ALIENVAULT TECHNICAL WHITE PAPER. Guía Del Técnico Para Establecer Un Centro De Operaciones De Seguridad

Transcripción

1 Guía Del Técnico Para Establecer Un Centro De Operaciones De Seguridad

2 Esta guía pretende ofrecer a la audiencia técnica la información fundamental necesaria para evaluar los controles de seguridad esenciales para establecer un Centro de Operaciones de Seguridad (Security Operation Center, SOC). La guía proporcionará una firme comprensión de los datos que necesita un SOC para poder operar eficazmente y los métodos que pueden utilizarse para reunir dichos datos. Nota: Esta guía no pretende proporcionar buenas prácticas o los procesos necesarios para operar un Centro de Operaciones de Seguridad. SOBRE ALIENVAULT Founded: 2007 Global Headquarters: San Mateo, CA EMEA/APAC Headquarters: Cork, Ireland Ownership: Privately held Customers: 11,000+ Por qué un Centro de Operaciones de Seguridad? El mundo actual está formado por dos tipos de organizaciones: las que han sufrido una brecha de seguridad y las que todavía no saben que han sufrido una brecha de seguridad. La diferencia entre estos tipos de organizaciones está en la antelación con la que una empresa puede detectar una brecha de seguridad y la efectividad con la que puede responder. Un Centro de Operaciones de Seguridad proporciona la información necesaria para que las organizaciones detecten eficazmente brechas de seguridad y las mitiguen posteriormente. Aunque eliminar las amenazas a las que nos enfrentamos es un objetivo imposible, reducir el tiempo de respuesta y contenerlas es alcanzable. Si nos centramos en responder y contener las amenazas, podemos definir un Centro de Operaciones de Seguridad como: la terminología y los procesos utilizados para detectar brechas de seguridad y coordinar la respuesta adecuada. Los precedentes históricos han llevado a la mayoría de las organizaciones a considerar los Centros de Operaciones de Seguridad como salas de gran tamaño y densidad, dotadas con una enorme cantidad de empleados altamente cualificados (y caros). Esta percepción se debe al hecho de que el mundo ha mirado a las organizaciones más avanzadas en seguridad (grandes instituciones financieras, operadores de telecomunicaciones y organizaciones militares) como modelos a seguir para establecer sus prácticas de seguridad. Aunque es importante aprender lo que se pueda de dichas instituciones, deberíamos de plantearnos ciertas preguntas: Necesitan todas las organizaciones invertir de la misma forma para detectar brechas de seguridad y coordinar las respuestas? Cuáles son las amenazas a las que se enfrenta mi organización y cómo afectan a mis prioridades de inversión? 2

3 El establecimiento de un Centro de Operaciones de Seguridad es un paso necesario para que una organización sea capaz de detectar y contener con eficacia una brecha de seguridad. Una vez tomada la decisión de establecer un SOC, la siguiente pregunta importante que se debe formular es: Cómo puede mi organización lograr este objetivo con la mayor eficacia? Para responder a esto es importante ser crítico con las capacidades existente de su organización. Qué tecnologías tiene ya implementadas que pudieran ser de utilidad? Están estas tecnologías a disposición de mi equipo de seguridad? Qué capacidades tengo en mi equipo de seguridad? Cuáles son las restricciones de tiempo actuales en dicho equipo? Qué prioridad determina nuestra central para este proyecto? Cuando pretende establecer un Centro de Operaciones de Seguridad es importante comprender estas restricciones para asegurar la creación de una solución efectiva. Si la tecnología ya existe, pero no se puede garantizar el acceso a los datos debido a las políticas, resultaría de poca utilidad. De forma análoga, si se adquiere la tecnología pero las generalidades necesarias para su implantación, integración y gestión están más allá de las capacidades de los empleados actuales (ya sea por falta de capacidades y conocimientos o por falta de tiempo), entonces será de poca ayuda. Capacidades Esenciales La detección de brechas de seguridad se convierte en una tarea extremadamente complicada si el proyecto se desarrolla a partir de los ejemplos proporcionados por unas pocas y sofisticadas brechas de seguridad. Sin embargo, cuando se considera en abstracto, las capacidades esenciales son bastante básicas. Asegurar un entorno consiste en responder a unas pocas preguntas básicas: Qué activos debo proteger? Cuáles de mis activos son vulnerables a los ataques? De qué forma están siendo atacados mis activos? Cómo sé si ha tenido lugar una brecha de seguridad? Qué acciones tendrán un impacto mayor sobre mi actitud ante la seguridad? En un entorno sencillo con tan solo unas pocas amenazas poco sofisticadas, este conjunto de preguntas no es difícil de responder. Incluso es posible comenzar a evaluar estas preguntas con procesos manuales y lograr un resultado final razonablemente bueno. Sin embargo, no hace falta que un entorno sea demasiado complejo para que el proceso manual quede fuera de este ámbito. Por esta razón, permítanos examinar la tecnología que puede utilizarse para automatizar estas tareas. 3

