La Importancia de Correlacionar Eventos

Las organizaciones, de cualquier tamaño, enfrentan el desafío de administrar numerosa información de productos individuales durante su tarea de resolver problemas de seguridad y velar por el cumplimiento de normativas en un contexto global de la empresa. En una primera aproximación es importante destacar los siguientes puntos:

Búsqueda de visión global de la Empresa:
Los firewalls, controles de acceso, VPNs, IDPs (IPSs) son elementos críticos de una arquitectura de seguridad en profundidad. Adicionalmente los routers y otros elementos de la red también están relacionados con información de seguridad, directa o indirectamente. Por esto es necesario tener la habilidad de ver, analizar y responder a la información de toda la red ya que la suma de todos estos productos provee información más significativa que la de los componentes individuales de manera aislada.

El desafío planteado por millones de eventos:
Con la proliferación necesaria de puntos de seguridad en la red los operadores están constantemente bajo una avalancha de información producida por los productos que tienen capacidad de generar logs. Eventos y alertas constituyen la evidencia crítica necesaria para entender las amenazas a través de la red, pero la tarea de Sísifo planteada es como recolectar, analizar y priorizar efectivamente esta información cuando decenas de millones de registros de eventos son enviados diariamente desde los dispositivos. Los datos de amenazas y alarmas se generan en muchas formas como logs de hosts, firewall, IDP datos de flujo de la red, alertas y más. Esto crea un desafío enorme para el personal IT que debe analizar datos de una multitud de fuentes para entender las amenazas que están enfrentando y determinar que acciones tomar.

Vivir con las amenazas emergentes:
La seguridad siempre ha sido, y seguirá siendo, un juego de cambio de ofensa y mejora de defensa. Como las amenazas continúan evolucionando los administradores deben mejorar la postura de seguridad de la red utilizando variadas perspectivas de defensa para atrapar a los heraldos de ataques que son difíciles de detectar/prevenir con precisión a través de una sola tecnología. Mientras las iniciativas de control de acceso, como UAC, acopladas al desarrollo de firmas y distribución a los productos IDP proporcionan seguridad crítica en la carrera de actualizaciones constantes, los ataques de día cero aún emergen como desafíos para cualquier postura de defensa en profundidad. Esto enfatiza la necesidad de visibilidad de todos los puntos de la red, independiente si existen o no dispositivos de seguridad en todos estos puntos.

Amenazas internas:
Los operadores de red y seguridad saben que además de combatir las amenazas que buscan penetrar en sus empresas también deben enfrentar el problema de las amenazas internas; un empleado insatisfecho que se transforma en saboteador, un empleado utilizando dispositivos y aplicaciones inseguras, un empleado sin entrenamiento teniendo acceso a los principales datos de la empresa, todo esto representa un desafío interno que, en algunas empresas, llega a ser mayor que el desafío externo. En suma a los firewalls, VPNs, UAC, IDPs, existe la necesidad de monitorear al empleado, comportamiento de aplicaciones y dispositivos en la red para conectar información aparentemente dispar en un cuadro más completo de la actividad de toda la red.

Requisitos de Normativas:
Una vez que la postura de defensa en contra de las amenazas internas y externas ha sido optimizada, aún quedan desafíos; todas las organizaciones cada vez se abren más al escrutinio de grupos de auditoría, tanto internos como externos. La implementación y validación del cumplimiento de la política interna de la compañía o la regulación externa (como el estándar PCI) es otro reto que aterriza en el terreno del sobrecargado equipo de red y seguridad. La implementación requiere que la visibilidad correcta y las capacidades de alerta estén en su lugar para responder a estándares particulares de control (por ejemplo múltiples intentos fallidos de acceder a una cuenta de administración de una base de datos seguidos de un intento exitoso debe ser alertado). La validación requiere que los reportes de apoyo a la existencia y efectividad de los estándares de control estén disponibles en cualquier momento.

Con todos estos desafíos en mente se ve la necesidad de contar con una herramienta que permita:

1. Detectar Amenazas: Detectar eventos que pueden ser obviados por productos o repositorios operacionales.
2. Administrar Logs: Responder a las amenazas correctas en el momento oportuno a través de una administración efectiva de millones de registros de logs.
3. Cumplimiento de Normativas: Implementar una política de seguridad con almacenamiento integral de eventos y presentación de informes.
4. Eficiencia IT: Extraer el valor IT que está latente pero perdido en la red existente.
5. Detectar ataques día cero a través del comportamiento histórico de la red.