En un principio, los sistemas SIEM se crearon como una herramienta para recopilar informaci\u00f3n sobre los incidentes de seguridad dentro de una infraestructura y para analizarlos utilizando datos externos sobre las ciberamenazas conocidas. Y esto funcion\u00f3 durante bastante tiempo.<\/p>\n
Sin embargo, a medida que evolucionan tanto las amenazas como la industria de la seguridad de la informaci\u00f3n, aparecen en el mercado cada vez m\u00e1s fuentes de informaci\u00f3n sobre las amenazas. Y, adem\u00e1s, sus estructuras est\u00e1n cambiando significativamente. Para muchos expertos es obvio que se necesita una nueva herramienta que permita navegar entre los flujos de inteligencia de amenazas para que los SIEM funcionen de forma efectiva.<\/p>\n
\u00bfPor qu\u00e9 necesitaba SIEM un asistente?<\/strong><\/p>\n A primera vista, puede parecer que cuantas m\u00e1s fuentes de datos sobre ciberamenazas externas conectes a tu sistema SIEM, mejor, ya que este funcionar\u00e1 con una mayor eficacia, pero realmente no es as\u00ed.<\/p>\n En primer lugar, cuantos m\u00e1s indicadores gestione un sistema, m\u00e1s alertas generar\u00e1. Incluso aunque asumamos una m\u00ednima cantidad de falsos positivos (ya que nadie es inmune a ellos), un analista no podr\u00e1 sortear r\u00e1pidamente las millones de notificaciones duplicadas y dar prioridad a las importantes.<\/p>\n En segundo lugar, los sistemas SIEM existentes simplemente no est\u00e1n dise\u00f1ados para gestionar una cantidad infinita de indicadores. Cuando conectas varias fuentes, la carga de trabajo en el sistema aumenta significativamente, lo que puede tener un impacto negativo en la tasa de detecci\u00f3n de incidentes. Lo mismo puede suceder si intentas implementar un entorno de actualizaciones frecuentes de fuentes de TI. No es que esto sea totalmente imposible, pero el rendimiento y la tasa de detecci\u00f3n pueden verse afectados.<\/p>\n Adem\u00e1s, un sistema SIEM no es adecuado para realizar directamente un trabajo m\u00e1s detallado con fuentes de inteligencia de amenazas. Por ejemplo, este no puede comparar la tasa de detecci\u00f3n y la calidad de fuentes de diferentes proveedores o gestionar diferentes tipos de m\u00e1scaras de fuentes con indicadores de compromiso representados como URL, hosts<\/em> o dominios. Si un analista necesita un contexto m\u00e1s profundo para cualquier indicador, se necesita una herramienta adicional (y realmente no importa que el contexto necesario pueda existir en las fuentes de datos, es posible que SIEM simplemente no sepa c\u00f3mo acceder a \u00e9l).<\/p>\n Por \u00faltimo, ten en cuenta el factor econ\u00f3mico. La mayor\u00eda de los SIEM ofrecen licencias basadas en la carga: cuantos m\u00e1s indicadores procese, mayor ser\u00e1 el precio.<\/p>\n En general, una plataforma de inteligencia de amenazas puede resolver todos los inconvenientes de los sistemas SIEM nombrados anteriormente.<\/p>\n Para empezar, se trata de una herramienta indispensable que te permite navegar a trav\u00e9s de una multitud de fuentes de diferentes proveedores. Te permite conectar varias fuentes de datos (que no tienen que estar necesariamente en el mismo formato) y compararlas en funci\u00f3n de diferentes par\u00e1metros. Por ejemplo, te permite detectar indicadores cruzados en diferentes fuentes, lo que deber\u00eda ayudar a identificar flujos de datos duplicados y descartar algunos de ellos. Tambi\u00e9n te permite comparar fuentes de datos bas\u00e1ndose en los \u00edndices de detecci\u00f3n estad\u00edsticos.<\/p>\n Teniendo en cuenta el hecho de que algunos proveedores ofrecen un per\u00edodo de prueba para usar sus fuentes de datos, esta podr\u00eda ser una buena forma de evaluar su efectividad antes de efectuar una compra.<\/p>\n Una plataforma de inteligencia de amenazas tambi\u00e9n proporciona al analista de SOC muchos recursos adicionales que simplemente no se pueden implementar en SIEM. Por ejemplo, se encuentra disponible una funci\u00f3n de retroescaneo, que permite volver a verificar registros y datos hist\u00f3ricos guardados previamente con referencia a nuevas fuentes.<\/p>\n Otra caracter\u00edstica disponible es el enriquecimiento de indicadores mediante varias fuentes de terceros (como VirusTotal). Y finalmente, una plataforma de inteligencia de amenazas decente, a partir de una alerta espec\u00edfica, permite encontrar y descargar un informe APT que detalle las t\u00e1cticas, t\u00e9cnicas y procedimientos de los atacantes asociados, adem\u00e1s de proporcionar consejos pr\u00e1cticos sobre c\u00f3mo aplicar medidas frente a estos ataques.