Podcast – 35 – SIEM

Hoy hablaremos de los SIEM (Security Information and Event Management). Estos sistemas surgen de la combinación de dos tareas, que inicialmente realizaban productos específicos: SIM (Security Information Management) y SEM (Security Event Management). Si bien cada una de estas funciones puede ser independiente de la anterior, la verdad es que para gestionar un evento necesitas tener información, así que los desarrolladores, sobre todo los de soluciones propietarias, han tendido a fusionar las dos tareas en un único sistema. En este capítulo no haremos diferencia entre funciones, sino que explicaremos el funcionamiento global de un sistema SIEM.

Logo SIEM
SIEM Fuente imagen: Gigaom

Los SIEM son probablemente una de las herramientas más difíciles de ajustar y que genera un mayor trabajo de gestión, muchas veces repetitivo, por lo que es muy importante que se tengan en cuenta en cualquier proyecto de implantación de un SIEM: se requiere mucho trabajo de ajuste del sistema para que el análisis de la información sea correcto y las alarmas generadas sean válidas e interesantes. Así cómo otros sistemas de protección, como los antivirus o sistemas anti-spam, pueden dejarse en modo automático, los SIEM deben ser gestionados, analizados y ajustados por técnicos especialistas si se quiere obtener resultados tangibles.

Veamos todos los pasos necesarios para obtener información, analizarla y obtener las alertas oportunas:

1. Recopilación de logs

Recolección de logs. Fuente: David Romero Trejo

El primer punto para un sistema de gestión de información es, precisamente recoger esa información. Aquí tenemos dos opciones para obtener los logs: la primera opción es que los sistemas que queremos analizar envíen una copia de sus logs a nuestro sistema SIEM; y la segunda sería que el sistema SIEM haga peticiones periódicas a los sistemas a controlar. Para el intercambio de información podemos utilizar protocolos estándares, como Syslog o SNMP, o bien la conexión con agentes instalados en los servidores a controlar. Lo más probable es que, debido a los entorno heterogéneos de cualquier empresa mediana, el sistema SIEM utilice una combinación de todas las opciones para recoger el máximo de información posible.

2. Normalización de logs

Al integrar información de diferentes fuentes debemos asegurarnos que guarden un formato común para poder hacer el análisis posterior. Cada fabricante decide cómo generar los registros de eventos de su plataforma y puede decidir cambiar el formato de logs entre diferentes productos o, incluso, entre versiones de un mismo sistema. Quizás el ejemplo más visual sea el formato de fecha de cuándo sucedió un evento: el formato estadounidense o el español son diferentes, también puede cambiar el texto si el idioma del sistema operativo es diferente (aunque sea lo mismo no queda el mismo registro un lunes que un Monday). Igualmente importante es que todos los equipos tengan sus relojes sincronizados para que el SIEM pueda conocer el orden cronológico de los eventos: para ello se conveniente utilizar un servidor NTP centralizado.

3. Almacenamiento de logs

En este punto más que el propio formato de almacenamiento de los registros, la principal característica técnica a tener en cuenta es la información extra que añade el sistema para permitir un tratamiento posterior más eficiente. El marcado, etiquetado, categorización debe permitir la selección de registros para su posterior correlación. Como suele suceder no existe un único tipo ni un sistema estandarizado de elegir qué y cómo almacenar los registros y todo tiene sus ventajas e inconvenientes.

Otro punto a tratar en este punto es qué logs de eventos queremos almacenar: la primera aproximación suele ser que queremos guardar todo, pero el gran tamaño de almacenamiento (que cuesta dinero) y la gran carga de trabajo de revisión, pronto llevan a cambiar de estrategia para buscar un equilibrio entre el todo, la nada y lo que podemos gestionar.

