PAM, SIEM y SAO: aprovechar las herramientas de seguridad para potenciar la gestión de alertas

Se puede hacer una analogía entre las operaciones de ciberseguridad de una organización y la canción de los 80 del grupo alemán Nena «99 Red Balloons». En nuestro caso, en lugar de intentar localizar 99 globos rojos, lo que buscamos es identificar alertas de seguridad. En realidad, miles de ellas, ya que la mayoría de las organizaciones reciben más de 10 000 alertas diarias.

Muchas organizaciones reciben más de 10 000 alertas de seguridad al día.

cybersecurity-tools-PAM-SAO-SIEM-alerts.jpg

Para conseguir proteger a nuestra organización, es necesario que evaluemos rápidamente la gravedad de cada alerta y nos hagamos la pregunta que Nena se hacía: «¿Hay algo de aquí que viene de otro lugar?».

Pese a que las ciberamenazas a las que nos enfrentamos no son los misiles nucleares de los que habla la canción, estas siguen siendo extremadamente destructivas, por lo que deberíamos darnos prisa en «identificar, aclarar y clasificar» estas amenazas.

 

Herramientas de ciberseguridad en constante evolución

SIEM | Gestión de Eventos e Información de Seguridad

Con el fin de facilitar el trabajo que supone analizar las amenazas cibernéticas, en los últimos años el número de herramientas de ciberseguridad ha aumentado considerablemente. Por ejemplo, los sistemas de Gestión de Eventos e Información de Seguridad (SIEM) procesan registros de diversos dispositivos como firewalls y Sistemas de Detección de Intrusiones (IDS). Al relacionar la información de estos flujos de datos, SIEM consigue establecer conexiones entre ataques potenciales y emitir alertas.

Las soluciones SIEM asimilan registros de diversos dispositivos para establecer conexiones entre ataques potenciales

SIEM representa un gran avance en materia de alertas inteligentes. De hecho, esta tecnología se está volviendo cada vez más popular y crece en torno al 10% anual (en parte debido a los requisitos de conformidad). Se prevé que para 2023 el mercado de SIEM alcance los 3 700 millones de dólares.

No obstante, por sí sola, la tecnología SIEM no puede llevar a cabo una evaluación completa de las alertas ni un proceso de respuesta a incidentes exhaustivo. Para ello, lo que se necesita son herramientas más integradoras y orientadas al flujo de trabajo. Un ejemplo es la llegada de las soluciones de Automatización y Orquestación de la Seguridad (SAO), que intensifican la inteligencia de SIEM.

 

cybersecurity-tools-PAM-SAO-SIEM-evolution.png

SAO | Automatización y Orquestación de Seguridad

Las soluciones SAO, como Swimlane, están diseñadas para acelerar el procesamiento de alertas y aumentar la previsibilidad de los equipos de seguridad. Estas se encargan de centralizar las operaciones de seguridad y, además, proporcionan una herramienta para manejar las tareas que requieren el uso de sistemas secundarios. Por ejemplo, a partir de una consola única, un responsable de seguridad puede monitorear e interpretar los resultados de SIEM y de los Sistemas de Detección de Intrusiones (IDS).

SAO ayuda a integrar las soluciones de seguridad y automatizar muchas de las tareas manuales que requieren mucho tiempo pero que, a la vez, son necesarias durante la investigación de alertas

SAO permite al equipo de seguridad gestionar un mayor volumen de alertas al automatizar su gestión y los flujos de trabajo de respuesta a incidentes como la creación de nuevos tickets y el envío de correos con notificaciones. También se le puede «enseñar» a SAO como responder de forma inteligente a las alertas. Pongamos que, por ejemplo, el proceso de respuesta a incidentes requiere que la introducción de un binario sospechoso al sistema VirusTotal de forma manual para su evaluación. Las soluciones automatizadas de respuesta a incidentes pueden gestionar este paso por sí solas, y también pueden crear un ticket automáticamente en JIRA.

