¿Qué es el SIEM de nueva generación?

Diseñados inicialmente con el objetivo de ofrecer visibilidad de la red e identificar el tráfico para detectar actividades malintencionadas, los sistemas de gestión de eventos e información de seguridad (SIEM) han evolucionado significativamente desde su creación. El SIEM de nueva generación es la evolución del SIEM tradicional en respuesta a avances digitales como la computación en la nube, el big data y los modelos de trabajo remoto para llevar la visibilidad más allá de los perímetros tradicionales. En este artículo, analizaremos en profundidad el panorama actual los SIEM de nueva generación y arrojaremos luz sobre sus capacidades avanzadas para abordar los retos a los que se enfrentan la mayoría de equipos de seguridad actuales.

¿Cuál es la diferencia entre un SIEM tradicional y un SIEM de nueva generación?

Las soluciones SIEM tradicionales se centran principalmente en la recopilación e indexación de salidas de log de varios sistemas y aplicaciones en la red de una organización. Permiten a los analistas de seguridad buscar y recuperar detalles específicos de logs, lo que facilita tareas como la auditoría de cumplimiento, la notificación de eventos o la realización de análisis forenses en profundidad. Las soluciones SIEM tradicionales también destacan en la correlación de logs de varias fuentes, lo que proporciona información valiosa para investigaciones basadas en identificadores únicos, como direcciones IP.

No obstante, las soluciones SIEM tradicionales suelen generar grandes volúmenes de alertas que resultan difíciles de gestionar y requieren un gran nivel de experiencia para aplicar filtros precisos y acotar las búsquedas. La necesidad de contar con habilidades avanzadas y el laborioso proceso que supone revisar las alertas para identificar amenazas reales hace que se pasen fácilmente por alto eventos significativos. Como resultado, las investigaciones se alargan durante semanas y dejan a la empresa expuesta a brechas de seguridad.

El aumento de la adopción de la transformación digital y la migración a entornos en la nube ha expuesto las limitaciones de las soluciones SIEM tradicionales. La demanda de capacidades avanzadas ha impulsado la evolución de las soluciones SIEM de nueva generación, diseñadas para superar las deficiencias de sus predecesoras con una serie de funciones avanzadas, como:

Visibilidad integral

En este momento, es más importante que nunca obtener una vista integral de toda la institución. Los SIEM de nueva generación van más allá de los enfoques tradicionales basados en logs al ingerir datos de transmisión sin procesar, como flujos, logs e información de identidad, con la capacidad de gestionar millones de incorporaciones. Correlacionar los eventos en todos los sistemas y redes mejora la visibilidad ante posibles ciberamenazas. Esta visibilidad integral es fundamental para garantizar la eficacia de los controles de seguridad de una organización y, a su vez, reducir el perfil de riegos general.

Detección proactiva de amenazas

Las soluciones SIEM de nueva generación destacan en la detección de amenazas en diversos entornos, como infraestructuras en la nube, locales o híbridas. Pueden identificar amenazas conocidas y desconocidas en tiempo real e implementar técnicas de análisis avanzadas, como IA, aprendizaje automático y perfiles de comportamiento. Este enfoque contextual garantiza la relevancia, evita la fatiga de alertas y permite a los equipos de seguridad centrarse de forma eficaz en las investigaciones de riesgo elevado. Al responder rápidamente a posibles incidentes de seguridad, las organizaciones pueden reducir el tiempo medio de identificación (MTTI), lo que aumenta su ciberresiliencia ante las amenazas.

Cumplimiento continuo

Los sistemas SIEM de nueva generación cuentan con capacidades completas de generación de informes para cumplir las normativas vigentes, como HIPAA, NIST, RGPD y PCI. Aprovechan las capacidades de análisis de datos en periodos de tiempo históricos y a largo plazo para ayudar a las organizaciones a mantener el cumplimiento y satisfacer los estrictos requisitos normativos.

Contención y eliminación automáticas

Las soluciones SIEM avanzadas actuales incluyen algunas capacidades de organización, automatización y respuesta (SOAR) para automatizar las actividades de corrección en tiempo real. Además, las soluciones SIEM de nueva generación ofrecen a los equipos de seguridad asesoramiento sobre cómo contener una amenaza y completar el proceso de respuesta a incidentes, lo que reduce eficazmente el tiempo que tarda una organización en responder a las amenazas emergentes.

