Documente Academic
Documente Profesional
Documente Cultură
Gestin de
la Seguridad
Unificado
vs.
SIEM
SOBRE ALIENVAULT
Fundada en:
2007
Las herramientas SIEM (System Information and Event Management) surgieron cuando las
empresas descubrieron que gastaban mucho dinero en sistemas de prevencin/deteccin de
intrusiones (IDS/IPS). Estos sistemas eran tiles para detectar ataques externos pero, debido a su
Sede EMEA/APAC:
Cork (Irlanda)
Tipo de compaa:
Privada
un subconjunto de eventos generados por firewalls e IDS/IPS que infringan las polticas. Aunque
la tecnologa SIEM era cara y requera mucho tiempo en mantenimiento y ajuste, las inversiones
en SIEM continuaron, ya que resolvan el quebradero de cabeza que supona poner en orden un
nmero excesivo de falsos positivos y proteger a las empresas de amenazas externas.
Clientes:
+11.000
Aunque la tecnologa SIEM constitua un paso en la direccin correcta hacia una gestin mejorada,
el mundo se hizo ms complicado cuando nuevas regulaciones como la Ley Sarbanes Oxley (SOX)
y el Estndar de Seguridad de Datos para la Industria de Tarjeta de Pago (PCI DSS) obligaron a
evaluaciones y controles informticos internos mucho ms estrictos. Asimismo, la virtualizacin se
hizo ms frecuente, y se introdujeron nuevas soluciones de seguridad a medida que la explosin
de dispositivos personales, en gran mayora centrados en la movilidad, entr en las empresas.
D O C U M E N TO
Las herramientas
LEM se disearon
para recopilar,
generar informes
y archivar un gran
volumen de logs,
mientras que las
soluciones SIEM
se disearon
para correlar un
subconjunto
de logs
T E C N I C O
A LI E N VAU LT
Para satisfacer estos nuevos requisitos, las organizaciones se vieron obligadas a recopilar, analizar,
elaborar informes y archivar todos los logs, para as monitorizar las actividades dentro de sus
infraestructuras de TI. El intento consista no slo en detectar amenazas externas, sino tambin en
proporcionar informes peridicos de las actividades de los usuarios y crear informes forenses sobre
un incidente determinado. Aunque las tecnologas SIEM recopilaban los logs, solo procesaban un
subconjunto de datos relacionados con brechas de seguridad. No estaban diseadas para manejar el
enorme volumen de datos de logs generados en todos los componentes del sistema de TI tales como
aplicaciones, switches, routers, bases de datos, firewalls, sistemas operativos, IDS/IPS y proxies web.
Creados para monitorizar las actividades del usuario ms que para afrontar amenazas externas, los
productos LEM (Log Management) entraron al mercado como una tecnologa que posea la arquitectura
para manejar volmenes de datos mucho ms grandes, con capacidad para escalar y satisfacer las
necesidades de las empresas ms grandes. Aunque las empresas implementaron soluciones SIEM
y de gestin de logs para satisfacer los distintos requisitos empresariales, tambin descubrieron
que las dos tecnologas funcionaban bien juntas. Las herramientas LEM se disearon para recopilar,
generar informes, y archivar un gran volumen de logs, mientras que las soluciones SIEM se disearon
para correlar un subconjunto de logs con el objetivo de destacar los eventos de seguridad ms
graves, y esto no ha cambiado. Splunk, por ejemplo, es una solucin SEM con muy poca utilidad
en seguridad. Las soluciones SIEM continan centrndose en agregar fuentes externas de datos.
Lamentablemente, tanto LEM como SIEM carecen del conocimiento de seguridad necesario para
detectar amenazas y combatir eficazmente los ataques actuales. Para empeorar an ms las
cosas, en momentos de dificultades econmicas y con presupuestos muy ajustados influyendo
en las decisiones, podemos esperar ver cmo los equipos TI estiran sus antiguas tecnologas de
logging para resolver incluso ms problemas que antes (como se demostr con la convergencia
de SEM y SIM, que cre SIEM). Ahora que hemos hecho un repaso del pasado, hablemos de
Qu ha cambiado? y Por qu?
