siem
Según el informe “Estado de código abierto” de OpenLogic, el 96 % de las organizaciones encuestadas utilizan soluciones de código abierto (OSS). Estas soluciones se pueden encontrar en todos los segmentos del mercado de TI, incluidas las herramientas de seguridad de la información. Y a menudo se recomiendan para construir sistemas SIEM.
A primera vista, los OSS parecen una gran opción. La función principal de un sistema SIEM es la recopilación y correlación de telemetría sistemática, que puedes configurar mediante herramientas de almacenamiento y procesamiento de datos conocidas. Simplemente recopila todos tus datos con Logstash, conecta Elasticsearch, crea las visualizaciones que necesitas en Kibana, ¡y listo! Una búsqueda rápida incluso te proporcionará soluciones SIEM de código abierto listas para usar (a menudo creadas sobre los mismos componentes). Con los SIEM, adaptar tanto la recopilación como el procesamiento de datos a las necesidades específicas de tu organización siempre es esencial, y un sistema de OSS personalizado ofrece infinitas posibilidades para eso. Además, el coste de la licencia es cero. Sin embargo, el éxito de este esfuerzo depende de tu equipo de desarrollo, las características específicas de tu organización, cuánto tiempo está dispuesta tu organización a esperar resultados y cuánto está dispuesta a invertir en soporte continuo.
El tiempo es oro
Una pregunta clave, cuya importancia se subestima constantemente, es cuánto tiempo pasará antes de que el SIEM de tu empresa no solo entre en funcionamiento, sino que realmente comience a ofrecer un valor congruente. Los datos de Gartner muestran que incluso un SIEM con todas las funciones y listo para usar tarda un promedio de seis meses en implementarse por completo, y una de cada diez empresas invierte un año en él. Y si estás creando tu propio SIEM o adaptando un OSS, deberías esperar que esa línea de tiempo se duplique o triplique. Al presupuestar, multiplica ese tiempo por las tarifas por hora de tus desarrolladores. También es difícil imaginar a una sola persona con talento creando un SIEM completo: tu empresa necesitará a todo un equipo.
Un error psicológico común es malinterpretar la rapidez con que se desarrolla un prototipo. Puedes implementar un OSS lista para usar en un entorno de prueba en solo unos días, pero llevarla a la calidad de producción puede llevar muchos meses, incluso años.
Escasez de profesionales
Un SIEM necesita recopilar, indexar y analizar miles de eventos por segundo. Diseñar un sistema de alta carga, o incluso adaptar uno existente, requiere habilidades especializadas y en demanda. Más allá de los desarrolladores, el proyecto necesitaría administradores de TI altamente cualificados, ingenieros de DevOps, analistas e incluso diseñadores de paneles.
Otro tipo de escasez que los creadores de SIEM tienen que superar es la falta de experiencia práctica necesaria para redactar reglas de normalización efectivas, lógica de correlación y otro contenido listo para usar en las soluciones SIEM comerciales. Por supuesto, incluso ese contenido listo para usar requiere ajustes importantes, pero es más rápido y fácil llevarlo a los estándares de tu organización.
Cumplimiento
Para muchas empresas, tener un sistema SIEM es un requisito normativo. Aquellos que crean una SIEM ellos mismos o implementan una solución de OSS deben hacer un esfuerzo considerable para cumplir con la norma. Necesitan adaptar las capacidades de su SIEM a los requisitos normativos por su cuenta, a diferencia de los usuarios de sistemas comerciales, que a menudo vienen con un proceso de certificación integrado y todas las herramientas necesarias para el cumplimiento.
A veces, es posible que la gestión quiera implementar una SIEM solo porque “hay que hacerlo”, con el objetivo de minimizar el gasto. Pero dado que el PCI DSS, el RGPD y otros marcos regulatorios locales se centran en la amplitud y profundidad real de la implementación de SIEM, no solo en su mera existencia, un sistema SIEM simbólico que se implementó solo para impresionar no aprobaría ninguna auditoría.
El cumplimiento no es algo que puedas considerar solo en el momento de la implementación. Si, durante el mantenimiento y la operación autogestionados, cualquier componente de tu solución deja de recibir actualizaciones y llega al final de su vida útil, tus posibilidades de aprobar una auditoría de seguridad se desplomarían.