<\/p>\n Una plataforma de inteligencia de amenazas te permite filtrar y descargar indicadores, clasificar incidentes, mostrar todo lo anterior en una interfaz gr\u00e1fica \u00fatil para el analista y mucho m\u00e1s. Esto depende de las funciones de cada plataforma en espec\u00edfico.<\/p>\n En general, una plataforma de inteligencia de amenazas instalada en la red interna de una empresa realiza el proceso de an\u00e1lisis y correlaci\u00f3n de los datos entrantes, lo que reduce significativamente la carga en el sistema SIEM. Esta te permite generar tus propias alertas cuando se detectan amenazas y, adem\u00e1s, se integra con tus procesos de monitorizaci\u00f3n y respuesta existentes a trav\u00e9s de una API.<\/p>\n B\u00e1sicamente, una plataforma de inteligencia de amenazas genera su propia fuente de datos con detecciones personalizadas seg\u00fan las necesidades de tu empresa. Esto es especialmente \u00fatil si tienes en tu infraestructura varios sistemas SIEM ejecut\u00e1ndose en paralelo. Sin una plataforma de inteligencia de amenazas, tendr\u00edas que cargar fuentes de datos sin procesar en cada uno de ellos.<\/p>\n Echemos un vistazo a un incidente bastante simple para ver c\u00f3mo una plataforma de inteligencia de amenazas ayuda a los analistas. Imagina que un usuario corporativo accedi\u00f3 a un sitio web desde su ordenador de trabajo. En la fuente de inteligencia de amenazas, la URL de ese sitio est\u00e1 catalogada como maliciosa, por lo que la plataforma identifica el incidente, lo enriquece con el contexto de las fuentes y env\u00eda esa detecci\u00f3n al sistema SIEM para su registro. A continuaci\u00f3n, este incidente llama la atenci\u00f3n del analista de SOC. El analista ve la detecci\u00f3n de la fuente de URL maliciosa y decide examinarla en profundidad utilizando una plataforma de inteligencia de amenazas.<\/p>\n Directamente desde la lista de detecciones, puede abrir la informaci\u00f3n contextual disponible desde el flujo de TI: direcci\u00f3n IP, hashes <\/em>de archivos maliciosos asociados con esta direcci\u00f3n, dict\u00e1menes de las soluciones de seguridad, datos del servicio de WHOIS, etc. Para una mayor precisi\u00f3n, abre una interfaz gr\u00e1fica, la forma m\u00e1s adecuada de analizar la cadena de ataque.<\/p>\n \u00a0<\/p>\n Hasta aqu\u00ed, no hay mucha informaci\u00f3n: se ve la detecci\u00f3n en s\u00ed, la URL maliciosa detectada y la direcci\u00f3n IP interna del dispositivo que se us\u00f3 para acceder a esa URL. Al hacer clic en el icono de la URL maliciosa, se solicitan los indicadores conocidos relacionados con esa direcci\u00f3n: direcciones IP, URL adicionales y hash<\/em>es de archivos maliciosos que se hayan descargado en alg\u00fan momento de ese sitio.<\/p>\n El siguiente paso es comprobar si se han registrado otras detecciones en la infraestructura corporativa utilizando los mismos indicadores. El analista hace clic en cualquier opci\u00f3n (por ejemplo, una direcci\u00f3n IP maliciosa) y muestra en el gr\u00e1fico detecciones adicionales. En otras palabras, se puede averiguar con un clic qu\u00e9 usuario fue a qu\u00e9 direcci\u00f3n IP (o en qu\u00e9 dispositivo una solicitud de URL del servidor DNS devolvi\u00f3 la direcci\u00f3n IP). De igual forma, se comprueba qu\u00e9 usuarios han descargado el archivo cuyo hash <\/em>se muestra en los indicadores asociados.<\/p>\n Puede haber miles de detecciones en un solo incidente y ser\u00eda bastante dif\u00edcil clasificarlas a mano sin la sencilla interfaz gr\u00e1fica de la plataforma de TI. Todo el contexto disponible de las fuentes de datos de las ciberamenazas se extrae a cada punto del gr\u00e1fico. El analista puede agrupar u ocultar opciones y aplicar la agrupaci\u00f3n autom\u00e1tica de nodos. Si el analista tiene alguna fuente de informaci\u00f3n adicional, puede agregar manualmente un indicador y marcar sus correlaciones de forma independiente.<\/p>\nC\u00f3mo puede ayudar una plataforma de inteligencia de amenazas<\/h2>\n
C\u00f3mo encaja una plataforma de inteligencia de amenazas en el trabajo de un analista y en SIEM<\/h2>\n
Un ejemplo pr\u00e1ctico<\/h2>\n