¿Qué es un SIEM avanzado y cómo detecta y responde en caso de ataques dirigidos?

Desde hace un tiempo, la ciberseguridad de las empresas pasa por adelantarse a los acontecimientos, evitando que los ataques se produzcan, o respondiendo a ellos en plazos mínimos de tiempo gracias a sofisticadas herramientas. Una de ellas son las SIEM, siglas en inglés de Security Information and Event Management.

En esencia, estas soluciones ayudan a los expertos a gestionar toda la información que reciben de sus propios sistemas de seguridad, para centrarse en la que verdaderamente importa y discriminar la que no, lo que los entendidos llaman "ruido". Las plataformas SIEM hacen un análisis centralizado de datos de seguridad obtenidos desde múltiples sistemas de defensa repartidos por las compañías, que incluyen antivirus, firewalls y soluciones de prevención de intrusiones, entre otros. Ofrece, por lo tanto, una visión de 360 grados de lo que está ocurriendo en los sistemas de información de la empresas. 

Para una corporación, contar con una herramienta SIEM es clave porque los sistemas de seguridad generan un gran volumen de datos que se puede convertir en inútil e inmanejable a menos que una inteligencia los analice adecuadamente y filtre a los expertos las alertas. Si ese análisis tuviera que ser asumido de forma manual por el CISO y el personal de seguridad de la empresa, protegerla sería una tarea inasumible. Muchas veces, en el mundo de la ciberseguridad, la excesiva información que generan los sistemas son como los árboles que no dejan ver el bosque, impidiendo así identificar los verdaderos peligros. Y SIEM ayuda a los expertos a centrarse en lo importante.

Equipo de ciberseguridad de una gran compañía.
Equipo de ciberseguridad de una gran compañía.

Entre otras cosas, una solución SIEM permite ver de forma más sencilla los potenciales peligros, determinar qué amenazas requieren resolución y cuáles son solamente ruido y reiteración, escalar los asuntos relevantes a los analistas de seguridad, registrar los eventos detectados y cómo fueron resueltos o cumplir con diversas regulaciones en materia de protección de datos y certificaciones. Un SIEM avanzado se ayuda de técnicas de analítica avanzada y permite validar incidentes, haciendo posible que los equipos de seguridad puedan actuar y mitigar un ataque antes de que haya impactado en el negocio.  

En definitiva, es una herramienta imprescindible para un equipo de ciberseguridad que cuenta con innumerables frentes abiertos y fuentes de información. Y que, a su vez, tiene que proteger puestos de trabajo, infraestructuras de red, aplicaciones y, cada vez más, cargas de trabajo alojadas en todo tipo de nubes públicas, privadas o híbridas.

La propuesta de RSA con NetWitness Platform

Uno de los proveedores clave en el ámbito de las herramientas SIEM es RSA, compañía que forma parte de Dell Technologies. RSA, de hecho, es uno de los líderes en el Cuadrante Mágico de Gartner, la consultora que en 2005 precisamente acuño el término SIEM.  

La solución de RSA se llama NetWitness Platform y combina herramientas que ayudan a los equipos de ciberseguridad a realizar su seguimiento de las amenazas de forma más efectiva y eficiente. Distinguiendo las alertas benignas de los verdaderos ataques. Y al mismo tiempo, permite a los profesionales adelantarse a los problemas o responder antes, independientemente del entorno donde se produzcan (físico, virtual o en la nube).

RSA NetWitness Platform, herramienta SIEM.
RSA NetWitness Platform, herramienta SIEM.

RSA incorpora analítica, machine learning y automatización de tareas para facilitar la rápida reacción de los especialistas en seguridad. Y también para favorecer que los miembros del equipo de ciberseguridad, que suelen tener una alta retribución, están dedicados a las tareas de más valor y no a actividades de bajo perfil. Para ello, recaba grandes cantidades de información de muchos puntos de recogida, información que viene en forma de logs, paquetes o flujos de red (netflows).

Hay clientes que tardan hasta dos horas cada mañana en revisar las alertas provenientes de sus muchos sistemas de seguridad, y RSA NetWitness Platform puede rebajar ese tiempo ostensiblemente y hacer que esa tarea no ocupe más que unos minutos. Y todo de la forma más eficiente.  

¿Necesitas un experto en Ciberseguridad?