D O C U M E N TO
T E C N I C O
A LI E N VAU LT
Correlacion pobre
Es difcil encontrar el equilibrio adecuado entre las reglas de correlacin que descubren todos
los posibles ataques y las reglas de correlacin que producen demasiados falsos positivos en
las alertas. A menudo, el ajuste requiere contratar servicios profesionales e incurrir en gastos
continuados, y los analistas del sector informan a sus clientes que ...ser necesario un ao
de ajustes. Esta falta de equilibrio continuar asolando a los fabricantes de SIEM, ya que la
complejidad de gestionar todos los cambios de una red tpica, incluyendo movimientos, adiciones
y ediciones de las fuentes de datos (como servidores, dispositivos y aplicaciones), no es algo
que puedan resolver.
Las organizaciones confan en la capacidad del SIEM de recopilar, normalizar y conservar datos
con el objetivo de propiciar la correlacin. Sin una correlacin muy slida (esto es, personalizada),
la deteccin y respuesta a las amenazas es imposible. Y si una organizacin quiere garantizar la
fidelidad de su lgica de correlacin, debe verificar su correlacin personalizada siempre que haya
un cambio en la red. Por ejemplo, no es infrecuente ver cmo una actualizacin rutinaria para una
fuente de datos (por ejemplo, debido a una actualizacin del SO/firmware) tiene un efecto dramtico
sobre la fidelidad de las reglas/alarmas/lgica de la correlacin. Esto ocurre cuando se ejecutan
actualizaciones en dispositivos, servidores (fsicos o virtuales), antimalware, aplicaciones etc. Las
organizaciones son muy dinmicas y la infraestructura de red est evolucionando constantemente.
Facilidad de uso
Como comentamos anteriormente, las soluciones SIEM llevan en el mercado casi una dcada.
Estas mismas soluciones se desarrollaron para dar servicio a las empresas ms grandes, donde
los recursos y los empleados dedicados en exclusiva a este efecto son la norma. La comprensin
de para quin fueron diseadas estas soluciones explica por qu la gran mayora de estas
soluciones SIEM son muy difciles de usar. Lamentablemente, los profesionales de la seguridad
se han resignado a aceptar esto como parte de su trabajo. Pero no tiene por qu ser as.
Tendencias y anlisis
Si el ajuste o la correlacin no le llevan al fracaso, lo har el anlisis. A menudo los SIEM tienen
una seleccin de informes predefinidos, pero la creacin de informes nuevos no es flexible para
adaptarse a las condiciones rpidamente cambiantes de las infraestructuras actuales. Los informes
predefinidos pueden resultar tiles, pero confiar en ellos para comprender las implicaciones
de un evento de seguridad de un extremo a otro, desde el router frontera hasta la aplicacin,
sencillamente no funciona. En un mundo en el que las amenazas son cada vez ms dinmicas,
la generacin de informes debe ser tambin dinmica.
El enfoque basado en reglas
Cuando un evento de seguridad correlacionado es presentado al analista de seguridad, es razonable
esperar que el analista limite su investigacin a las fuentes de datos contenidas en la alerta. Un
enfoque basado en reglas soporta solo una visin hacia adelante de los datos de seguridad: si
una regla de correlacin est mal, no se puede ajustar el modelo y volver a analizar el resultado,
porque los eventos que no se correspondan con la regla antigua ya se han descartado. No es
el resultado deseado y, por supuesto, no por lo que cuestan las soluciones SIEM tradicionales.
Costo
El SIEM es caro. Es caro porque las grandes empresas siguen pagando grandes sumas por
estas soluciones. Los SIEM han tenido, en la mayora de los casos, un precio prohibitivo para el
cliente del mercado medio que busca seguridad para su organizacin.