¿Cómo surgió el SIEM?

El concepto de SIEM surgió en los años 90, cuando los equipos de red y seguridad buscaban formas de consolidar la información de logs de eventos de varios dispositivos en una ubicación central. Como tal, la creación de la función de registro centralizado en el SIEM se remontan a sus raíces como plataforma de gestión de la información de seguridad (SIM). No obstante, con la evolución de la tecnología, no bastaba con agrupar los datos. Los analistas del centro de operaciones de seguridad (SOC) querían mejorar sus capacidades aplicando lógica a los datos, lo que les permitiría identificar patrones de actividades maliciosas conocidas en tiempo real en lugar de depender únicamente de un análisis post mortem. Esta evolución llevó a la creación de la gestión de eventos de seguridad (SEM).

¿Qué es SEM en el SIEM actual?

Función principal: gestión de eventos de seguridad

Objetivo principal: vigilancia de la seguridad y respuesta priorizada

SEM desempeña un papel fundamental en el panorama de SIEM actual. Su función principal consiste en realizar una vigilancia de seguridad exhaustiva e implementar una respuesta priorizada a las amenazas potenciales. SEM ha transformado el análisis de los datos al incorporar técnicas avanzadas como listas de coincidencias, mapeo del tráfico de red y la correlación de varios eventos y alertas. En vez de centrarse únicamente en eventos individuales, SEM identifica secuencias de actividades. Además, incorpora funciones esenciales para que las investigaciones sean eficaces, como gestión de casos y flujos de trabajo de respuesta. Esto implica agrupar las alertas relacionadas en un "caso" coherente, asignar los casos a equipos o usuarios específicos y seguir meticulosamente el progreso y la información hasta que la investigación alcance un resultado concluyente.

¿Qué es SIM en el SIEM actual?

Función principal: gestión de logs

Objetivo principal: crear un repositorio central; satisfacer los requisitos de cumplimiento

En el marco de SIEM actual, SIM se encarga de la gestión de logs y de supervisar la recopilación sistemática y el almacenamiento centralizado de los archivos de log para su posterior análisis. De esta forma, se crea un repositorio centralizado para todos los logs de eventos que se generan en un entorno. Una vez recopilados los datos, se pueden realizar varias acciones con ellos. El objetivo principal de SIM es la retención de datos y la creación de informes. Muchas empresas utilizan estas capacidades de SIM en sus soluciones de SIEM para demostrar el cumplimiento de las leyes de protección de datos, como RGPD, HIPAA, PCI-DSS y SOX.

¿Cómo se integra el SIEM de nueva generación en la ciberseguridad?

Una solución SIEM de nueva generación es fundamental para la estrategia de seguridad general de una organización, puesto que actúa como eje central para que los equipos de seguridad tengan una visión integral de todos los sistemas y puedan abordar eficazmente un amplio espectro de amenazas. En comparación con las soluciones tradicionales, las soluciones SIEM de nueva generación se diseñan como plataformas de software nativo de la nube como servicio (SaaS), lo que brinda una escalabilidad y una funcionalidad más elásticas en entornos descentralizados, híbridos y multinube.

Uno de los puntos fuertes de una solución SIEM de nueva generación es su capacidad para ingerir diversos datos de telemetría de transmisión, lo que proporciona a los equipos de seguridad una visión completa en tiempo real de los riesgos y las vulnerabilidades potenciales. Esta adaptabilidad, combinada con inteligencia sobre amenazas integrada, permite a las organizaciones identificar y mitigar las amenazas de seguridad de manera proactiva. Al satisfacer las demandas de las infraestructuras modernas, la última evolución de las soluciones SIEM mejora en gran medida su capacidad para detectar, prevenir y corregir un amplio rango de posibles amenazas.

10 capacidades críticas de un SIEM de nueva generación

Existen diez características principales con las que deben contar las soluciones SIEM para ayudar a las organizaciones a mejorar sus operaciones de seguridad:

• Gestión y recopilación de datos integral

Para facilitar una visibilidad completa, la solución SIEM de nueva generación se asegura de que se pueda acceder a cada fuente de datos para un análisis en profundidad y la correlación en infraestructuras sin límites. Las soluciones SIEM modernas ingieren sin problemas datos de varias fuentes, como soluciones de seguridad, aplicaciones, endpoints e información de paquetes de red, para obtener una visión completa del entorno.

