Implementación de SIEM y SOAR: guía para directivos

Implementación de SIEM y SOAR: guía para directivos

Esta guía tiene por objetivo aclarar el valor de las plataformas SIEM (Gestión de Información y Eventos de Seguridad) y SOAR (Orquestación, Automatización y Respuesta de Seguridad), explicar cómo funcionan, describir los principales desafíos de implementación y ofrecer recomendaciones de alto nivel para su despliegue.

La instrucción está dirigida principalmente a las personas que toman decisiones a nivel ejecutivo de la organización, pero puede ser utilizada por cualquier entidad que considere implementar SIEM y/o SOAR.

La guía integral consta de tres partes:

  • Implementación de SIEM y SOAR: guía para responsables - define las plataformas SIEM/SOAR, describe sus beneficios y desafíos, y ofrece recomendaciones generales de implementación
  • Implementación de SIEM y SOAR: guía para especialistas - proporciona recomendaciones técnicas más detalladas
  • Registros prioritarios para la ingestión en SIEM: guía para especialistas - contiene recomendaciones técnicas detalladas sobre los registros que deben tener prioridad para la ingestión en SIEM

El valor de las plataformas SIEM y SOAR

Las plataformas SIEM y SOAR pueden formar parte de la estrategia de monitoreo y visibilidad de su organización. La visibilidad es la base para detectar actividad maliciosa cibernética y es crítica para una estrategia de ciberseguridad eficaz e integral.

Capacidades principales de las plataformas

Estas plataformas pueden:

  • Mejorar la visibilidad general de lo que ocurre en la red de la organización mediante la recopilación, centralización y análisis de datos cualificados sobre eventos que de otro modo serían muy complejos y dispersos
  • Mejorar la detección de eventos e incidentes de ciberseguridad al generar alertas rápidas sobre actividad sospechosa
  • Reforzar la detección de eventos e incidentes previniendo la modificación/eliminación de ciertos datos por parte de actores maliciosos para mantener el acceso a la red (como se observó en la campaña Volt Typhoon)
  • Mejorar la respuesta a eventos e incidentes de ciberseguridad al fomentar la intervención oportuna mediante alertas y al proporcionar al equipo de respuesta acceso a datos sobre los eventos
  • Automatizar la respuesta (en el caso de SOAR) mediante la automatización de ciertas acciones de respuesta, reduciendo el tiempo medio de actuación y permitiendo que el equipo de seguridad se concentre en problemas más complejos
  • Ayudar a cumplir requisitos del Modelo de Madurez Essential Eight del Australian Signals Directorate y de los Cybersecurity Performance Goals (CPGs) de la Cybersecurity and Infrastructure Security Agency (CISA), que exigen la recopilación y centralización de datos de registro

Resultados de la implementación

En consecuencia, estas plataformas pueden ayudar a mantener el funcionamiento de los sistemas y servicios de su organización y proteger los datos contra accesos no autorizados, modificaciones y robo.

Importante: Estos beneficios se alcanzan solo con una implementación correcta de SIEM y/o SOAR (ver la sección "Recomendaciones de implementación").

Principios de funcionamiento de las plataformas

La red de una organización puede ser muy compleja, con multitud de dispositivos, aplicaciones, sistemas operativos y servicios en la nube. Cada una de estas fuentes en la red puede generar registros o información específica sobre lo que ocurre en esa fuente (como la actividad de usuarios en un dispositivo).

Qué es un SIEM

Sistema SIEM (Gestión de Información y Eventos de Seguridad) - es un tipo de plataforma de software que recopila, centraliza y analiza datos de registro.

El SIEM recoge datos complejos y dispersos de registros de toda la red y los consolida en informes ordenados y paneles de control. El SIEM también analiza esos datos aplicando reglas y filtros para detectar actividad anómala en la red que pueda representar un evento o incidente de ciberseguridad.

Muchos productos SIEM mejoran este análisis incorporando información actualizada sobre amenazas procedente de fuentes externas. Si el SIEM detecta un evento o incidente, genera alertas que impulsan al equipo de seguridad de la organización a investigar y responder según sea necesario.

Qué es un SOAR

Sistema SOAR (Orquestación, Automatización y Respuesta de Seguridad) - es un tipo de plataforma de software que se apoya en la recopilación, centralización y análisis de datos de registro.