4 Qué activos debo proteger? Qué sistemas son críticos para que su empresa siga funcionando? Qué sistemas son críticos para las tareas diarias? De qué otros sistemas dependen dichos sistemas críticos? Qué sistemas gestionan y almacenan información sensible? Comprender los activos con los que cuenta su organización es esencial de cara a priorizar los esfuerzos para responder a los ataques y contener las brechas de seguridad. Ser capaz de establecer prioridades en los esfuerzos para mitigar las amenazas a un sistema crítico es esencial para un Centro de Operaciones de Seguridad eficaz. A menudo, las políticas de respuesta y las capacidades de detección se distribuyen ampliamente sin una buena comprensión de cómo pueden implantarse de forma más efectiva en relación a su impacto en la empresa. Es esencial disponer de un buen conocimiento de los activos implementados y los servicios que ejecutan dichos activos. Más allá de priorizar los esfuerzos en base a su potencial impacto en la empresa, contar con un buen conocimiento de los activos implantados puede ayudar a priorizar la respuesta técnica a las amenazas observadas. Los hackers empiezan a menudo sin ningún conocimiento del diseño técnico del sistema que se han fijado como objetivo. Por eso, una brecha completa de seguridad frecuentemente comienza con una fase de descubrimiento o sondeo. En esta fase, el atacante escaneará la red e intentará explotar las vulnerabilidades conocidas en servicios habituales. Conocer qué servicios están en funcionamiento en un host concreto puede permitir a los observadores del ataque saber si tienen alguna posibilidad de éxito; intentar explotar una vulnerabilidad de Microsoft Windows en una máquina Unix no tiene ninguna probabilidad de éxito. Tener una visión precisa de los activos implantados y de los servicios en funcionamiento en dichos activos es un problema muy difícil. El equipo de operaciones de TI a veces puede ofrecer una imagen razonablemente precisa en un sistema de gestión de activos. Sin embargo, es complicado acceder a estos sistemas y a menudo están obsoletos. Es preferible una solución automatizada al problema, para garantizar que el ritmo rápido de cambio de los centros de datos modernos se refleja con precisión en el centro de operaciones de seguridad. El Descubrimiento de Activos automatizado se puede realizar de siguiendo tres enfoques: MONITORIZACIÓN PASIVA DE RED Al monitorizar pasivamente la red, se enumeran los hosts de tráfico y los paquetes de software instalados, identificando los puertos y los protocolos usados en el tráfico capturado. ESCANEO ACTIVO DE RED El escaneo activo sondea la red para intentar provocar respuestas de las máquinas. Basándose en esa respuesta, la herramienta identificará la máquina y el software instalado en la máquina. 4