D O C U M E N TO
T E C N I C O
A LI E N VAU LT
Costos de implementacin/optimizacin
Costos de renovacin
Los costos ocultos son los que normalmente producen la desaparicin o el poco de los SIEM
tradicionales: costos dolorosos y muy reales asociados a la implementacin, integracin, uso,
gestin, formacin, ajuste y expansin potencial de la implementacin.
Estas son las reas que han conducido a la insatisfaccin con el enfoque SIEM tradicional.
El problema es muy real y evidente en casi todas las organizaciones que han tenido alguna
experiencia con la tecnologa SIEM. AlienVault solo tena que escuchar a sus clientes para
saber que algo deba de cambiar. Esto se convirti en nuestro motor principal para presentar
la plataforma de gestin de seguridad unificada Unified Security Management (USM).
por varias razones, la mayora de las veces para robar datos o propiedad intelectual, o para
manchar su reputacin.
La carrera armamentstica de la seguridad no puede continuar indefinidamente, ya que
el presupuesto para asegurar su organizacin no crece al mismo ritmo al que crecen las
nuevas amenazas de seguridad.
A pesar de que la tecnologa SIEM lleva varios aos en el mercado, contina decepcionando
a los usuarios.
Afortunadamente, hay una alternativa al SIEM tradicional, una que supera los retos que siguen
limitando la efectividad de la tecnologa SIEM (pobre correlacin, facilidad de uso, tendencias y
anlisis, enfoque basado en reglas, y costo alto): Gestin Unificada de Seguridad (USM).
A diferencia de todas las dems soluciones de seguridad del mercado, la plataforma USM de
AlienVault ha reducido drsticamente el costo y la complejidad relacionada con la compra e
implementacin de todos los controles esenciales de seguridad necesarios para tener una
visibilidad exhaustiva de la seguridad.
D O C U M E N TO
T E C N I C O
A LI E N VAU LT
D O C U M E N TO
T E C N I C O
A LI E N VAU LT
Medir, gestionar e informar del cumplimiento normativo (PCI, HIPAA, ISO, y ms)
USM proporciona
controles integrados
de seguridad para
simplificar y acelerar
la deteccin de
amenazas y la
remediacin
funcionalidades potentes que sean fciles de usar, con uno de los ROI ms rpidos y de mayor
duracin del mercado.
D O C U M E N TO
T E C N I C O
A LI E N VAU LT
en su infraestructura.
Actualizaciones de descubrimiento de activos y de bases de datos de inventario identifican
Piense en AlienVault
Labs como en una
extensin de su equipo
de TI.
infraestructura.
Plantillas de respuesta a incidentes / gua de cmo actuar para cada alarma del USM
Correlacin de eventos
Otra rea donde el diseo integrado y enfocado a la seguridad de AlienVault disfruta de
ventaja sobre otras herramientas es en la correlacin. AlienVault comprende que la mayora de
las organizaciones no disponen del tiempo, los recursos o la experiencia dentro de la propia
organizacin para monitorizar los cambios en el panorama de las amenazas, ni para manejar
todas las tecnologas que se han implementado en su infraestructura.
AlienVault proporciona conocimiento entendible sobre seguridad, mediante la automatizacin
del proceso de correlacin de eventos:
Recopilacin de datos Identificacin de los datos de los logs para su importacin e
integracin automticas, tanto desde las tecnologas incluidas en la plataforma USM como
desde herramientas de terceros mediante plug-ins
Los clientes pueden utilizar nuestra amplia biblioteca de plug-ins o crear los suyos
D O C U M E N TO
T E C N I C O
A LI E N VAU LT
corporativos
Deteccin de exfiltracin de datos previene las filtraciones de datos sensibles y de
propiedad intelectual
Identificacin de trfico de comando y control (C&C) identifica los sistemas
D O C U M E N TO
T E C N I C O
A LI E N VAU LT
Los datos de
amenazas
son filtrados
agregados,
validados,
conservados
y publicados
automticamente
por el equipo de
investigacin
de amenazas de
AlienVault Labs
compartir informacin sobre los vectores de ataque da ventaja al adversario. La mayora de las
redes de conocimiento de amenazas son cerradas y estn limitadas a determinados sectores,
fabricantes u organismos gubernamentales. Por primera vez, OTX de AlienVault permite compartir
de forma annima el conocimiento de amenazas con cualquiera que se una.
