Uno de los retos de las áreas de seguridad, que no es nuevo, es el de lograr una adecuada gestión de los eventos de seguridad, y esto se debe a que en la mayoría de las organizaciones se generan miles o incluso millones de eventos diarios que deben ser revisados para discriminar cuáles son realmente importantes. Esta discriminación debe permitir eliminar eventos irrelevantes o repetidos, así como agrupar eventos relacionados ya sea que provengan de uno o varios sistemas diversos; en un momento específico o bien a lo largo del tiempo.
Por último -y no por eso menos importante-, se debe saber qué hacer cuando se detecta un evento relevante.
Tampoco es nuevo que los fabricantes de software han respondido a esta necesidad generando soluciones para la gestión de eventos de seguridad conocidas de manera general como Security Information and Event Management (SIEM, por sus siglas en inglés). Este es un tema que ha generado mucho interés en los fabricantes de tecnología, y prueba de ello es que actualmente existen más de 20 soluciones en el mercado así como varias herramientas de opensource.
Las plataformas SIEM son herramientas enfocadas a recolectar, almacenar, filtrar, correlacionar y mostrar los distintos eventos de seguridad en una organización. Tienen al menos las siguientes funciones básicas:
-
Normalización, para dejar los eventos en un formato estándar, independiente de la plataforma original de donde provienen.
-
Agrupación, para asociar eventos similares (repetidos) en uno solo, simplificando su visualización.
-
Correlación, para agrupar eventos que están relacionados con una misma actividad o comportamiento sospechoso y que por lo tanto representan un posible incidente.
-
Priorización, para que en función de la agrupación, correlación, criticidad de los activos e información adicional (como vulnerabilidades existentes), se visualicen los eventos más importantes de manera muy clara.
El mecanismo básico utilizado por estas herramientas para la correlación y priorización es el uso de las reglas, las cuales normalmente deben ser configuradas en las interfaces gráficas provistas para ello.
Desafortunadamente estas herramientas, como suele suceder con la mayoría de las tecnologías, no resuelven por si solas la problemática de las organizaciones, esto se debe principalmente a la complejidad tan alta que puede llegar a tener la definición de una regla y que, una vez definida y configurada, se debe contar con un proceso permanente de revisión y mejora.
Debido a lo anterior y siendo nosotros un proveedor de servicios de seguridad administrada, hemos tenido que buscar un enfoque que nos permita resolver por completo este gran reto. Así, definimos una metodología para crear una “arquitectura de eventos de seguridad” que busca, además de ayudarnos en nuestra operación, ser aplicable en distintos contextos con nuestros clientes: tanto como referencia cuando se elige a un proveedor de seguridad administrada para validar que hacen bien sus deberes, como para implementarla en su organización con el fin de obtener el máximo provecho del sistema de correlación que se haya adquirido.
A continuación describo los elementos más importantes que debe contemplar una arquitectura de eventos de seguridad.
Como todo enfoque metodológico, se deberán considerar los tres elementos fundamentales: Procesos, Gente y Tecnología.
En cuanto a los procesos, se deben considerar al menos los siguientes:
-
Proceso de identificación de necesidades del negocio que debe incluir el entendimiento del mismo, el valor de sus activos informáticos, servicios de IT al negocio, infraestructura general de IT – y en particular la de seguridad-, las políticas de seguridad existentes en la organización y las regulaciones aplicables.
-
Proceso de identificación de fuentes de información, es decir, de todos los componentes cuyas bitácoras deberán utilizarse para buscar eventos relevantes.
-
Proceso de mapeo de reglas, donde a partir de una taxonomía específica de ataques se deberán crear escenarios y flujos de eventos que se desea identificar, así como escenarios de tipo “what-if”, para las posibles acciones a tomar y las evidencias que se generarán en cada caso.
-
Proceso de pruebas, mantenimiento y afinación de reglas, que permita validar que las reglas actuales funcionan adecuadamente y, en caso de requerirse, el que las modificaciones se hagan de una manera ordenada.
El enfoque de los procesos deberá ser recurrente, es decir, que deberá garantizar que permanentemente se estén revisando los elementos anteriores y que vayan evolucionando conforme la misma organización lo hace y conforme las amenazas y ataques lo hacen también.
Respecto a la gente, se deberá considerar la formación de personal técnico experto en seguridad (con un perfil tipo analista de seguridad), como arquitecto de eventos, que será responsable de ejecutar los procesos antes descritos para definir la arquitectura. Una vez definida, ésta será traducida al lenguaje de programación o parámetros de configuración particular de la herramienta utilizada en la organización por el experto en dicho producto.
Lo más importante en el arquitecto es la creación de un esquema de pensamiento orientado al entendimiento de los eventos y su relevancia en el contexto de la organización y no tanto sus conocimientos técnicos en las plataformas de correlación.
Asimismo, deben involucrarse otros roles, como el equipo de respuesta a incidentes, sobre todo en la definición de las acciones a seguir en caso de detectarse alguno.
Respecto a la tecnología, se deberá tener claramente establecido que la plataforma a utilizar es capaz de procesar los eventos como se desea y que la visualización será adecuada. Se deberá contar con guías claras para la configuración de las reglas en la plataforma específica y realizar el mayor número de pruebas posibles para validar el correcto funcionamiento de éstas.
Si bien la herramienta es un elemento crítico, es el menos relevante de todos, desde el punto de vista de esta arquitectura.
Los resultados producidos deberían ser al menos los siguientes:
- Modelado de un primer baseline de reglas de correlación a implementar que considere reglas operativas para la detección de actividades sospechosas e incidentes y reglas de cumplimiento para la detección de desviaciones versus la normativa aplicable, así como para validar el cumplimiento de controles de estándares o regulaciones.
-
Procesos y procedimientos para la continua afinación, mantenimiento y actualización del baseline a partir de la operación diaria del sistema.
-
Herramienta de correlación efectiva para minimizar los riesgos e impactos.
.
Conclusiones
El éxito en el uso de un sistema de correlación se basa en dos elementos clave: la información adecuada (fuentes) y las reglas adecuadas (baseline). Lograrlo no es fácil, pero si se utiliza un enfoque de arquitectura de eventos, es decir, un enfoque metodológico como el aquí expuesto brevemente, será mucho más factible obtener los resultados deseados.
Muy buen artículo, considerando siempre las reglas operativas, con el correcto uso de ellas ,una muy buena arquitectura preparada para la seguridad.
Saludos Cordiales.