El proceso de implantación de un SIEM en una organización
La ciberseguridad es un proceso altamente dinámico y una solución técnica que hoy es válida puede no serlo en un corto espacio de tiempo, por eso la implantación de un SIEM en una organización es una tarea que debe planificarse.
En casi todas las disciplinas técnicas, es habitual encontrarse con miles de acrónimos que seguramente de los cuales desconocemos su significado. En el caso de la ciberseguridad, uno de los términos más usados es SIEM, cuyo significado literal en inglés es “Security Information and Event Management”.
El objetivo de una solución SIEM, es a grandes rasgos y sin entrar mucho en detalles, detectar de forma proactiva amenazas potenciales en las organizaciones mediante la correlación de eventos. Para poder realizar estas acciones, estas aplicaciones necesitan procesar y monitorizar una gran cantidad de datos provenientes de múltiples fuentes de información (logsources).
Mediante la monitorización y correlación de eventos, un SIEM es capaz de detectar comportamientos, tendencias y patrones anómalos que puedan indicar un posible compromiso. Para ello, además de conectar las múltiples fuentes de información a la aplicación, se deben programar regalas de detección (casos de u so) que ayuden en la detección de acciones maliciosas.
Implantar un SIEM no es sencillo
A la vista de lo expuesto anteriormente, implantar un SIEM en una organización no es una tarea sencilla, requiere conectar múltiples fuentes de información diseñar reglas de detección adecuadas a la organización y, por supuesto tiene implicaciones y dependencias con otras áreas de TI.
Muchos proyectos de implantación de un SIEM acaban fracasando en muy pocos años, creyendo que el software elegido no es el adecuado, o no cumple con los requisitos que se habían determinado como válidos para su adquisición. Quizás en algunos casos esto se pueda cumplir, pero en muchos otros, llegar a esta conclusión es debido a una falta de planificación en la implantación del proyecto. Veamos a continuación algunos de los errores que se cometen en la implantación de una solución SIEM en la organización.
Ausencia de planificación
A pesar de que, por lo general, existe una clara conciencia de que las soluciones SIEM son complejas de instalar, muchas organizaciones se aventuran a la instalación de este tipo de soluciones sin definir claramente objetivos, requisitos y estimaciones de crecimiento. Incluso se aventuran a pensar que hay soluciones que “out of the box” ya pueden cumplir sus requisitos.
Una mala planificación hace que, por lo general, el proyecto no se implemente de forma adecuada, obteniendo unos resultados que no son los esperados o que no cumplen las expectativas generadas. Lo que provoca, que tras mucho tiempo y esfuerzo dedicado a la implantación se decida abandonar la herramienta y adquirir una nueva pensando que el problema es el producto.
Definición del alcance
Otro de los errores que más se cometen a la hora de implantar un SIEM, es no definir claramente un alcance. Es habitual encontrarse con dos extremos, los que no definen un alcance y aquellos que su alcance es “monitorizarlo todo”.
Evidentemente, ambos extremos son perjudiciales, y como se suele decir en el equilibrio está la clave. Querer abarcarlo todo desde un principio es complicado, sobre todo porque este tipo de herramientas requieren de la coordinación con muchas otras áreas de TI (sistemas, redes, etc.) y no sólo eso, sino que también hay que tener en cuenta que no basta con integrar las fuentes de información directamente en un SIEM, sino que hay que diseñar previamente qué información queremos recopilar de cada fuente, el formato y la retención que queremos tener.
Estos factores condicionaran tanto la elección de la herramienta, el hardware elegido, la arquitectura del sistema, las licencias y por supuesto tendrá un impacto en el presupuesto. Por tanto, son claves para el éxito de un proyecto de estas características.
Checklist
Para finalizar, y a modo resumen, seguir un pequeño checklist como el siguiente puede sernos de gran utilidad si queremos implantar un SIEM con éxito:
• Evaluar las necesidades, recursos disponibles y el nivel de madurez de la organización para determinar si una herramienta SIEM puede sernos de utilidad
• Hacer una pequeña lista de proveedores de SIEM, y estudiar con detenimiento si las propuestas se ajustan a las necesidades de tu organización
• Siempre que sea posible, es interesante hacer una prueba de concepto (PoC) para conocer el producto en detalle y saber si se ajusta a nuestras necesidades
• Definir el alcance del proyecto, si fuese necesario repartirlo en varias fases
• Conocer las dependencias tecnológicas del alcance definido
• Definir un set inicial de reglas que cubra las necesidades de detección. Este set de reglas podrá ampliarse en fases posteriores del proyecto, incluso combinarlo con trabajos de “caracterización de amenazas” para conocer qué gaps tenemos.
• Evaluar regularmente el funcionamiento del SIEM, incluir nuevas reglas de detección (casos de uso) lo cual redundará en una mejor postura de defensa de la organización
Como se ha podido ver en el artículo, son muchos los condicionantes que hacen que un proyecto de implantación de un SIEM sea complejo. De hecho cuando implantamos un SIEM es sólo el comienzo, a partir de este momento se debe mantener y actualizar mediante los procedimientos que tenga definidos la organización, pero eso lo dejaremos para próximos artículos.
Alejandro Aliaga Casanova
Team Leader del Grupo ITSM4Seguridad del Comité de Estandares de itSMF España