{"id":3112,"date":"2018-03-06T11:38:58","date_gmt":"2018-03-06T10:38:58","guid":{"rendered":"https:\/\/www.integratecnologia.es\/la-innovacion-necesaria\/?p=3112"},"modified":"2023-12-26T17:43:27","modified_gmt":"2023-12-26T16:43:27","slug":"como-mejorar-tu-estrategia-de-ciberseguridad-con-una-solucion-siem","status":"publish","type":"post","link":"https:\/\/www.integratecnologia.es\/la-innovacion-necesaria\/como-mejorar-tu-estrategia-de-ciberseguridad-con-una-solucion-siem\/","title":{"rendered":"C\u00f3mo mejorar tu estrategia de ciberseguridad con una soluci\u00f3n SIEM"},"content":{"rendered":"<p>\u201cLa respuesta est\u00e1 en los <strong><em>logs<\/em><\/strong>\u201d: fue uno de los primeros mantras que me ense\u00f1aron cuando comenc\u00e9 a trabajar en el mundo de las TIC y, a d\u00eda de hoy, sigue siendo tan v\u00e1lido como hace 10 a\u00f1os, y no os quepa duda de que seguir\u00e1 vigente otros tantos m\u00e1s. Seamos una PYME o una gran empresa, disponemos de decenas de dispositivos y servicios que est\u00e1n generando <strong>eventos<\/strong> con informaci\u00f3n de seguridad continuamente.<\/p>\n<p>Tradicionalmente, una buena estrategia de <strong>mantenimiento preventivo<\/strong> de sistemas inclu\u00eda la <strong>revisi\u00f3n peri\u00f3dica de estos <em>logs<\/em>;<\/strong> se trata de una estrategia adecuada, sin embargo, dadas las actuales exigencias que requiere la seguridad inform\u00e1tica, presenta las siguientes carencias:<\/p>\n<ul>\n<li><strong>No proporciona informaci\u00f3n en tiempo real<\/strong>, s\u00f3lo dispondremos de informaci\u00f3n cuando se realice la tarea peri\u00f3dica de revisi\u00f3n de logs. Actualmente es m\u00e1s que nunca imperativo disponer de datos en tiempo real; detectar eventos que nos permitan <strong>anticiparnos<\/strong> a un incidente de seguridad ahorrar\u00e1 a nuestra organizaci\u00f3n mucho tiempo y dinero.<\/li>\n<li><strong>No disponemos de un punto centralizado de gesti\u00f3n de los eventos de seguridad<\/strong>, s\u00f3lo tendremos informaci\u00f3n de cada uno de los sistemas y servicios como entes aislados. La importancia de disponer de un punto centralizado de gesti\u00f3n de la seguridad se sustenta en la potencia que proporciona la correlaci\u00f3n de eventos de seguridad de distintos or\u00edgenes de datos.<\/li>\n<li>Resulta complicado apoyar los eventos detectados con informaci\u00f3n procedente de las <strong>bases de datos de seguridad de los fabricantes l\u00edderes.<\/strong><\/li>\n<li><strong>No se generan alertas ni respuestas<\/strong> ante los eventos de seguridad que se produzcan.<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<h3>La soluci\u00f3n: una herramienta SIEM (Security Information and Event Management)<\/h3>\n<p>Es un hecho que la informaci\u00f3n sobre eventos de seguridad ya la tenemos, la generan constantemente nuestros sistemas, la incorporaci\u00f3n de una soluci\u00f3n SIEM de \u00faltima generaci\u00f3n nos va a permitir <strong>centralizarla<\/strong> de manera que podamos <strong>correlacionar<\/strong> la informaci\u00f3n de los distintos or\u00edgenes de datos, generando <strong>alertas y respuestas en tiempo real. <\/strong><\/p>\n<p>Asimismo, apoyaremos nuestra detecci\u00f3n en la informaci\u00f3n de seguridad proporcionada por los grandes fabricantes: informaci\u00f3n sobre redes de <em>botnets<\/em>, sitios maliciosos, servidores detectados como fuente de <em>malware<\/em>, etc.<\/p>\n<p>No olvidemos adem\u00e1s la opci\u00f3n que algunos SIEM incorporan de realizar <strong>an\u00e1lisis de vulnerabilidades proactivos,<\/strong> de manera que seamos nosotros los que detectemos una vulnerabilidad antes de que un tercero con \u2018peores intenciones\u2019 se aproveche de ella.