La integración de las herramientas de ciberseguridad

La combinación de SIEM y SAO mejora considerablemente la postura de seguridad de una organización. No obstante, tal y como diría Nena, para hacer que todos sus «caballeros del aire» consigan «manejar aviones de combate de alta tecnología», es necesario entender rápidamente el incidente que se ha producido. Incluso si SIEM y SAO trabajaran estrechamente, todavía seguiríamos dándole vueltas al misterio de qué es lo que no funcionó o, mejor dicho, ¿quién es el responsable de lo sucedido?

Incluso teniendo soluciones de SIEM y SAO implementadas, su empresa todavía podría ser vulnerable a ciberamenazas

Cuando hay que «convocar a las tropas con urgencia» porque «es la guerra», es el momento en el que la Gestión del Acceso Privilegiado (PAM) puede marcar la diferencia. PAM está relacionada con un conjunto de herramientas y procesos que controlan y monitorean qué usuarios tienen acceso privilegiado, o de back-end, a los sistemas críticos. Un usuario privilegiado es aquel que tiene la autoridad y capacidad de configurar, modificar o eliminar cuentas y ajustes. Este tipo de usuario también puede instalar y reconfigurar sistemas, suprimir datos, y mucho más.

Para los agentes malignos, el acceso privilegiado es una de sus puertas de entrada favoritas a los sistemas. Al suplantar a un usuario privilegiado, los atacantes logran causar estragos en la organización: violación de bases de datos, instalación de malware, cambio de los roles de los usuarios, etc. Otra de las razones por las cuales los atacantes internos proliferan es debido a la débil gestión llevada a cabo por los usuarios privilegiados.

Defensas de seguridad potentes

La combinación de PAM con SIEM y SAO crea una capacidad de respuesta de alerta rápida y potente. Además, SIEM y SAO colaboran estrechamente para realizar muchos de los pasos del análisis de amenazas sin necesidad de ningún tipo de intervención. La forma en la que estas tres tecnologías funcionan juntas es la siguiente: si una amenaza se llegara a convertir en un verdadero ataque, SAO alertaría al analista de seguridad, quien utilizaría una solución PAM para determinar qué sesión privilegiada es la responsable del problema y ver rápidamente cuándo se instaló el binario sospechoso y por quién. Este proceso sirve para desvelar, entre otras cosas, que la cuenta de un usuario privilegiado ha sido comprometida.

En caso de que en el ataque se restableciera la configuración del sistema o se insertasen datos espurios, una solución de PAM eficaz podría mostrar todas las acciones que el atacante efectuó en la cuenta.  Lo que hace la solución de WALLIX es proporcionar un vídeo de la sesión para su posterior análisis forense. Con esta función, el equipo de seguridad puede averiguar más fácilmente quién hizo qué y cuándo, ya que a menudo es evidente que se ha producido un ataque, pero lo que lleva más tiempo es investigar y comprender la naturaleza exacta del mismo. Con PAM esto no es un problema, porque esta solución ayuda a «preocuparse» menos y a «apresurarse» más.

 La clave para defender a su organización de todo tipo de ciberataques es la unión de todas sus herramientas de seguridad

Integre la solución de WALLIX para mejorar su seguridad

WALLIX se integra en herramientas SIEM como Splunk. No obstante, nuestra solución va más allá de la simple integración: trabajamos con nuestros clientes para establecer políticas de seguridad comprensibles y útiles conforme a sus necesidades comerciales y de cumplimiento normativo. Estos elementos se pueden incorporar a la respuesta a incidentes y la solución SAO los puede auditar.

WALLIX se incorpora perfectamente a SAO y SIEM gracias a su arquitectura ligera y sin agentes. A veces, integrar diversas herramientas de ciberseguridad puede crear obstáculos en cuanto a la circulación de los flujos de trabajo de seguridad. El planteamiento de WALLIX facilita este proceso.

La combinación de PAM, SIEM y SAO fortalece las capacidades de seguridad de una organización y acelera sus funciones de gestión de alertas críticas. Con WALLIX, esto puede ser una realidad para su empresa. Al implementar nuestras soluciones, usted puede llegar a convertirse en «un superhéroe, un Capitán Kirk».

¿Desea obtener más información sobre las funciones de WALLIX Bastion o descubrir algunas de nuestras integraciones, como la de SIEM/SAO? Para saber más, no dude en visitar nuestra página de Alianzas Tecnológicas.