4. Correlación de logs

La correlación automática de los registros de eventos es, precisamente, la parte fundamental y el motivo de la existencia de estos sistemas. Diferentes algoritmos rastrean los eventos almacenados en busca de patrones que les permitan detectar un comportamiento anómalo que genere un evento de seguridad a estudiar. Este rastreo sistemático y pormenorizado de los eventos almacenados permite una detección de patrones muy superior a la de la intuición humana, por lo que estas herramientas son imprescindibles para un departamento de seguridad y, justifican su obligatoriedad de uso en algunas normativas.

Si bien muchos comerciales hablarán aquí de machine-learning, deep learning, inteligencia artificial, e incluso de deep-IA-learning o cualquier otro nombre comercial: la realidad es que se necesita de un sistema que en base a múltiples registros que provienen de diferentes fuentes, que en principio no están relacionadas, se encuentren patrones de acciones no habituales que deban ser analizados por un especialista.

Estos eventos pueden ser tan simples como detectar que un usuario de VPN se conecta desde una ubicación no habitual (p.e. si yo, que vivo en Mallorca me conecto desde casa y al cabo de dos horas lo hago desde Singapur es probable que algo no cuadre); un movimiento de ficheros entre servidores en horario nocturno; o bien procesos tan elaborados como detectar un APT en base a comunicaciones entre servidores. Las posibilidades de detección varían mucho en función del sistema SIEM utilizado y, sobre todo, de la cantidad de logs almacenados y correlacionados.

5. Gestión de alarmas

El resultado esperado de un sistema de gestión de información y eventos de seguridad es que tras todo el sistema acaben dando como resultado una serie de alarmas, con la mayor cantidad de información posible, que un especialista deba revisar. La gestión de una alarma de seguridad debería seguir el mismo procedimiento que la gestión de incidencias de IT de la empresa: todo debe quedar registrado en el sistema de gestión de incidencias y debe tratarse de la misma forma.

Hay que tener presente que los responsables de tratar con las incidencias de seguridad deben tener unos conocimientos amplios de muchas ramas de los sistemas IT (bases de datos, redes, sistemas operativos, etc.) para poder gestionar de forma eficiente la gran variedad de eventos que surgirán.

Un tema a tener en cuenta es que, al menos, durante los primeros meses de funcionamiento de un sistema SIEM, se generarán múltiples incidencias que resultarán ser falsos positivos por lo que los administradores del sistema deben retroalimentar correctamente al producto para que aprenda que situaciones pueden ser consideradas normales. No es extraño que los primeros meses de trabajo con un SIEM los responsables consideren que no sirve para nada ya que “pierden” la mayoría del tiempo persiguiendo falsos positivos. La gran ventaja del SIEM aparecerá una vez que ya esté estable y con una cantidad de información suficiente para tener un conocimiento del comportamiento habitual de nuestra empresa.

Conclusiones

Si pensáis implementarlo en vuestro negocio debéis tener en cuenta que los principios son duros ya que es una herramienta que precisa de administradores casi en exclusiva y con amplios conocimientos.

Además, es un sistema que debe ser gestionado y adaptado cada vez que la empresa lo necesite: por ejemplo, si nuestra empresa abre una nueva tienda en Noruega, el SIEM empezará a detectar conexiones a los sistemas corporativos desde direcciones noruegas o nuevos archivos almacenados con idioma noruego: es muy probable que este comportamiento genere eventos de seguridad que deberán ser catalogados correctamente en el sistema. Del mismo modo si se cierra la sede de Japón, habrá que avisar al sistema de que ya no deberían aparecer conexiones desde ese país y que no aparecerán textos kanji en nuestros sistemas. Por todo esto no es nada raro que una empresa que deba tener un SIEM por normativa subcontrate los servicios a un tercero. Estos servicios SOC, que permiten cumplir con la legislación y traspasar los riesgos a un tercero, pueden realizar un buen papel para la detección de conductas generales pero adolecen de la capacidad de adaptación al negocio que tendría un equipo interno. Pero claro, aquí ya hay que valorar necesidades, capacidades y costos.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *