Security Information and Event Management

Comenté en una anterior entrada que no deberíamos dejar recaer la seguridad de la información de la organización tan solo en el cortafuegos, ya que existen multitud de puntos de entrada a la información y servicios que el cortafuegos no puede detectar y controlar. Aquí es donde entra el papel tan importante que desempeña los equipos SIEM.

Security Information and Event Management (SIEM) es una herramienta capaz de monitorizar el estado en cuanto a seguridad de una organización, debe estar perfectamente integrada con todos los sistemas ya que debe entender el comportamiento de toda la infraestructura TIC. Mediante la recopilación de eventos de login, acceso a BBDD, logs de firewall, proxy, IPS, logs de aplicaciones, etc, un SIEM es capaz de monitorizar y predecir el comportamiento futuro de la plataforma TIC de tal manera que ante una conducta inusual de la plataforma puede generar una alerta y/o realizar una acción determinada.

¿Por qué necesitamos un SIEM? Es una pregunta fácil de responder, ya que las organizaciones cada vez tienen más servicios que dependen de los sistemas y por tanto cada vez hay más sistemas que mantener en una organización. No conozco a ningún administrador de sistemas que analice todos los logs de todos los sistemas que mantiene, ya que esto es una tarea ardua y que requiere mucho tiempo, así que este es un buen motivo por el cual se hace necesario la instalación de un equipo SIEM ya que éste nos avisará cuando un determinado servicio esté comprometido o esté siendo atacado, además mediante la correlación cruzada que tienen los equipos SIEM podremos ser alertados ante un comportamiento anómalo producido por varios sistemas, que analizando evento por evento nosotros mismos no seríamos capaces de detectar.

Algunos SIEM son los siguientes:

• RSA EnVision
• Arcsight
• OSSIM
• LogICA
• LogRhythm

Sabemos que la seguridad absoluta no existe y por eso debemos ayudarnos de herramientas como estas, aunque vuelvo a recordar que la seguridad de una organización no se mide por el número de herramientas que disponga, sino por la concienciación, controles y procedimientos de seguridad que se establezcan y se cumplan por todo el personal de la organización.