5 INVENTARIO DE SOFTWARE BASADO EN HOST La instalación de un agente basado en host proporciona el último nivel de visibilidad. Desde la perspectiva del inventario, el agente puede enumerar todo el software instalado en la máquina, no solo el software que está usando activamente la red (como requiere la monitorización pasiva de red), o el software que escucha en un puerto (como requiere el escaneo activo). Esto proporciona un inventario mucho más exhaustivo y preciso. Estas técnicas se pueden emplear individualmente o combinadas. Cada enfoque requiere una cantidad diferente de acceso al entorno que se va a inventariar; el uso de diversos enfoques asegura que se pueda reunir algo de información en entornos fuertemente controlados. Una buena solución ofrecerá un enfoque flexible al descubrimiento de activos, combinando una o más de las técnicas enumeradas anteriormente para proporcionar una imagen lo más precisa posible. Además, ofrecerá un mecanismo centralizado para descubrir activos en segmentos remotos de la red. Incuso una topología de red moderadamente compleja puede provocar que los operadores se enfrenten a procedimientos complicados de acceso, siendo necesario dar pasos manuales para descubrir activos en segmentos remotos de la red y añadirlos a los costes de gestión de la solución a largo plazo. Cuáles de mis activos son vulnerables a los ataques? Cómo están configurados los activos que tengo en funcionamiento? Cómo se puede acceder a ellos? Tiene alguno de ellos vulnerabilidades conocidas que pueda explotar un atacante? Cuando haya logrado un conocimiento razonable de los activos implementados en su organización, es importante comprender dónde se encuentran sus debilidades. Cuando se responde a un ataque o a una brecha de seguridad, comprender cómo puede atacarse su organización es un factor crucial a la hora de establecer prioridades. Saber que un sistema en particular es vulnerable a los ataques puede convertir el entorno en que opera dicho sistema en una de sus principales prioridades de seguridad. Por ejemplo: si un proceso crucial de la empresa depende de un servidor web anticuado que no puede actualizarse debido a problemas funcionales, se puede hacer un esfuerzo adicional para asegurar que el servidor web está bien protegido frente a los ataques. O si se detecta una brecha de seguridad en el mismo segmento de red del servidor web, se puede asignar una prioridad adicional a la respuesta del incidente. No siempre es factible eliminar la vulnerabilidad de sus sistemas, pero es posible conocer dónde se encuentra y qué impacto podría tener si se explotara. Poseer un buen conocimiento de dónde se encuentran sus debilidades es esencial para comprender qué esfuerzos deben ser prioritarios cuando se enfrenta a un ataque o a una brecha de seguridad. El análisis de vulnerabilidades es un esfuerzo complejo y que consume mucho tiempo. El software implementado en nuestros entornos, ya sea en forma de aplicaciones web, middleware o incluso el firmware de nuestros dispositivos, todos ellos son intrínsecamente vulnerables. Cada parte del software contiene fallos que potencialmente podrían explotarse. 5

6 Esto se debe en gran medida al hecho de que la seguridad a menudo no se tiene en cuenta durante la implementación. Incluso si se tuviera en cuenta la seguridad, siempre se están desarrollando nuevos métodos de ataque, haciendo que el software que era seguro hace un año ya no lo sea hoy. Dada la naturaleza de este problema, el análisis de vulnerabilidades es un proceso continuo y, en última instancia, una tarea muy compleja para realizarse de forma automatizada. Comprender cómo se podría explotar la vulnerabilidad de un software a menudo requiere saber cómo funciona dicho software, qué tipos de datos acepta y qué función se supone que realiza. Esta es la razón por la cual el análisis de vulnerabilidades en nuestros entornos de red simplemente trata de identificar los paquetes de software que contienen vulnerabilidades conocidas. Una vez hecha la simplificación esta tarea de análisis de vulnerabilidades, se puede realizar la automatización. Se pueden utilizar los siguientes enfoques para automatizar el Análisis de Vulnerabilidades ESCANEO ACTIVO DE RED Un escaneo activo de red explora activamente los hosts usando tráfico de red cuidadosamente diseñado para suscitar una respuesta. Esta combinación de tráfico dirigido y la consiguiente respuesta permite a un motor de análisis determinar la configuración del sistema remoto y de los paquetes de software que están funcionando en el sistema. Esto, combinado con una base de datos de vulnerabilidades conocidas, permite que el análisis genere una lista de vulnerabilidades presentes en el sistema. ANÁLISIS BASADO EN HOST Usando el acceso al sistema de archivos de un sistema, un motor de análisis puede realizar una detección más precisa y exhaustiva de vulnerabilidades mediante la inspección del software instalado y la comparación de los paquetes de software detectados con una lista de paquetes conocidos de software vulnerable. Dado que ambos métodos dependen de una base de datos de vulnerabilidades conocidas, es importante que se realicen periódicamente. Los investigadores publican constantemente información sobre nuevas vulnerabilidades, y la única forma de asegurar que su motor de análisis puede detectar las vulnerabilidades más recientes es teniendo una base de datos actualizada. Al igual que con el descubrimiento de activos, la implementación del análisis de vulnerabilidades puede ser un obstáculo logístico. Una buena solución ofrecerá un abordaje flexible en entornos estrechamente controlados, así como una gestión centralizada de los escaneos de evaluaciones de vulnerabilidades en entornos con topologías complejas de red. De qué forma están siendo atacados mis activos? Hay alguien atacando mis sistemas? Qué técnicas están empleando los hackers cuando intentan comprometer mis sistemas? 6

