siem
Un número significativo de incidentes modernos comienzan con el compromiso de cuentas. Dado que los intermediarios de acceso inicial se han convertido en una industria criminal en toda regla, ahora es mucho más fácil para los atacantes organizar ataques contra la infraestructura de las empresas con solo comprar conjuntos de contraseñas y datos de inicio de sesión de los empleados.
La práctica generalizada de utilizar varios métodos de acceso remoto ha facilitado aún más su tarea. Al mismo tiempo, las etapas iniciales de este tipo de ataques suelen parecer acciones totalmente legítimas de los empleados y pasan desapercibidas durante mucho tiempo para los mecanismos de seguridad tradicionales.
No basta con confiar únicamente en las medidas de protección de cuentas y las políticas de contraseñas. Siempre existe la posibilidad de que los atacantes se apoderen de las credenciales de los empleados mediante varios ataques de phishing, malware de robo de información o simplemente por el descuido de los empleados que reutilizan la misma contraseña para el trabajo y las cuentas personales y no prestan mucha atención a las filtraciones en servicios de terceros.
Por lo tanto, para detectar ataques a la infraestructura de una empresa, necesitas herramientas que no solo detecten firmas de amenazas individuales, sino también sistemas de análisis de comportamiento que puedan detectar desviaciones de los procesos normales de los usuarios y del sistema.
Uso de la IA en SIEM para detectar vulneraciones de cuentas
Como mencionamos en nuestra publicación anterior, para detectar ataques que involucran la vulneración de cuentas, equipamos nuestro sistema SIEM de Kaspersky con un conjunto de reglas UEBA diseñadas para detectar anomalías en los procesos de autenticación, la actividad de la red y la ejecución de procesos en estaciones de trabajo y servidores basados en Windows. En la última actualización, continuamos desarrollando el sistema en la misma dirección, añadiendo el uso de enfoques de IA.
El sistema crea un modelo del comportamiento normal de los usuarios durante la autenticación y realiza un seguimiento de las desviaciones respecto a los escenarios habituales: horas de inicio de sesión atípicas, cadenas de eventos inusuales e intentos de acceso anómalos. Este enfoque permite a SIEM detectar tanto los intentos de autenticación con credenciales robadas como el uso de cuentas ya vulneradas, incluidos los escenarios complejos que podrían haber pasado desapercibidos en el pasado.
En lugar de buscar indicadores individuales, el sistema analiza las desviaciones de los patrones normales. Esto permite detectar antes ataques complejos, a la vez que reduce la cantidad de falsos positivos y alivia significativamente la carga operativa en los equipos de SOC.
Anteriormente, al utilizar reglas UEBA para detectar anomalías, era necesario crear varias reglas que realizaban un trabajo preliminar y generaban listas adicionales en las que se almacenaban datos intermedios. Ahora, en la nueva versión de SIEM con un nuevo correlador, es posible detectar el secuestro de cuentas utilizando una única regla especializada.
Otras actualizaciones en Kaspersky SIEM
Cuanto más compleja es la infraestructura y mayor es el volumen de eventos, más críticos se vuelven los requisitos de rendimiento de la plataforma, flexibilidad de gestión de acceso y facilidad de operación diaria. Un sistema SIEM moderno no solo debe detectar las amenazas con precisión, sino también mantener su “resiliencia” sin necesidad de actualizar constantemente los equipos y reconstruir los procesos. Por lo tanto, en la versión 4.2, hemos dado un paso más para que la plataforma sea más práctica y adaptable. Las actualizaciones afectan a la arquitectura, los mecanismos de detección y la experiencia del usuario.
Adición de roles flexibles y control de acceso granular
Una de las innovaciones clave de la nueva versión de SIEM es un modelo de roles flexible. Ahora los clientes pueden crear sus propios roles para diferentes usuarios del sistema, duplicar los existentes y personalizar un conjunto de derechos de acceso para las tareas de especialistas específicos. Esto permite una diferenciación más precisa de las responsabilidades entre los analistas, administradores y gerentes del SOC, reduce el riesgo de privilegios excesivos y refleja mejor los procesos internos de la empresa en la configuración de SIEM.
Nuevo correlador y, como resultado, mayor estabilidad de la plataforma
En la versión 4.2, presentamos una versión beta de un nuevo motor de correlación (2.0). Procesa eventos más rápido y requiere menos recursos de hardware. Para los clientes, esto significa lo siguiente:
- un funcionamiento estable con cargas elevadas;
- la capacidad de procesar grandes cantidades de datos sin la necesidad de una expansión urgente de la infraestructura;
- un rendimiento más predecible.
Cobertura de TTP según la matriz MITRE ATT&CK
También continuamos ampliando sistemáticamente nuestra cobertura de técnicas, tácticas y procedimientos de la matriz MITRE ATT&CK: en la actualidad, Kaspersky SIEM cubre más del 60 % de la matriz completa. Las reglas de detección se actualizan periódicamente y van acompañadas de recomendaciones de respuesta. Esto ayuda a los clientes a comprender qué escenarios de ataque ya están bajo control y a planificar su desarrollo de la defensa sobre la base de un modelo de la industria generalmente aceptado.
Otras mejoras
La versión 4.2 también introduce la posibilidad de crear copias de seguridad y restaurar eventos, así como exportar datos a archivos seguros con control de integridad, lo que es especialmente importante para investigaciones, auditorías y cumplimiento normativo. Se han implementado consultas de búsqueda en segundo plano para mayor comodidad de los analistas. Ahora las búsquedas complejas y que consumen muchos recursos se pueden ejecutar en segundo plano sin afectar a las tareas prioritarias. Esto acelera el análisis de grandes conjuntos de datos.
Seguimos actualizando periódicamente Kaspersky SIEM, ampliando las capacidades de detección, mejorando la arquitectura y añadiendo funcionalidades de IA para que la plataforma se adapte mejor a las condiciones reales de los equipos de seguridad de la información y ayude no solo a responder a los incidentes, sino también a crear un modelo de protección sostenible para el futuro. Sigue las actualizaciones de nuestro sistema Kaspersky SIEM en la página oficial del producto.
