuda se usa para manejar solicitudes de TI y operaciones de red. Una solución SIEM debe integrarse con tales soluciones para que las operaciones de seguridad sean lo más eficientes posible. La integración con las soluciones de mesa de ayuda aumentará la velocidad de resolución de incidentes y garantizará la responsabilidad.

Lea el Cuadrante Mágico de Gartner de este año para SIEM para obtener más información y comparar las capacidades de diferentes jugadores en el mercado.

En la segunda parte de esta serie, discutiremos los criterios que considera al elegir su solución SIEM.

Posted in Gestión de TI, Todos on Jun 25, 2018