Bloqueo del proveedor frente a dependencia del empleado
La segunda razón más importante para que las organizaciones consideren una solución de código abierto siempre ha sido la flexibilidad para adaptarla a sus necesidades específicas, además de evitar depender de la hoja de ruta del desarrollo del proveedor de software y las decisiones de licencia.
Ambos son argumentos convincentes y, en las grandes organizaciones, a veces pueden pesar más que otros factores. Sin embargo, es crucial tomar esta decisión con una clara comprensión de sus ventajas y desventajas:
- Los SIEM de OSS pueden ser más fáciles de adaptar para entradas de datos únicas.
- Con un SIEM de OSS, mantienes un control total sobre cómo se almacenan y procesan los datos.
- El coste de escalar un SIEM de OSS consiste principalmente en los precios del hardware adicional y el desarrollo de las funciones requeridas.
- Tanto la configuración inicial como la evolución continua de un SIEM de OSS exigen profesionales experimentados que conozcan tanto las prácticas de desarrollo como las realidades del SOC. Si los miembros del equipo que mejor entienden el sistema dejan la empresa o cambian de funciones, podría detenerse la evolución del sistema. Y lo que es peor, se vuelve cada vez menos funcional.
- Si bien el coste de implementación inicial de un SIEM de OSS puede ser menor debido a la ausencia de tarifas de licencia, esta diferencia a menudo desaparece durante la fase de mantenimiento. Esto se debe al gasto adicional continuo de personal cualificado que se dedica únicamente al desarrollo de SIEM. A largo plazo, el coste total de propiedad (TCO) de un SIEM de OSS a menudo resulta ser más alto.
Calidad del contenido
La relevancia del contenido de detección y respuesta es un factor clave en la efectividad de un SIEM. Para las soluciones comerciales, las actualizaciones a las reglas de correlación, los manuales y las fuentes de inteligencia de amenazas se proporcionan normalmente como parte de una suscripción. Los desarrollan grandes equipos de investigadores, se someten a pruebas exhaustivas y, por lo general, requieren un esfuerzo mínimo de tu equipo de seguridad interno para implementarlos. Con un SIEM de OSS, estás solo cuando se trata de actualizaciones: tienes que buscar en foros de la comunidad, repositorios de GitHub y fuentes gratuitas por tu cuenta. Luego, las reglas requieren una investigación detallada y una adaptación a tu infraestructura específica, y el riesgo de falsos positivos termina siendo mayor. Como resultado, implementar actualizaciones en un SIEM de código abierto requiere un esfuerzo significativamente mayor por parte de tu equipo interno.
Lo que todos están pensando: el hardware
Para lanzar una SIEM, debes adquirir o alquilar hardware y, según la arquitectura del sistema, este gasto puede variar drásticamente. Realmente no importa mucho si el sistema es una solución comercial de código abierto o patentada. Sin embargo, al implementar un SIEM de código abierto por tu cuenta, existe un mayor riesgo de tomar decisiones de arquitectura que no sean las más adecuadas. A largo plazo, esto se traduce en costes operativos constantemente altos.
Cubrimos el tema de la evaluación de las necesidades de hardware para SIEM en detalle en una publicación separada.
La conclusión
Si bien la idea de contar con una plataforma totalmente personalizable y adaptable sin tarifas de licencia es muy atractiva, existe un riesgo significativo de que un proyecto de este tipo demande mucho más tiempo y esfuerzo por parte de tu equipo de desarrollo interno que una solución comercial lista para usar. También podría dificultar tu capacidad de adoptar nuevas innovaciones rápidamente y podría hacer que el enfoque de tu equipo de seguridad pase de desarrollar situaciones de detección de lógica y respuesta a tratar principalmente problemas operativos. Es por eso que una solución comercial administrada, respaldada por expertos y bien integrada a menudo se alinea más de cerca con los objetivos de reducción efectiva de riesgos y de presupuestación predecible de una organización típica.
Los SIEM comerciales permiten a tu equipo aprovechar las reglas predefinidas, los manuales y los analizadores de telemetría, lo que le permite centrarse en proyectos específicos de la organización, como la búsqueda de amenazas o la mejora de la visibilidad en la infraestructura de la nube, en lugar de reinventar y refinar las funciones básicas de SIEM, o tener problemas para aprobar las auditorías reglamentarias con un sistema propio.