7 De dónde vienen esos ataques? Dada la naturaleza de Internet, no hay ni uno solo de nosotros que no haya sido atacado. A diferencia del mundo físico, en Internet a los hackers les resulta bastante sencillo encontrarnos de forma automatizada. Es posible que el atacante no sepa exactamente a quién está atacando, pero encontrar nuestra puerta principal es tan sencillo como contar hasta tres. Además, a diferencia del mundo físico, un ataque automatizado contra muchos sistemas no es más caro que un ataque contra un único sistema. Por eso, los atacantes están constantemente escaneando Internet a ciegas, atacando todos y cualquier tipo de sistemas que encuentran. Por ejemplo, un simple servidor web que está sirviendo una página web privada y que no había sido indexada por Google se enfrenta a una media de 50 intentos de intrusión al día. Todos nosotros estamos siendo constantemente atacados; comprender la naturaleza, el objetivo y la sofisticación de dichos ataques es crucial a la hora de dar prioridad a nuestros esfuerzos de seguridad. Se puede pensar en la detección de amenazas como en el problema inverso al análisis de vulnerabilidades. El análisis de vulnerabilidades es la metodología utilizada para encontrar vulnerabilidades conocidas en su sistema; la detección de amenazas es el medio para detectar los ataques que están dirigidos a esas vulnerabilidades. Algunos ataques se dirigen a vulnerabilidades concretas con cargas dañinas conocidas; éstos se pueden detectar fácilmente usando una firma que pueda identificar dichas cargas dañinas. Otros ataques son menos conocidos, y en estos escenarios puede ser posible intentar detectar la técnica que está usando el atacante para explotar la vulnerabilidad. Por ejemplo, cuando se intenta explotar un buffer overflow, el atacante tiene que inyectar una gran cantidad de datos al software para desbordar el segmento de memoria que está utilizando ese programa para un búfer en concreto. Una vez conseguido esto, el atacante debe intentar hacerse con el control de la ejecución del programa escribiendo instrucciones máquina en la memoria que acaba de sobrescribir. Como el atacante no conoce el modo exacto en que se va a comportar su ataque, deben dejar cierto margen para el error; a menudo esto se consigue usando una cadena larga de instrucciones de no operación que esencialmente será ignorado por la máquina. Sin embargo, esto deja una bonita huella para que las herramientas de detección de amenazas intenten encontrarlo y lo encuentren: una gran cantidad de datos que se pasan a un programa que contiene una cadena larga con instrucciones de no operación pueden identificarse como un intento potencial de explotación de vulnerabilidad. De forma alternativa, es posible detectar indicadores de un ataque o indicadores de que algo está comprometido. 7

