'El machine learning es una nueva capacidad que los SIEM deberían incorporar para ser más efectivos' (IBM)

Capaces de conectar y unificar la información repartida entre los sistemas, analizarla y referenciarla desde una interfaz, los sistemas de información y gestión de eventos, o SIEM, ayudan a realizar detecciones y respuestas ante amenazas más efectivas.

Hablamos con Eduardo Argüeso, Director de IBM Security para España, Portugal, Grecia e Israel, sobre las soluciones SIEM (Security Information and Event Management), su papel en una arquitectura de seguridad, su adopción en la empresa española…

También puedes leer... La nueva Mafia El riesgo de los altavoces inteligentes Los cinco grandes mitos de las Brechas de Seguridad Consideraciones para la creación de un SOC Cómo utilizar la Dark Web para la inteligenciad de amenazas

. ¿Cuál es el valor real de un SIEM?

Empezando desde lo más básico, consolidar toda la información respecto a posibles incidentes que estás captando de las distintas plataformas de gestión específica de cada uno de los dominios que va a tener una empresa normalmente. Lo segundo es relacionar los distintos inputs que por sí solo pueden dar o no indicio de posibles amenazas o ataques, o al revés, que por sí solas parezcan amenazas, pero en conjunción con otras no.

En general un SIEM te hace ser más efectivo en el análisis de lo que realmente es un ataque y lo que no; es decir te permite separar lo que es ruido de fondo de lo que son ataques reales. Permite reducir los falsos positivos, y por tanto no pierdes tiempo dedicado a solucionar lo que al final no es un problema, y al revés, no se te pasan de largo cosas que sí son realmente un problema y que a la larga son más costosas de resolver y pueden tener un impacto en la empresa.

. Un reciente estudio identificaba la configuración y el mantenimiento como uno de los grandes problemas cuando se trabaja con un SIEM, ¿Qué opina?

Yo diría que SIEM es un concepto muy ampliamente utilizado y hay muy diferentes acepciones y consecuencias. Por ejemplo, en este mundo de los SIEM se ha evolucionado a partir de sistemas de gestión de logs, que es una de las fuentes más habituales de información de posibles ataques. Un gestor de logs es una herramienta que permite gestionar grandes cantidades de información , pero no suele estar preparado para hacer cosas más específicas de seguridad, como puede ser integrarse con fuentes específicas de seguridad, con sistemas de protección de entornos, ni tampoco para integrar directamente la información sobre vulnerabilidades que esté disponible; e igualmente no suele estar preparado de forma nativa para configurar reglas que permitan precisamente hacer esa cualificación de los diferentes eventos o las distinta yuxtaposición de eventos en información sobre amenazas. Esa configuración reglas, si la tengo que hacer a mano, suele ser costosa.

Por el contrario, los sistemas que no han evolucionado desde un gestor de log y que, por supuesto tiene la capacidad para gestionar logs pero que nacen con esa vocación de SIEM, incorporan todas esas capacidades de forma nativa. Por supuesto sigues teniendo que configurar reglas, pero la transformación de esas reglas conceptuales en reglas físicas en el sistema es mucho más senillo porque tiene una maquinaria de configuración y de despliegue de las mismas, no la tengo que desarrollar

Esa carga de trabajo redundante te las puedes eliminar, o por lo menos limitar si te basas en un producto que nace como SIEM.

. ¿Cree que las soluciones de monitorización de red con machine learning dejarán atrás a los SIEM?

Yo creo que no. Creo que es más bien una evolución, un añadido sobre el SIEM que lo que hace es potenciar su capacidad de actuación. Por ejemplo, una de las capacidades que hemos visto como necesarias y hemos añadido es la de detectar comportamientos anómalos, sobre todo para protegernos de los ataques internos. Esa caracterización de lo que es normal y lo que no lo es se hace precisamente con Machine learning.

De forma que es más bien una nueva capacidad que los SIEM pueden y deberían incorporar para ser más efectivos. Y voy más allá, machine learning es un caso claro, pero nosotros estamos empezando a utilizar ya la Inteligencia artificial. No para sustituir al analista, que siempre será el que tome la última decisión, pero como los analistas son escasos y parece que lo van a ser cada día más, estamos viendo cómo podemos automatizar la parte del trabajo del analista que un sistema realmente inteligente pueda hacer. Es un más allá. Yo creo que el machine learning es una clara herramienta a utilizar y que la inteligencia artificial también.

Al final parece que el machine learning a lo que va es a reducir los falsos positivos…

Lo que va es a caracterizar de una forma más precisa la concurrencia de un montón de eventos que de otra manera podrías caracterizar de forma errónea. Y puede ser un falso positivo que está mal porque te genera trabajo redundante, trabajo basura; pero sería todavía peor que perdieras un falso negativo, es decir que haya un ataque real y que no lo detecte a tiempo porque no me he dado cuente de que una concurrencia de eventos aparentemente inocuos que cuando aparecen en concurrencia realmente están indicando un patrón de ataque. Al final sirve para las dos cosas, para evitar un falso positivo y mejorar tu eficiencia, y para eliminar esos falsos negativos, porque al final un SIEM está para detectar patrones y ataques, y atajarlos lo antes posible.

. ¿Cuál sería el perfil de una empresa que adopta un SIEM?

Todo tipo de empresas. Si es verdad que de forma histórica cualquier gran empresa tiene ya un sistema SIEM funcionando desde hace años. Las pequeñas, que a lo mejor no han puesto en marcha un sistema que integre los distintos mecanismos de protección que tienen desplegados se dan cuenta de que los árboles no le dejan ver el bosque, que necesitan consolidar la información y analizarla de forma unificada y de forma correlada; lo que están optando muchas veces estas empresas más pequeñas es por la prestación de un servicio de Managed SIEM o de SOC as-a-service

. ¿Está la empresa española adoptando este tipo de herramientas?

Absolutamente, yo creo que estamos absolutamente al día , al nivel de desarrollo como cualquier país. Tiene un nivel de adopción muy alto.

. ¿Cree que la GDPR impulsará el uso de las mismas?

Creo que GDPR necesita y demanda la implantación de un SIEM, evidentemente no por sí solo sino como una de las prácticas y regulaciones que tengo que cumplir. De forma que es uno de los impulsores de adopción.