Uno de los pilares de las estrategias de seguridad digital de las organizaciones es la plataforma de gestión de información y eventos de seguridad o SIEM (Security Information and Event Management). Según la prestigiosa publicación CSO Online, contar con una plataforma SIEM aumenta la supervisión de amenazas y la respuesta a incidentes con el análisis de registros. Para ello, lo que hacen estas plataformas es recopilar y agregar los datos de registro generados en todos los sistemas de TI y seguridad de una organización, clasificando los posibles incidentes. A partir de estas evaluaciones, la plataforma SIEM emite informes sobre posibles incidentes de seguridad y crea alertas si lo que ve se corresponde con las reglas predeterminadas por la organización. Estas funciones pretenden aportar varias ventajas a las organizaciones: una de ellas es la mejora de la visibilidad. Los entornos de las organizaciones evolucionan cada vez más con la introducción de diferentes tipos de activos. Estos dispositivos amplían la superficie de ataque creando puntos de entrada adicionales a través de los cuales un atacante podría establecer un punto de entrada en la red de una organización.
Aunque la recopilación de datos de registro proporciona cierta información sobre posibles ataques, incluso con la ayuda de una solución SIEM, la mayoría de los equipos de seguridad simplemente no pueden revisar y correlacionar manualmente toda esta información de forma eficaz, ya que el número de activos de red sigue creciendo. Necesitan el contexto y las correlaciones de forma automatizada que van más allá de la simple recopilación de datos y las alertas adicionales. Esto nos lleva a una segunda ventaja prevista: una detección y respuesta más rápidas. El análisis manual de los registros puede ser un proceso largo. Las soluciones SIEM pretendían resolver este problema utilizando la automatización para clasificar los datos de registro en tiempo real con la promesa de permitir a los analistas detectar y responder a posibles problemas de seguridad más rápidamente de lo que podrían hacerlo por sí mismos.
La mayoría de los equipos de seguridad simplemente no pueden revisar y correlacionar manualmente toda esta información de forma eficaz
Estos beneficios, entre otros, han impulsado la previsión de crecimiento del mercado mundial de soluciones SIEM en los próximos años hasta alcanzar una cifra estimada de 3.940 millones de dólares entre 2020 y 2024, según informa Business Wire. Si este pronóstico se cumple, dicha progresión registrará una tasa anual media de incremento de más del 12% durante el periodo previsto. Pero, ¿las soluciones SIEM cumplen realmente sus promesas?
Índice de temas
Las limitaciones reales de las soluciones SIEM
Sin embargo, la realidad es que el hecho de contar con una solución SIEM no se han traducido necesariamente en una mayor confianza en la seguridad para las organizaciones. En su informe SIEM 2021, Core Security reveló que el 65% de los participantes en el estudio utilizaban una plataforma SIEM. Un poco más de la mitad (57%) de los encuestados declaró un alto nivel de confianza en sus estrategias de seguridad. Eso no es mucho más que la tasa de confianza de los que no tienen una solución SIEM, que es del 49%.
¿Por qué ocurre esto? El valor y la eficacia de las herramientas SIEM varía en función de las fuentes de datos a las que tienen acceso, así como de la forma en que se ha implantado y mantenido. Estas variables suelen dar lugar a que las soluciones SIEM generen una gran cantidad de falsos positivos y más alertas inconexas que los equipos de seguridad deben gestionar. Esta avalancha de alertas puede producir una “fatiga de alertas” y un cambio cultural en la organización en el que los analistas del centro de operaciones de ciberseguridad y el resto del personal se insensibilizan ante las alertas de seguridad entrantes hasta el punto de dejar de tratarlas con seriedad. Así es como los incidentes de seguridad importantes se pasan por alto.
Además, hay otros problemas que suelen afectar a las soluciones SIEM. Uno de ellos es el hecho de que las organizaciones están ampliando sus estructuras de TI, dispositivos y aplicaciones a un ritmo que la mayoría de los SIEM no pueden seguir. Este inconveniente tiene una gran incidencia dado el reciente cambio de muchas organizaciones hacia la nube y el trabajo en remoto, entornos que son nuevos para los SIEM. Por poner un ejemplo, las soluciones SIEM no son capaces de correlacionar eventos dispares en implementaciones de nube híbrida. Incluso si pudieran, no son capaces de escalar con las crecientes demandas de TI de las organizaciones, ya que carecen de los medios para equilibrar el análisis de los datos de eventos en tiempo real con el almacenamiento de esa información de una manera rentable. A menudo, para compensar el alto coste de las necesidades de almacenamiento de datos de SIEM, se filtra una buena cantidad de datos de incidentes, con lo que la eficacia de la inversión en SIEM se ve gravemente disminuida.
Detección y respuesta ampliada (XDR) al rescate
Los retos mencionados más arriba han contribuido a impulsar la aparición de lo que se conoce como soluciones de Detección y Respuesta Ampliada o XDR (Extended Detection and Response). La XDR, una evolución de la EDR (Endpoint Detection and Response), aprovecha un nuevo paradigma de seguridad que implica el análisis de la telemetría de eventos de sistemas más allá de los dispositivos finales, como los ordenadores portátiles y los dispositivos móviles, para incluir activos basados en la nube, identidades de usuarios, otras herramientas de red y otras partes de la infraestructura de TI. Esta mayor visibilidad se ve ampliada por el análisis automatizado necesario para enriquecer los datos de tipo SIEM con el fin de ofrecer una inteligencia rica en contexto, correlacionada y procesable, que permita a los analistas centrarse en la comprensión de los comportamientos en todos los entornos, en lugar de clasificar más alertas para averiguar lo que está sucediendo en la red.
La XDR, una evolución de la EDR (Endpoint Detection and Response), aprovecha un nuevo paradigma de seguridad que implica el análisis de la telemetría de eventos de sistemas más allá de los dispositivos finales
Cuando se combinan con el análisis de comportamiento de machine learning, las soluciones XDR permiten al personal de seguridad identificar las amenazas con mayor rapidez, comprender más fácilmente todo el alcance de los incidentes y saber cómo están conectados entre sí, y aplicar la mitigación en tiempo real de forma coherente en toda la red, independientemente de su tamaño o complejidad.
En resumen, con una solución XDR sólida, nosotros, los defensores, podemos recuperar la ventaja ante las amenazas cibernéticas con la capacidad de detectar, correlacionar y detener los ataques en tiempo real, incluso en entornos empresariales complejos y en constante evolución. A diferencia de las herramientas SIEM o de gestión de registros, la XDR promete una experiencia centrada en el valor de la seguridad: mejor detección, investigación más fácil y respuesta más rápida. Para derrotar a un adversario que puede esconderse entre silos de datos y conoce cómo funcionan las alertas de detección, se requiere un enfoque centrado en la operación. Implementar una solución XDR supone una detección más rápida de la amenaza, lo que significa una reparación más rápida del problema, poniendo fin a los ataques antes de que se conviertan en incidentes de violación de la seguridad.