OTX forma parte de un pilar fundamental de la inteligencia de seguridad de la plataforma USM de
AlienVault. OTX es una tecnologa nica de defensa colaborativa que el equipo de investigacin
de amenazas de AlienVault Labs valida y conserva. Incorpora datos de ms de 140 pases y de
una amplia gama de dispositivos (firewalls, proxies, servidores web, sistemas antivirus y sistemas
de intrusin/deteccin/prevencin).
Estos datos son filtrados, agregados, validados, conservados y publicados automticamente por
el equipo de investigacin de amenazas de AlienVault Labs. Adems de proporcionar datos para
las actualizaciones regulares de la plataforma USM, OTX permite difundir el conocimiento de
seguridad colaborativo entre muchos sectores y pases, compuestos por organizaciones de todos
los tamaos. Compartir todo esto limita la capacidad de los atacantes para aislar objetivos por
sector o por tamao de organizacin, mejorando la seguridad de cualquier entidad que participa.
10
D O C U M E N TO
T E C N I C O
A LI E N VAU LT
ALIENVAULT
Descubrimiento de activos Descubre y rastrea hosts, servicios y software instalado que estn
presentes en el entorno, para lograr una correlacin mejorada y un contexto para la respuesta al
incidente
TECNOLOGA
ALIENVAULT
Escaneado activo de red escanea activamente la red para identificar y obtener la versin de los
servicios en ejecucin sin acceso local a la mquina
Escaneado activo de red escanea activamente la red para identificar servicios vulnerables. Hay
disponible el escaneado con y sin autenticacin, dependiendo del objetivo.
IDS de red ejecuta una inspeccin profunda de paquetes del trfico de la red para identificar
ataques y comportamientos de sistemas comprometidos, infraccin de polticas y ms.
IDS host monitoriza la actividad de un host a nivel de sistema operativo para detectar indicadores
de compromiso, como rootkits, malware o servicios que abusan del sistema
IDS inalmbrico monitoriza entornos buscando puntos de acceso no autorizados para identificar
accesos potencialmente no autorizados a las redes.
Anlisis del flujo de red (Netflows) identifica la actividad de la red por todo el entorno. Identifica el
uso de protocolos y el volumen de trfico entre hosts en entornos monitorizados.
Gestin de logs proporciona una interfaz consolidada para informar y consultar la actividad
que tiene lugar en los entornos monitorizados. Esencial para la mayora de los casos de uso de
cumplimiento normativo.
SIEM
SIEM
11
No hace falta que se fe de nosotros, vea lo que dicen sus colegas y expertos del sector:
CUADRANTE
MGICO GARTNER
HISTORIAS DE
CLIENTES
PRUEBA
G R AT I S
VEA UNA
DEMO
Sobre AlienVault
Desarrollado en base a controles de seguridad probados y actualizado continuamente
con las ltimas amenazas conocidas, la plataforma USM de AlienVault ofrece una solucin
completa, simple y asequible para que las organizaciones con presupuesto y plantilla de
seguridad limitados aborden el cumplimiento y la gestin de las amenazas. Con las tecnologas
esenciales de seguridad ya integradas, USM pone al alcance de los equipos de seguridad
que necesitan hacer ms con menos la visibilidad de la seguridad a nivel empresarial que
necesitan. Combinado con el motor de recopilacin de datos de Splunk, las organizaciones
dispondrn de una solucin de deteccin de amenazas del ms alto nivel.