Privileged Access Management

PAM, SIEM y SAO: Cómo aprovechar las herramientas de seguridad para potenciar la Gestión de Alertas

Se puede hacer una analogía entre las operaciones de ciberseguridad de una organización y la canción de los 80 del grupo alemán Nena «99 Red Balloons». En nuestro caso, en lugar de intentar localizar 99 globos rojos, lo que buscamos es identificar alertas de seguridad. En realidad, miles de ellas, ya que la mayoría de las organizaciones reciben más de 10 000 alertas diarias.

Muchas organizaciones reciben más de 10 000 alertas de seguridad al día.

Para conseguir proteger a nuestra organización, es necesario que evaluemos rápidamente la gravedad de cada alerta y nos hagamos la pregunta que Nena se hacía: «¿Hay algo de aquí que viene de otro lugar?».

Pese a que las ciberamenazas a las que nos enfrentamos no son los misiles nucleares de los que habla la canción, estas siguen siendo extremadamente destructivas, por lo que deberíamos darnos prisa en «identificar, aclarar y clasificar» estas amenazas.

Herramientas de ciberseguridad en constante evolución

SIEM | Gestión de Eventos e Información de Seguridad

Con el fin de facilitar el trabajo que supone analizar las amenazas cibernéticas, en los últimos años el número de herramientas de ciberseguridad ha aumentado considerablemente. Por ejemplo, los sistemas de Gestión de Eventos e Información de Seguridad (SIEM) procesan registros de diversos dispositivos como firewalls y Sistemas de Detección de Intrusiones (IDS). Al relacionar la información de estos flujos de datos, SIEM consigue establecer conexiones entre ataques potenciales y emitir alertas.

Las soluciones SIEM asimilan registros de diversos dispositivos para establecer conexiones entre ataques potenciales.

SIEM representa un gran avance en materia de alertas inteligentes. De hecho, esta tecnología se está volviendo cada vez más popular y crece en torno al 10% anual (en parte debido a los requisitos de conformidad). Se prevé que para 2023 el mercado de SIEM alcance los 3 700 millones de dólares.

No obstante, por sí sola, la tecnología SIEM no puede llevar a cabo una evaluación completa de las alertas ni un proceso de respuesta a incidentes exhaustivo. Para ello, lo que se necesita son herramientas más integradoras y orientadas al flujo de trabajo. Un ejemplo es la llegada de las soluciones de Automatización y Orquestación de la Seguridad (SAO), que intensifican la inteligencia de SIEM.

SAO | Automatización y Orquestación de Seguridad

Las soluciones SAO, como Swimlane, están diseñadas para acelerar el procesamiento de alertas y aumentar la previsibilidad de los equipos de seguridad. Estas se encargan de centralizar las operaciones de seguridad y, además, proporcionan una herramienta para manejar las tareas que requieren el uso de sistemas secundarios. Por ejemplo, a partir de una consola única, un responsable de seguridad puede monitorear e interpretar los resultados de SIEM y de los Sistemas de Detección de Intrusiones (IDS).

SAO ayuda a integrar las soluciones de seguridad y automatizar muchas de las tareas manuales que requieren mucho tiempo pero que, a la vez, son necesarias durante la investigación de alertas.

SAO permite al equipo de seguridad gestionar un mayor volumen de alertas al automatizar su gestión y los flujos de trabajo de respuesta a incidentes como la creación de nuevos tickets y el envío de correos con notificaciones. También se le puede «enseñar» a SAO como responder de forma inteligente a las alertas. Pongamos que, por ejemplo, el proceso de respuesta a incidentes requiere que la introducción de un binario sospechoso al sistema VirusTotal de forma manual para su evaluación. Las soluciones automatizadas de respuesta a incidentes pueden gestionar este paso por sí solas, y también pueden crear un ticket automáticamente en JIRA.

La integración de las herramientas de ciberseguridad

La combinación de SIEM y SAO mejora considerablemente la postura de seguridad de una organización. No obstante, tal y como diría Nena, para hacer que todos sus «caballeros del aire» consigan «manejar aviones de combate de alta tecnología», es necesario entender rápidamente el incidente que se ha producido. Incluso si SIEM y SAO trabajaran estrechamente, todavía seguiríamos dándole vueltas al misterio de qué es lo que no funcionó o, mejor dicho, ¿quién es el responsable de lo sucedido?

Incluso teniendo soluciones de SIEM y SAO implementadas, su empresa todavía podría ser vulnerable a ciberamenazas.

Cuando hay que «convocar a las tropas con urgencia» porque «es la guerra», es el momento en el que la Gestión del Acceso Privilegiado (PAM) puede marcar la diferencia. PAM está relacionada con un conjunto de herramientas y procesos que controlan y monitorean qué usuarios tienen acceso privilegiado, o de back-end, a los sistemas críticos. Un usuario privilegiado es aquel que tiene la autoridad y capacidad de configurar, modificar o eliminar cuentas y ajustes. Este tipo de usuario también puede instalar y reconfigurar sistemas, suprimir datos, y mucho más.

Para los agentes malignos, el acceso privilegiado es una de sus puertas de entrada favoritas a los sistemas. Al suplantar a un usuario privilegiado, los atacantes logran causar estragos en la organización: violación de bases de datos, instalación de malware, cambio de los roles de los usuarios, etc. Otra de las razones por las cuales los atacantes internos proliferan es debido a la débil gestión llevada a cabo por los usuarios privilegiados.