8 La detección de amenazas se puede automatizar usando siguientes enfoques: DETECCIÓN DE INTRUSIONES EN RED (IDS) Analiza el tráfico de red para detectar firmas de ataques conocidos y los patrones que indican actividad maliciosa. Esto se usa para identificar ataques, malware, violaciones de políticas y escaneo de puertos. DETECCIÓN DE INTRUSIONES BASADAS EN HOST Analiza el comportamiento y la configuración del sistema para identificar comportamientos que podrían indicar un compromiso. Esto incluye la capacidad de reconocer rootkits comunes, detectar procesos maliciosos, y detectar la modificación de archivos de configuración cruciales. DETECCIÓN DE INSTRUSIONES INALÁMBRICAS Accede a la tarjeta wireless para monitorizar el tráfico wifi e identificar redes maliciosas. Esto permite la detección de clientes wifi, las redes asociadas y el cifrado utilizado. Crucial para hacer cumplir las políticas inalámbricas. Tal y como comentamos anteriormente, frecuentemente los ataques dirigidos comienzan con una fase de descubrimiento en el que el atacante está intentando identificar activos vulnerables en su red. Detectar que un host concreto está intentando sondear su sistema puede ser esencial para evaluar posteriormente si un ataque potencial del mismo host es real o no. El último recurso para detectar amenazas es intentar detectar los indicadores de compromiso. Al igual que con las otras capacidades de seguridad comentadas, es esencial disponer de un enfoque flexible para detectar amenazas. Los atacantes diseñan los ataques explícitamente para evadir diferentes tipos de capacidades de detección de amenazas. La mejor manera de garantizar que se identifica un ataque es disponer de capacidades de detección de amenazas por capas y redundantes. Otra consideración importante es dónde tenemos ya implementadas la tecnología de detección de amenazas. A menudo, estas tecnologías solo se implementan en el perímetro de la organización con el pensamiento de que los ataques solo pueden venir del exterior. Los ataques modernos han roto este molde; hoy en día, los atacantes utilizan el hecho de que los empleados usan sus ordenadores dentro y fuera del cortafuego corporativo. Un ordenador comprometido mientras se encuentra fuera del perímetro se convierte ahora en un punto de partida para un ataque desde dentro de la red. La detección de amenazas debería implementarse de forma generalizada para abordar esto. Una buena solución para la detección de amenazas empleará múltiples técnicas y proporcionará capacidades de gestión considerables para reducir los costes a largo plazo de la implementación. Cómo sé si ha tenido lugar una brecha de seguridad? Si no detecto el ataque, cómo sabré que un activo está comprometido? 8

9 Si un activo está comprometido, cómo puedo abordar el problema antes de que la brecha se expanda? No todas las brechas de seguridad son evitables. Nuestros esfuerzos para hacer que un sistema sea impenetrable nunca serán suficientes para impedir todos los vectores de ataque. Siempre nos enfrentaremos a una decisión de gestión de riesgos cuando tengamos que determinar la rentabilidad de parar un proceso crítico de negocio al encontrar una vulnerabilidad en algún activo que lo soporte. Los atacantes lo saben y siempre lo utilizarán en su beneficio. Para garantizar que la ventaja que adquieren gracias a esta cuestión es la menor posible, es importante que nosotros detectemos la brecha de seguridad tan rápido como sea posible. Comprender el comportamiento de nuestros sistemas y monitorizar dicho comportamiento buscando indicaciones de que pueda haber ocurrido una brecha de seguridad es esencial para una respuesta eficiente. Por ejemplo, si un servidor interno que solo envía y recibe tráfico HTTP de repente abre un túnel ssh de salida hacia un servidor externo, tenemos buenas razones para pensar que el servidor se ha visto comprometido. Comprender el comportamiento de su sistema como un todo incluye comprender qué activos se comunican entre sí, determinar cuándo aparecen y desaparecen los servicios y hacer un modelo del flujo de red y de uso de protocolo para detectar anomalías. La monitorización de comportamientos se puede llevar a cabo con los siguientes enfoques: MONITORIZACIÓN ACTIVA DEL SERVICIO Valida activamente que los servicios ejecutándose en hosts están disponibles continuamente. Esto se hace con un intercambio de pulsos de sincronización (handshake) a nivel de red y una respuesta que proporcione retroalimentación si el servicio deja de estar disponible. ANÁLISIS DE FLUJO DE RED (Netflows) Analiza los protocolos y el ancho de banda usado por cada uno. Esto se hace capturando metadatos de un netflow, guardando información del protocolo, así como calculando el uso del ancho de banda. CAPTURA DE PAQUETES Captura el paquete TCP/IP completo. Permite el análisis forense del flujo, para que pueda realizarse la inspección detallada si fuera necesario. DETECCIÓN DE INSTRUSIONES BASADAS EN HOST Puede monitorizar los procesos y recursos usados en un sistema concreto. Detectar nuevos procesos o un uso anormal de recursos puede ser indicador de un compromiso. La información que puede obtenerse mediante las herramientas de monitorización de comportamientos debe usarse con precaución. Los sistemas que funcionan en nuestra organización están lejos de ser predecibles: el esfuerzo de picos estacionales como las ventas de final de trimestre pueden causar cargas y conductas nunca vistas antes. Una 9

