Más allá de sus raíces de administración de registros, los proveedores de software de administración de eventos e información de seguridad (Security Information and Event Management) de hoy están introduciendo aprendizaje automático, análisis estadístico avanzado y otros métodos analíticos en sus productos. El software ofrece a los profesionales de la seguridad empresarial información y un historial de las actividades dentro de su entorno de TI.
La tecnología existe desde hace más de una década, evolucionando desde la gestión de los registros de los sistemas. La gestión de eventos de seguridad analiza los datos del registro y eventos en tiempo real proporcionando monitorización de las posibles amenazas, correlación de eventos y respuesta a incidentes, mediante la gestión de información de seguridad recopilada.
El software recopila y agrega los datos de los registros generados en toda la infraestructura de la organización, desde los sistemas host y las aplicaciones hasta la red y los dispositivos de seguridad, como los cortafuegos y los antivirus.
- Proporciona informes sobre incidentes y eventos relacionados con la seguridad:
- Como inicios de sesión exitosos y fallidos
- Actividad de malware y otras posibles actividades maliciosas
- Envía alertas si el análisis muestra que una actividad se ejecuta contra conjuntos de reglas predeterminados y, por lo tanto, indica un posible problema de seguridad.
- Después, el software identifica y categoriza los incidentes y eventos, y los analiza cumpliendo dos objetivos principales:
Los auditores necesitan una forma de ver si se está cumpliendo o no con el cumplimiento, y SIEM proporciona la monitorización y los informes necesarios.
Uno de los principales impulsores del uso del software SIEM para operaciones de seguridad reside en las nuevas capacidades contenidas en muchos de los productos en el mercado, muchas tecnologías SEIM incorporan fuentes de inteligencia sobre amenazas además de los datos de registro tradicionales, y existen varios productos SIEM que tienen capacidades de análisis de seguridad que analizan el comportamiento de la red y el comportamiento del usuario para brindar más inteligencia sobre si una actividad indica maliciosa actividad.
El informe de Gartner señala que los proveedores están introduciendo aprendizaje automático, análisis estadístico avanzado y otros métodos analíticos en sus productos, mientras que algunos también están experimentando con inteligencia artificial y capacidades de aprendizaje profundo.
Según Gartner, los proveedores comercializan avances como capacidades que pueden proporcionar tasas de detección más precisas a un ritmo más rápido. Sin embargo, señala que las empresas aún no tienen claro si, o en qué medida, estas capacidades generan nuevos beneficios para la organización.
Con la inteligencia artificial y el aprendizaje automático podemos realizar inferencias y monitorizado basados en patrones, pero el verdadero objetivo es la restauración predictiva. Se pasa de una herramienta de monitorizado a un software que proporciona sugerencias correctivas, incluso en un futuro pudiendo automatizar la corrección.
El software SIEM es utilizado principalmente por grandes organizaciones y empresas públicas, donde el cumplimiento de las regulaciones sigue siendo un factor importante en el uso de esta tecnología.
Si bien algunas empresas medianas también utilizan software SIEM, las pequeñas empresas no suelen necesitar ni querer invertir en él. Las pequeñas empresas no suelen tener la capacidad de contratar la externalización necesaria para mantener el software SIEM de forma continua. Dicho esto, también es señalable que algunas pequeñas y medianas empresas han proporcionado SIEM como una oferta de software como servicio a través de proveedores de subcontratación que son lo suficientemente grandes como para vender ese servicio a sus clientes PYMES.
Actualmente, los usuarios de grandes empresas tienden a ejecutar siempre el software SIEM en las instalaciones, debido a la sensibilidad de algunos de los datos que pasan por el sistema. Las herramientas registran cosas sensibles, y esto no es algo que que apetezca enviar a través de Internet. Sin embargo, a medida que aumentan las capacidades de aprendizaje automático e inteligencia artificial dentro de los productos SIEM, algunos analistas esperan que los proveedores de SIEM ofrezcan una opción híbrida, con algunos de los análisis ejecutándose en la nube.
Las empresas deben evaluar los productos en función de sus propios objetivos para determinar cuál se ajustará mejor sus necesidades. Las organizaciones que desean esta tecnología principalmente para el cumplimiento valorarán ciertas capacidades, como los informes, más que las organizaciones que desean aprovechar SIEM para configurar un centro de operaciones de seguridad.
La mayoría de las empresas continúan utilizando el software SIEM principalmente para rastrear e investigar lo que sucedió, este caso de uso está impulsado por la creciente amenaza de infracciones y las consecuencias cada vez más graves a las que se enfrentarán las organizaciones ante tales eventos.