<\/p>\n<p>Como dicen que una imagen vale m\u00e1s que mil palabras, vamos a ver ahora alguna de estas funcionalidades, en este caso lo haremos desde una de las soluciones SIEM m\u00e1s potentes en del mercado, <strong>QRadar, el SIEM de IBM.<\/strong><\/p>\n<p><a class=\"lightbox\" href=\"https:\/\/www.integratecnologia.es\/la-innovacion-necesaria\/wp-content\/uploads\/2023\/12\/ibm-qradar.png\"><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter wp-image-3115\" src=\"https:\/\/www.integratecnologia.es\/la-innovacion-necesaria\/wp-content\/uploads\/2023\/12\/ibm-qradar.png\" alt=\"QRadar de IBM\" width=\"514\" height=\"253\" \/><\/a><\/p>\n<h4>Informaci\u00f3n en tiempo real<\/h4>\n<figure id=\"attachment_3116\" aria-describedby=\"caption-attachment-3116\" style=\"width: 517px\" class=\"wp-caption aligncenter\"><a class=\"lightbox\" href=\"https:\/\/www.integratecnologia.es\/la-innovacion-necesaria\/wp-content\/uploads\/2023\/12\/ib-qradar-2.png\"><img loading=\"lazy\" decoding=\"async\" class=\" wp-image-3116\" src=\"https:\/\/www.integratecnologia.es\/la-innovacion-necesaria\/wp-content\/uploads\/2023\/12\/ib-qradar-2.png\" alt=\"Informaci\u00f3n en tiempo real para detener ataques y saber que est\u00e1 ocurriendo en cada momento en nuestra red. \" width=\"517\" height=\"223\" \/><\/a><figcaption id=\"caption-attachment-3116\" class=\"wp-caption-text\"><br \/>Informaci\u00f3n en tiempo real para detener ataques y saber que est\u00e1 ocurriendo en cada momento en nuestra red.<\/figcaption><\/figure>\n<p>\u00a0<\/p>\n<h4>Correlaci\u00f3n de eventos de distintas fuentes<\/h4>\n<figure id=\"attachment_3117\" aria-describedby=\"caption-attachment-3117\" style=\"width: 605px\" class=\"wp-caption aligncenter\"><a class=\"lightbox\" href=\"https:\/\/www.integratecnologia.es\/la-innovacion-necesaria\/wp-content\/uploads\/2023\/12\/correlacion-eventos.png\"><img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-3117\" src=\"https:\/\/www.integratecnologia.es\/la-innovacion-necesaria\/wp-content\/uploads\/2023\/12\/correlacion-eventos.png\" alt=\"En este ejemplo vemos una alerta que se ha generado en base a la entrada de distintos or\u00edgenes de datos: por un lado, se ha detectado en nuestro firewall conexiones que usan el protocolo ssh por un puerto no standard (lo que podr\u00eda suponer un backdoor), y por el otro, intentos de conexiones a m\u00faltiples equipos reportados por dichos equipos en los que se han realizado inicios de sesi\u00f3n fallidos. \" width=\"605\" height=\"102\" \/><\/a><figcaption id=\"caption-attachment-3117\" class=\"wp-caption-text\">En este ejemplo vemos una alerta que se ha generado en base a la entrada de distintos or\u00edgenes de datos: por un lado, se ha detectado en nuestro firewall conexiones que usan el protocolo ssh por un puerto no standard (lo que podr\u00eda suponer un <em>backdoor<\/em>), y por el otro, intentos de conexiones a m\u00faltiples equipos reportados por dichos equipos en los que se han realizado inicios de sesi\u00f3n fallidos.<\/figcaption><\/figure>\n<p>\u00a0<\/p>\n<h4>Generaci\u00f3n de alertas y respuestas<\/h4>\n<figure id=\"attachment_3119\" aria-describedby=\"caption-attachment-3119\" style=\"width: 358px\" class=\"wp-caption aligncenter\"><a class=\"lightbox\" href=\"https:\/\/www.integratecnologia.es\/la-innovacion-necesaria\/wp-content\/uploads\/2023\/12\/rule-response.png\"><img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-3119\" src=\"https:\/\/www.integratecnologia.es\/la-innovacion-necesaria\/wp-content\/uploads\/2023\/12\/rule-response.png\" alt=\"rule response\" width=\"358\" height=\"334\" \/><\/a><figcaption id=\"caption-attachment-3119\" class=\"wp-caption-text\">Nuestro SIEM puede permitirnos generar distintos tipos de alertas, as\u00ed como respuestas en tiempo real.