Las soluciones SIEM de nueva generación también deben ofrecer una integración perfecta con plataformas de nube pública y privada, como AWS, Microsoft Azure y GCP, lo que amplía su alcance para la recopilación eficiente de datos y el análisis avanzado de amenazas en varias nubes. Esto es crucial para identificar amenazas en todo el entorno ampliado de una organización, lo que garantiza una defensa optimizada y sólida frente a amenazas emergentes.

• Arquitectura de big data

La solución SIEM es la fuente de verdad para el SOC, por lo que la escalabilidad es primordial. La solución SIEM debe escalar sin problemas para ingerir numerosas fuentes de datos y admitir el análisis de big data sin incidencias. Juega un papel fundamental y debe tener una gran capacidad de respuesta para apoyar a los analistas de seguridad con la clasificación y la investigación mientras monitorizan y analizan continuamente grandes volúmenes de datos. También debe realizar una consulta de búsqueda en varios conjuntos de datos simultáneamente. Esta capacidad, conocida como "búsqueda federada", permite la recuperación en tiempo real de información de varias fuentes de datos aisladas a través de una sola búsqueda, lo que aumenta significativamente la eficiencia y la agilidad de las operaciones de ciberseguridad.

• Implementación y arquitectura

La configuración y la gestión continua de las soluciones SIEM tradicionales eran muy complejas. Las soluciones SIEM de nueva generación superan estos desafíos. Equipadas con numerosos conectores integrados, garantizan una ingesta de datos fluida desde productos existentes, lo que simplifica el proceso de implementación. Esto se traduce en una obtención de valor más rápida para la organización, una ventaja fundamental para aquellos que buscan mejoras de seguridad inmediatas.

En concreto, las soluciones SIEM modernas cuentan con una arquitectura basada en la nube. Este paso estratégico a las soluciones SIEM en la nube no solo reduce las complejidades de la implementación, sino que también ofrece ahorros de costes en operaciones y gastos generales de gestión, lo que marca un salto significativo en la eficiencia de la ciberseguridad.

• Enriquecimiento del contexto del usuario y de los recursos

El enriquecimiento de datos transforma los datos sin procesar en información significativa al añadir contexto a los datos de eventos de seguridad. Al enriquecer los eventos de seguridad con información contextual de directorios de usuarios, herramientas de inventario de recursos, herramientas de geolocalización y bases de datos de inteligencia sobre amenazas externas, las soluciones SIEM aumentan su capacidad para descifrar y responder a posibles riesgos de seguridad. Una solución SIEM de nueva generación sólida debe incluir datos de inteligencia sobre amenazas precisos, integrales y en tiempo real a escala global que se correlacionen regularmente con altos volúmenes (hasta trillones) de eventos cada día. De esta forma, se optimizan los análisis al revelar detalles pertinentes, como herramientas o patrones de ataque conocidos, así como el adversario responsable.

• Protección de amenazas a identidad

Las capacidades de protección y detección de amenazas de identidad son fundamentales en una solución SIEM de nueva generación, puesto que ofrecen visibilidad sobre anomalías y ataques basados en identidad. Las soluciones SIEM de nueva generación deben clasificar automáticamente las identidades en humanos, servicios y cuentas privilegiadas en almacenes de identidades híbridos. Para ello, comparan el tráfico en vivo con las líneas de referencia y las normas de comportamiento para detectar movimiento lateral y tráfico anómalo en tiempo real. Este enfoque proactivo avanza las capacidades de detección de amenazas generales de un SIEM de nueva generación y permite a los equipos de seguridad identificar actividades sospechosas y responder rápidamente para mitigar posibles amenazas.

• Seguimiento automático del movimiento lateral

Las capacidades de detección automática del movimiento lateral son fundamentales para una solución SIEM, ya que permiten al sistema identificar y hacer un seguimiento del progreso lateral de un ciberdelincuente en el entorno de una organización. Una solución SIEM de nueva generación proporciona un conjunto de análisis unificados que se pueden encadenar, lo que se conoce como encadenamiento de modelos, para detectar los primeros indicios de un comportamiento peligroso, como el movimiento lateral. Esta automatización acelera la detección de actividades maliciosas, lo que mejora la resiliencia de la organización al minimizar el tiempo que pasa entre la identificación de la amenaza y su corrección.