10 buena solución para la monitorización de comportamientos proporcionará múltiples mecanismos para recopilar estos datos. Adicionalmente, proporcionará un mecanismo de bajo coste para una implementación generalizada en la organización. Qué acciones van a tener un impacto mayor sobre mi actitud ante la seguridad? Qué hago primero? Qué datos debería analizar hoy? Debería detener un ataque recientemente observado, o intentar y contener una brecha de seguridad recientemente descubierta? Cuando se implementan a escala, los controles esenciales descritos para proporcionar descubrimiento de activos, análisis de vulnerabilidades, detección de amenazas y monitorización de comportamientos, producen una cantidad ingente de datos. La comprensión y priorización de dichos datos debe automatizarse para tomar decisiones dentro de un marco temporal razonable. Además es importante que los datos generados se evalúen en conjunto con datos procedentes de otros controles de seguridad. La evaluación de cada flujo de datos de forma independiente conducirá a una mala priorización de los esfuerzos. Por ejemplo: se descubre una nueva vulnerabilidad en un host. Sin contar con un conocimiento de qué servicios proporciona ese host o qué ataques se están dirigiendo al host es complicado decir si es más importante arreglar la vulnerabilidad o eliminar el malware que se acaba de encontrar en otro servidor. Sin embargo, si sabemos que el host en cuestión proporciona a nuestros socios de negocios la capacidad de remitirnos los clientes, y el servidor que tiene la infección con malware está en nuestro laboratorio de examen, entonces podemos empezar a tomar mejores decisiones. La capacidad de encontrar el sentido a estos datos requiere un sistema que los consolide y los gestione todos. Ese sistema debe proporcionar también capacidades de normalización para que los datos de fuentes diversas puedan relacionarse entre sí y pueda presentarse una visión completa al cliente final receptor de la información. Hoy en día existe únicamente un enfoque que permita automatizar la comprensión de los datos: SECURITY INFORMATION & EVENT MANAGEMENT (SIEM) Una plataforma de gestión de la información específicamente diseñada para la evaluación de los eventos y la información de seguridad. Proporciona capacidades para normalizar y analizar datos de diversas fuentes y los correlaciona para presentar una visión más completa de los incidentes que tienen lugar en el sistema en general. El aspecto más importante de una plataforma SIEM es la eficacia con la que la plataforma es capaz de correlacionar y presentar los datos que recopila. El único propósito de esta plataforma es aumentar la eficiencia del usuario que debe analizar todos los datos 10