<\/figcaption><\/figure>\n<p>\u00a0<\/p>\n<h4>An\u00e1lisis de comportamiento de usuarios<\/h4>\n<figure id=\"attachment_3121\" aria-describedby=\"caption-attachment-3121\" style=\"width: 432px\" class=\"wp-caption aligncenter\"><a class=\"lightbox\" href=\"https:\/\/www.integratecnologia.es\/la-innovacion-necesaria\/wp-content\/uploads\/2023\/12\/analisis-comportamient.png\"><img loading=\"lazy\" decoding=\"async\" class=\" wp-image-3121\" src=\"https:\/\/www.integratecnologia.es\/la-innovacion-necesaria\/wp-content\/uploads\/2023\/12\/analisis-comportamient.png\" alt=\"An\u00e1lisis de comportamiento de usuarios\" width=\"432\" height=\"424\" \/><\/a><figcaption id=\"caption-attachment-3121\" class=\"wp-caption-text\">Diversos estudios indican que las amenazas con origen interno suponen hasta un 60% de los ataques de seguridad que afrontan las empresas. Un SIEM que pueda analizarlos nos permitir\u00e1 detectar anomal\u00edas (logins a horas no habituales, desde ubicaciones \u201cextra\u00f1as\u201d, a equipos designados como alto valor\u2026) que puedan desembocar en un incidente de seguridad.<\/figcaption><\/figure>\n<p>\u00a0<\/p>\n<h4>Alimentaci\u00f3n constante de amenazas actualizadas<\/h4>\n<figure id=\"attachment_3122\" aria-describedby=\"caption-attachment-3122\" style=\"width: 501px\" class=\"wp-caption aligncenter\"><a class=\"lightbox\" href=\"https:\/\/www.integratecnologia.es\/la-innovacion-necesaria\/wp-content\/uploads\/2023\/12\/configured-threat.png\"><img loading=\"lazy\" decoding=\"async\" class=\" wp-image-3122\" src=\"https:\/\/www.integratecnologia.es\/la-innovacion-necesaria\/wp-content\/uploads\/2023\/12\/configured-threat.png\" alt=\"base de firmas de X-Force\" width=\"501\" height=\"108\" \/><\/a><figcaption id=\"caption-attachment-3122\" class=\"wp-caption-text\">En este ejemplo, vemos como alimentamos nuestra base de datos de amenazas con la base de firmas proporcionada por X-Force, la plataforma de seguridad de IBM.<\/figcaption><\/figure>\n<p>\u00a0<\/p>\n<h4>An\u00e1lisis proactivo de vulnerabilidades<\/h4>\n<p style=\"text-align: center;\"><a class=\"lightbox\" href=\"https:\/\/www.integratecnologia.es\/la-innovacion-necesaria\/wp-content\/uploads\/2023\/12\/scan-result.png\"><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter wp-image-3124\" src=\"https:\/\/www.integratecnologia.es\/la-innovacion-necesaria\/wp-content\/uploads\/2023\/12\/scan-result.png\" alt=\"scan result\" width=\"582\" height=\"85\" \/><\/a><\/p>\n<figure id=\"attachment_3125\" aria-describedby=\"caption-attachment-3125\" style=\"width: 557px\" class=\"wp-caption aligncenter\"><a class=\"lightbox\" href=\"https:\/\/www.integratecnologia.es\/la-innovacion-necesaria\/wp-content\/uploads\/2023\/12\/vulnerability-details.png\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-3125\" src=\"https:\/\/www.integratecnologia.es\/la-innovacion-necesaria\/wp-content\/uploads\/2023\/12\/vulnerability-details.png\" alt=\"an\u00e1lisis de vulnerabilidades \" width=\"557\" height=\"170\" \/><\/a><figcaption id=\"caption-attachment-3125\" class=\"wp-caption-text\">Aqu\u00ed tenemos un ejemplo de an\u00e1lisis de vulnerabilidades realizado sobre uno de nuestros equipos, en el que se muestran las vulnerabilidades existentes, clasificadas por gravedad, y en el detalle de las mismas, obtenemos m\u00e1s informaci\u00f3n sobre como solventarlas.