• Modelo de información de seguridad mejorado

El SIEM de nueva generación destaca por sus capacidades para identificar todos los elementos de un ataque desde varias fuentes y para compilarlos automáticamente en un panel con una línea de tiempo visual. Esta línea de tiempo del ataque ofrece información sobre los eventos operativos subyacentes de un incidente de seguridad en orden cronológico. A diferencia de otras soluciones SIEM donde los analistas deben crear esta línea de tiempo manualmente, los detalles que proporcionan los SIEM modernos en un solo panel permiten a los analistas centrarse en lo que más importa.

Las soluciones SIEM modernas también se despiden de los complejos lenguajes de consulta de los sistemas tradicionales. En su lugar, ofrecen compatibilidad con lenguajes de consulta sencillos e intuitivos, que aceleran el proceso de clasificación y ayudan a los analistas de primer nivel a gestionar eficazmente investigaciones más complejas.

• Priorización de incidentes

La combinación de fuentes de datos completas con modelos de análisis avanzados es vital para proporcionar un contexto crítico que permita determinar la prioridad de un ataque. Estas herramientas reducen una gran parte del trabajo manual que requieren los equipos de seguridad para realizar investigaciones y confirmar la validez de una campaña de ataque.

Los SIEM de nueva generación indican claramente el riesgo del incidente, por lo que los equipos pueden trabajar con mayor eficacia y saber qué paso dar a continuación en lugar de esperar para ejecutar todas las acciones a la vez. Por ejemplo, la información prioritaria sobre los sistemas infectados ayuda a los analistas de seguridad a identificar estos sistemas para aislarlos de la red e impedir el movimiento lateral o la propagación del malware. De esta forma, las organizaciones pueden implementar medidas rápidamente para ofrecer una respuesta dirigida y mantener la continuidad del negocio.

• Corrección de amenazas automatizada

Las organizaciones necesitan capacidades avanzadas de corrección para plantar cara a un ciberataque que ha tenido éxito, lo que ha impulsado la evolución de las soluciones SIEM de nueva generación para incorporar funciones de respuesta automatizada a incidentes. Estos sistemas sofisticados compilan hábilmente datos sobre un evento y aplican manuales dinámicos para organizar acciones precisas y automatizadas con las que corregir incidentes.

Además, las soluciones SIEM de nueva generación se integran en los procesos de seguridad de un equipo al automatizar los flujos de trabajo con sistemas integrados como la gestión de servicios de TI (ITSM), lo que optimiza el proceso general de respuesta a incidentes y mejora la resiliencia de la ciberseguridad.

• Paneles e informes en directo

Las soluciones SIEM de nueva generación mejoran significativamente el soporte para casos de uso de cumplimiento, lo que facilita auditorías rápidas y eficientes. Los paneles personalizados y la centralización de los informes y las auditorías de cumplimiento de estas soluciones proporcionan capacidades de generación de informes para mandatos y estándares comunes, como SOX, NIST, RGPD, HIPAA y PCI. Este sólido respaldo del cumplimiento garantiza auditorías internas sin inconvenientes, así como el cumplimiento de los requisitos de certificación y auditoría externos.

SIEM de nueva generación con CrowdStrike

En CrowdStrike, ofrecemos la plataforma con IA nativa líder en el mundo para SIEM de nueva generación que ayuda a las organizaciones a detener rápidamente las amenazas con detecciones en tiempo real, búsquedas ultrarrápidas y

retención de datos asequible. Nuestros productos de gestión de logs y SIEM de nueva generación incluyen:

CrowdStrike Falcon^® Next-Gen SIEM

Detecta, investiga y busca amenazas más rápido de lo que creías posible a escala de petabytes con nuestra solución de SIEM de nueva generación.

CrowdStrike Falcon^® Search Retention

Almacena los datos de la plataforma CrowdStrike Falcon^® de forma cómoda y rentable mientras aprovechas las capacidades de búsqueda ultrarrápidas, las alertas en tiempo real y un amplio conjunto de paneles.