Ciberseguridad: Alerta y análisis forense con sistemas IPS y SIEM

sistemas IPS y SIEM

Ciberseguridad: Alerta y análisis forense con sistemas IPS y SIEM

Pensar que nuestra empresa nunca va a sufrir un incidente de seguridad es muy arriesgado. La ciberdelincuencia va en aumento y es fundamental implantar defensas para el antes, durante y después. Las soluciones de ciberseguridad de alerta y análisis forense de los sistemas IPS y SIEM son clave para desplegar un plan de seguridad corporativa TI integral.

Existen múltiples acciones para evitar y, llegado el caso, minimizar ciberataques. Por una parte, es necesario revisar toda la arquitectura TI y la red IT corporativa (dentro y fuera del datacenter físico) en busca de posibles brechas de seguridad. Llevar a cabo una continua actualización de los recursos IT es una ‘medicina’ altamente eficaz.

Pero a la vez, resulta crítico implantar tecnología diseñada específicamente contra las ciberamenazas.

 Con soluciones de ciberseguridad corporativa de última generación es posible identificar comportamientos sospechosos, reaccionar y abortar ataques tanto internos como externos. Los sistemas de prevención de intrusos (IPS, Intrusion Detection Systems) y los sistemas SIEM (Security Information and Event Management) son unas de ellas.

Cómo evitar ciberataques: Sistemas IPS para la prevención proactiva de intrusos

Los IPS son un paso más respecto a los sistemas de detección de intrusos (IDS, Intrusion Detection Systems). Un IDS alerta al detectar una actividad maliciosa, mientras que el IPS establece políticas de seguridad protectoras. Es decir, IDS protege de forma reactiva e IPS de manera proactiva.

Un IPS supera a un firewall tradicional porque toma decisiones en función del comportamiento del tráfico, no solo considerando direcciones IP o puertos. Esto es fundamental para detectar ataques de denegación de servicio (DDoS), así como malware avanzado y violaciones de la política de seguridad.

Estas soluciones IPS monitorean redes, tanto LAN como inalámbricas, así como hosts (denominándose entonces HIPS, Host intrusión Detection System) mediante la instalación de un paquete de SW.

Soluciones para una Seguridad Integral: Diferencias entre sistemas IPS y sistemas SIEM

Los IPS también graban información histórica y proporcionan informes, pero su capacidad es diferente a la de un sistema SIEM, veamos cómo.

Los sistemas SIEM tienen como objetivo el análisis y la gestión de registros (logs) y la correlación de eventos. Capturan y reciben todo lo que está pasando en una infraestructura TI a partir de eventos y flujos de red. Proporcionan una visión completa.

Toda esa información, aparte de servir para alertar sobre incidentes concretos, es fundamental para aplicar técnicas de ciberseguridad forense. El objetivo es no solo saber qué ha ocurrido, sino aprender de lo ocurrido para tomar las medidas correctivas y preventivas adecuadas.

Seguridad IT: Funciones de un sistema SIEM

Agregar datos. Recibe, gestiona y monitorea de forma consolidada registros de múltiples recursos (servidores, BBDD, redes, aplicaciones, sistemas de seguridad, dispositivos móviles, IoT, PCs…) referidos a su actividad.

Correlación. Detecta atributos comunes, relacionando eventos en paquetes. Gracias a capacidades de machine learning convierte los datos en información entendible.

Cuadros de Mando. Visualización de los datos en tablas la información para detectar actividades fuera de los patrones estándar. Se muestra el estado de los recursos monitorizados y el resultado de la información obtenida (cuántos eventos se han recogido, cuántos se han procesado, vulnerabilidades, rango de emergencia…).

Alerta. Notificación de incidencias a través de diversos canales (interfaz integrado, correo electrónico…)

Cumplimiento de normativas y GDPR

Con las soluciones SIEM es posible llevar a cabo un registro cronológico de eventos de seguridad, lo que permite cumplir normativas de seguridad, buen gobierno y de auditoría. Estos sistemas suelen incorporar consultas predefinidas para facilitar los requisitos que exigen normas como PCI, COBIT, ISO 27001…

Pero, sobre todo, implantar un SIEM garantiza el cumplimiento del artículo 30 del Reglamento General de Protección de Datos de la UE (obligatorio a partir del 25 de mayo de 2018), que indica que los responsables de seguridad de las organizaciones deben mantener un registro de las actividades que estén bajo su competencia.

La puesta en marcha de un sistema SIEM exige la realización previa de un análisis detallado estableciendo qué se quiere y qué se puede monitorizar, a qué nivel, con qué reglas de correlación y con qué objetivos. Es necesario equilibrar los intereses de la organización con las necesidades de los usuarios y el cumplimiento normativo.

Para esta labor, es crítico contar con la ayuda de un equipo especialista en servicios de soporte informático y seguridad que asesore en esos aspectos y seleccione el producto SIEM que mejor se adapte a cada caso.

Orbit Consulting Group es una empresa especializada en diseñar e implantar soluciones de arquitectura TI para pymes y empresas de Madrid, y el resto de España.

eBook La tecnología que necesitas para cumplir la GDPR