<\/figcaption><\/figure>\n<p>Existen varias soluciones, en el momento de iniciar un proyecto se evaluar\u00e1 cual es la m\u00e1s adecuada en funci\u00f3n de la organizaci\u00f3n. QRadar, por ejemplo, es una soluci\u00f3n que puede ejecutarse <strong><em>on premise<\/em><\/strong> <strong>o como servicio<\/strong> proporcionado por un partner de seguridad, sin necesidad de desplegar en nuestras instalaciones la soluci\u00f3n. En este <strong>webinar,<\/strong> os mostramos con m\u00e1s detalle el funcionamiento de esta soluci\u00f3n:<\/p>\n<p><iframe loading=\"lazy\" src=\"https:\/\/www.youtube.com\/embed\/WrcRK6T1ws4\" width=\"560\" height=\"315\" frameborder=\"0\" align=\"center\" allowfullscreen=\"allowfullscreen\"><\/iframe><\/p>\n<p>La evaluaci\u00f3n de la soluci\u00f3n ser\u00e1 solo una de las fases en un proyecto de implementaci\u00f3n de consola de seguridad centralizada, existen otras como el <strong>an\u00e1lisis, despliegue, configuraci\u00f3n o mantenimiento.<\/strong> Se trata de un proyecto de cabecera en cualquier plan de seguridad y que nos permitir\u00e1 obtener mayor cantidad y, sobre todo, calidad en la informaci\u00f3n de seguridad.<\/p>\n\n\n<p class=\"wp-block-paragraph\"> Art\u00edculo redactado por: Ana Isabel Lahuerta <\/p>\n","protected":false},"excerpt":{"rendered":"<p>\u201cLa respuesta est\u00e1 en los logs\u201d: fue uno de los primeros mantras que me ense\u00f1aron cuando comenc\u00e9 a trabajar en el mundo de las TIC y, a d\u00eda de hoy, sigue siendo tan v\u00e1lido como hace 10 a\u00f1os, y no os quepa duda de que seguir\u00e1 vigente otros tantos m\u00e1s. Seamos una PYME o una [&hellip;]<\/p>\n","protected":false},"author":92,"featured_media":9241,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"om_disable_all_campaigns":false,"_genesis_hide_title":false,"_genesis_hide_breadcrumbs":false,"_genesis_hide_singular_image":false,"_genesis_hide_footer_widgets":false,"_genesis_custom_body_class":"","_genesis_custom_post_class":"","_genesis_layout":"","footnotes":""},"categories":[336],"tags":[168,224],"class_list":["post-3112","post","type-post","status-publish","format-standard","has-post-thumbnail","category-seguridad","tag-ciberseguridad","tag-ibm","entry"],"acf":[],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/www.integratecnologia.es\/la-innovacion-necesaria\/wp-json\/wp\/v2\/posts\/3112","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.integratecnologia.es\/la-innovacion-necesaria\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.integratecnologia.es\/la-innovacion-necesaria\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.integratecnologia.es\/la-innovacion-necesaria\/wp-json\/wp\/v2\/users\/92"}],"replies":[{"embeddable":true,"href":"https:\/\/www.integratecnologia.es\/la-innovacion-necesaria\/wp-json\/wp\/v2\/comments?post=3112"}],"version-history":[{"count":0,"href":"https:\/\/www.integratecnologia.es\/la-innovacion-necesaria\/wp-json\/wp\/v2\/posts\/3112\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.integratecnologia.es\/la-innovacion-necesaria\/wp-json\/wp\/v2\/media\/9241"}],"wp:attachment":[{"href":"https:\/\/www.integratecnologia.es\/la-innovacion-necesaria\/wp-json\/wp\/v2\/media?parent=3112"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.integratecnologia.es\/la-innovacion-necesaria\/wp-json\/wp\/v2\/categories?post=3112"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.integratecnologia.es\/la-innovacion-necesaria\/wp-json\/wp\/v2\/tags?post=3112"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}