Defensas de seguridad potentes

La combinación de PAM con SIEM y SAO crea una capacidad de respuesta de alerta rápida y potente. Además, SIEM y SAO colaboran estrechamente para realizar muchos de los pasos del análisis de amenazas sin necesidad de ningún tipo de intervención. La forma en la que estas tres tecnologías funcionan juntas es la siguiente: si una amenaza se llegara a convertir en un verdadero ataque, SAO alertaría al analista de seguridad, quien utilizaría una solución PAM para determinar qué sesión privilegiada es la responsable del problema y ver rápidamente cuándo se instaló el binario sospechoso y por quién. Este proceso sirve para desvelar, entre otras cosas, que la cuenta de un usuario privilegiado ha sido comprometida.

En caso de que en el ataque se restableciera la configuración del sistema o se insertasen datos espurios, una solución de PAM eficaz podría mostrar todas las acciones que el atacante efectuó en la cuenta. Lo que hace la solución de WALLIX es proporcionar un vídeo de la sesión para su posterior análisis forense. Con esta función, el equipo de seguridad puede averiguar más fácilmente quién hizo qué y cuándo, ya que a menudo es evidente que se ha producido un ataque, pero lo que lleva más tiempo es investigar y comprender la naturaleza exacta del mismo. Con PAM esto no es un problema, porque esta solución ayuda a «preocuparse» menos y a «apresurarse» más.

La clave para defender a su organización de todo tipo de ciberataques es la unión de todas sus herramientas de seguridad.

Integre la solución de WALLIX para mejorar su seguridad

WALLIX se integra en herramientas SIEM como Splunk. No obstante, nuestra solución va más allá de la simple integración: trabajamos con nuestros clientes para establecer políticas de seguridad comprensibles y útiles conforme a sus necesidades comerciales y de cumplimiento normativo. Estos elementos se pueden incorporar a la respuesta a incidentes y la solución SAO los puede auditar.

WALLIX se incorpora perfectamente a SAO y SIEM gracias a su arquitectura ligera y sin agentes. A veces, integrar diversas herramientas de ciberseguridad puede crear obstáculos en cuanto a la circulación de los flujos de trabajo de seguridad. El planteamiento de WALLIX facilita este proceso.

La combinación de PAM, SIEM y SAO fortalece las capacidades de seguridad de una organización y acelera sus funciones de gestión de alertas críticas. Con WALLIX, esto puede ser una realidad para su empresa. Al implementar nuestras soluciones, usted puede llegar a convertirse en «un superhéroe, un Capitán Kirk».

¿Desea obtener más información sobre las funciones de WALLIX Bastion o descubrir algunas de nuestras integraciones, como la de SIEM/SAO? Para saber más, no dude en visitar nuestra página de Alianzas Tecnológicas.

Cookie	Duración	Descripción
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

Cookie	Duración	Descripción
__hstc	1 year 24 days	This cookie is set by Hubspot and is used for tracking visitors. It contains the domain, utk, initial timestamp (first visit), last timestamp (last visit), current timestamp (this visit), and session number (increments for each subsequent session).
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the wbsite is doing. The data collected including the number visitors, the source where they have come from, and the pages viisted in an anonymous form.
hubspotutk	1 year 24 days	This cookie is used by HubSpot to keep track of the visitors to the website. This cookie is passed to Hubspot on form submission and used when deduplicating contacts.
trackalyzer	1 year	This cookie is used by Leadlander. The cookie is used to analyse the website visitors and monitor traffic patterns.

Cookie	Duración	Descripción
__hssc	30 minutes	This cookie is set by HubSpot. The purpose of the cookie is to keep track of sessions. This is used to determine if HubSpot should increment the session number and timestamps in the __hstc cookie. It contains the domain, viewCount (increments each pageView in a session), and session start timestamp.
bcookie	2 years	This cookie is set by linkedIn. The purpose of the cookie is to enable LinkedIn functionalities on the page.
lang	session	This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website.
lidc	1 day	This cookie is set by LinkedIn and used for routing.
messagesUtk	1 year 24 days	This cookie is set by hubspot. This cookie is used to recognize the user who have chatted using the messages tool. This cookies is stored if the user leaves before they are added as a contact. If the returning user visits again with this cookie on the browser, the chat history with the user will be loaded.

Cookie	Duración	Descripción
__cfduid	1 month	The cookie is used by cdn services like CloudFare to identify individual clients behind a shared IP address and apply security settings on a per-client basis. It does not correspond to any user ID in the web application and does not store any personally identifiable information.
__hssrc	session	This cookie is set by Hubspot. According to their documentation, whenever HubSpot changes the session cookie, this cookie is also set to determine if the visitor has restarted their browser. If this cookie does not exist when HubSpot manages cookies, it is considered a new session.
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
JSESSIONID	session	Used by sites written in JSP. General purpose platform session cookies that are used to maintain users' state across page requests.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Duración	Descripción
_gat_UA-12183334-1	1 minute	No description
AnalyticsSyncHistory	1 month	No description
CONSENT	16 years 9 months 23 days 12 hours 13 minutes	No description
UserMatchHistory	1 month	Linkedin - Used to track visitors on multiple websites, in order to present relevant advertisement based on the visitor's preferences.
wp-wpml_current_language	1 day	No description

PAM, SIEM y SAO: Cómo aprovechar las herramientas de seguridad para potenciar la Gestión de Alertas

Herramientas de ciberseguridad en constante evolución

SIEM | Gestión de Eventos e Información de Seguridad

SAO | Automatización y Orquestación de Seguridad

La integración de las herramientas de ciberseguridad

Defensas de seguridad potentes

Integre la solución de WALLIX para mejorar su seguridad

¿Qué es PAM? Gestión del Acceso Privilegiado

¿Qué es la Gestión de Cuentas Privilegiadas (PAM)?

Blogs Relacionados

Recursos Relacionados

Productos

Soluciones

Recursos

Acerca