Imagínese que tiene una infraestructura tecnológica por la cual velar, donde se tienen firewalls para proteger el perímetro y antimalware en los dispositivos finales para protegerlos de software malicioso y robo de información sobre los periféricos (USB, CD/DVD, etc.).
Un funcionario de la organización con accesos privilegiados (ya que su rol lo amerita) ingresa a la infraestructura desde la comodidad de su hogar mediante una VPN e instala un software para realizar minería de criptomonedas y, a su vez, obtener un backup de una base de datos donde a este usuario le han informado que no lo haga.
Lo anterior no es un ejemplo de ataques informáticos, malware ni robo de información. Esto hace parte del mal uso de los recursos tecnológicos en una organización, pero es un elemento esencial para la seguridad informática.
¿Cómo podemos verlo?
El primer paso para optar por una buena postura de seguridad informática es la visibilidad; ¿cómo lo hacemos?
Security Information and Event Management (SIEM) es un mecanismo de gestión de eventos de seguridad de los recursos en una infraestructura que conlleva a una centralización y almacenamiento para correlacionar e interpretar datos relevantes de seguridad informática. Dicho de otro modo, es la visión de todos los eventos de los recursos a nivel de seguridad informática.
Una herramienta de SIEM brinda una visión holística de toda la red. Si encuentra algún posible evento anómalo, lo detectará y lo informará a un administrador o centro de operaciones de seguridad llamado SOC.
¿Cómo las herramientas de SIEM detectan ataques y amenazas de ‘malware’ recientes?
Para ello, es importante saber que una herramienta SIEM debe estar alineada a la inteligencia de amenazas.
Advanced Threat Analytics (ATA) es análisis de amenazas avanzado; es un repositorio de amenazas cibernéticas que constantemente investiga direcciones IP, URL y dominios maliciosos. Es una nube de amenazas que alimenta a una organización con estas nuevas amenazas para identificar los riesgos de manera temprana.
En vista de la evolución de los ciberataques se han visto en la necesidad de tener un formato estándar de intercambio de amenazas a nivel mundial denominado STIX (Structured Threat Information Xpression). Este es un formato estructurado para intercambiar información de nuevas amenazas globales desde base de datos de amenazas bajo el protocolo TAXII. Este último es el protocolo de conducción de la información de bases de datos de amenazas.
Organizaciones open source de inteligencia de amenazas como Hail a Taxii, AlienVault Open Threat Exchange (OTX) son repositorios que alimentan a herramientas tales como un SIEM con el fin de que esta obtenga más información de las amenazas globales y pueda proteger su organización.
En pocas palabras, una herramienta de SIEM es útil y necesaria para obtener visibilidad de las operaciones usuario-recurso y, a su vez, ser alimentada por una fuente de amenazas globales para garantizar una postura de seguridad frente a eventos anómalos en la red.
Log360 es la solución SIEM perfecta habilitada con funciones de inteligencia artificial para brindar una protección total desde un método preventivo de amenazas. Se trata de una solución tan completa que este año se incluyó en el Cuadrante Mágico de Gartner para SIEM por quinta ocasión. El próximo 1 de septiembre de 2021 podrá conocer todos los detalles de esta poderosa herramienta en ManageEngine Shield Cloud 2021, un seminario en línea sobre seguridad en la nube e IAM. Inscríbase gratis.