11 con los que se alimenta. Para que el usuario pueda comprender todos los datos, es necesario poder asociarlos y responder a las consultas del usuario; sin embargo, esto no es suficiente para alcanzar nuestro objetivo de mejorar la eficiencia del operador. La plataforma debe ser capaz de automatizar la correlación de datos con el objetivo de detectar conductas maliciosas, ataques a gran escala y brechas de seguridad. En una buena solución, esta correlación se mantiene actualizada con los últimos conocimientos de amenazas que permitan detectar los métodos más novedosos de los atacantes y las conductas del software malicioso. Implantación de las capacidades esenciales Las organizaciones de seguridad se enfrentan a un reto complicado: si tiene lugar una brecha de seguridad importante, será culpa suya, independientemente del apoyo que la organización haya proporcionado al equipo de seguridad antes de esa fecha. Las capacidades descritas anteriormente son esenciales para que un equipo de seguridad pueda prevenir que ocurran brechas de seguridad o para contener dichas brechas antes de que se conviertan en un problema importante. Sin embargo, a los equipos de seguridad de una organización a menudo se les da poco apoyo político o logístico. Las preocupaciones de las empresas, como el presupuesto, y la asignación de recursos frecuentemente adquieren prioridad sobre la seguridad proactiva. Dada esta limitación de seguridad, los equipos de seguridad deben ser tan eficientes como sea posible durante el establecimiento de un Centro de Operaciones de Seguridad. Para lograr una visión completa y una priorización exhaustiva, las herramientas de seguridad que proporcionan las capacidades esenciales deben implementarse de forma generalizada en toda la organización. Para reducir el coste de esta implementación, es importante tratar y encontrar modos de usar la infraestructura redundante siempre que sea posible. La mayoría de las herramientas de seguridad requieren acceso a los puntos más lejanos de la red, ya sea para monitorizar el tráfico de red o para reunir datos sobre un host. Si cada herramienta se implementa independientemente de las demás, entonces será necesario configurar cada herramienta para comprender la topología de su red, y necesitará las credenciales adecuadas para obtener acceso a todos los segmentos. De forma similar, un gran número de estas herramientas necesitan reglas o información sobre amenazas para actualizarse periódicamente. Si se puede utilizar un mecanismo de actualización común para proporcionar reglas a todas las herramientas, la cantidad de configuración se reducirá enormemente. Otro punto a tener en cuenta es el coste de integrar los controles individuales de seguridad que se han implementado. Tal y como se comentó anteriormente, un producto SIEM está diseñado para consumir y evaluar los datos generados por estos productos. Sin embargo, una plataforma SIEM es tan solo un medio para llegar a un fin. Su propósito es la integración de cualquier tipo de datos, y a menudo requiere un esfuerzo sustancial para integrar una nueva fuente de datos. 11

12 Conclusión Las capacidades comentadas en este trabajo son los activadores esenciales para que una organización responda eficaz y eficientemente a las amenazas y contenga las brechas de seguridad. Aunque la implementación de todas estas capacidades es una tarea ímproba, al final se trata de un proyecto que ahorra tiempo y dinero. Sin contar con visibilidad de las amenazas reales a las que se enfrenta su sistema, el dinero se gastará de forma ineficiente en controles de compensación que podrían no tener ningún efecto. Para las organizaciones, es importante evaluar realistamente cómo se gasta el dinero, y hacerse la pregunta crucial sobre si hay datos de su propio entorno que justifique el gasto en esos proyectos. El establecimiento de un Centro de Operaciones de Seguridad, la tecnología y los procesos utilizados para detectar brechas de seguridad y coordinar la respuesta adecuada, son el primer paso para lograr una gestión del riesgo rentable a largo plazo. 12

13 Sobre AlienVault AlienVault proporciona a organizaciones de todo tipo y tamaño visibilidad sin precedentes en toda la pila de seguridad con la plataforma de gestión de la seguridad unificada AlienVault Unified Security Management (USM ). Basada en OSSIM (el SIEM de código abierto creado por AlienVault que es el estándar de facto), la plataforma USM cuenta con cinco capacidades esenciales de seguridad integradas: descubrimiento de activos, evaluación de vulnerabilidades, detección de amenazas, monitorización de comportamientos y conocimientos de seguridad. AlienVault Open Threat Exchange, un sistema para compartir conocimientos de amenazas entre usuarios OSSIM y clientes de AlienVault, garantiza que USM siempre está por delante de las amenazas. AlienVault es una empresa privada con sede en Silicon Valley y respaldada por Kleiner Perkins Caufield & Byers, Sigma, Trident Capital y Adara Venture Partners. Para más información, visite o síganos en Twitter (@AlienVault). Copyright AlienVault. Todos los derechos reservados