Algunas plataformas SOAR realizan estas funciones por sí mismas, mientras que otras se integran con un SIEM existente y utilizan su capacidad de recopilación, centralización y análisis.

Principio de funcionamiento de SOAR

En cualquier caso, SOAR automatiza parte de la respuesta a eventos e incidentes de ciberseguridad detectados. Lo hace mediante la aplicación de playbooks predefinidos, que establecen acciones específicas que se ejecutan al producirse determinados eventos, por ejemplo:

  • Aislar la fuente del evento en la red
  • Bloquear el tráfico sospechoso
  • Notificar automáticamente a las personas responsables
  • Recopilar información adicional sobre el incidente
Es importante entender: Estas acciones automatizadas no sustituyen a los especialistas en respuesta a incidentes, sino que complementan su trabajo.

Desafíos clave de la implementación de plataformas

Principio fundamental: Ni SIEM ni SOAR son herramientas de tipo "instalar y olvidar". Implementar cualquiera de estas plataformas es un proceso intensivo y continuo que exige personal altamente cualificado.

Este personal se enfrenta a dos desafíos técnicos clave:

Primer desafío: asegurar la precisión de las alertas del SIEM

El primer desafío consiste en garantizar que el SIEM genere alertas cuando ocurran eventos e incidentes de ciberseguridad y, a la inversa, que no genere alertas cuando no existan eventos/incidentes.

Para lograr este objetivo, el personal debe:

  • Determinar los tipos y la cantidad correctos de datos de registro para la ingestión en el SIEM
  • Establecer las reglas y filtros adecuados para aplicar a esos datos
  • Desarrollar un modelo de amenazas que identifique los eventos de interés y que pueda activar alertas relacionadas con ese modelo, garantizando la precisión de las notificaciones

Consecuencias de una configuración inexacta:

  • Sobrecarga por falsas alertas: Los equipos de seguridad pueden verse operativamente abrumados por falsas alertas procedentes del SIEM
  • Fallo en la detección de incidentes reales: Los eventos o incidentes reales pueden pasar desapercibidos por la ausencia de alertas

Segundo desafío: asegurar la idoneidad de las acciones del SOAR

El segundo desafío técnico clave es garantizar que SOAR ejecute acciones apropiadas solo en respuesta a incidentes reales de ciberseguridad, y no frente a la actividad normal de la red o a acciones que obstaculicen a los especialistas en respuesta a incidentes.

Riesgo crítico: Si la precisión de las acciones no se alcanza, SOAR puede interrumpir significativamente la prestación de servicios.

Requisitos de recursos y operación continua

Para abordar estos desafíos técnicos, el personal debe:

  1. Configurar cuidadosamente el SIEM y/o SOAR para la red y la organización específicas en las que se emplearán
  2. Ajustar continuamente su funcionamiento a medida que cambian la red, las tecnologías y el panorama de amenazas
  3. Probar regularmente su eficacia

Opciones para llevar a cabo los trabajos:

  • Con recursos internos
  • Con un proveedor de servicios externo
  • Combinando ambos enfoques

Coste de la implementación

Una implementación correcta de SIEM y/o SOAR conlleva costes significativos, que pueden incluir gastos iniciales y continuos:

  • Licencias y uso de datos: Costes de licencia y/o del uso de datos de la plataforma
  • Personal: Costes de contratación y retención de empleados con habilidades especializadas demandadas para implementar SIEM y/o SOAR
  • Formación: Costes de capacitación del personal existente, así como gastos continuos de formación necesarios para mantener la plataforma conforme cambian las tecnologías, la red y el panorama de amenazas
  • Externalización: Costes de los servicios si la implementación se externaliza

Coste de la inacción

Sin embargo, la incapacidad para detectar o responder correctamente a un incidente de ciberseguridad puede resultar extremadamente costosa. Esto también puede provocar:

  • La interrupción de sistemas de la organización
  • La alteración de la prestación de servicios
  • La filtración o destrucción de datos
  • La pérdida de confianza pública

Recomendaciones de implementación

A continuación se presentan recomendaciones estratégicas de alto nivel para los responsables que consideren implementar SIEM y/o SOAR.

Es importante señalar: Estas plataformas son solo una de las tecnologías que pueden recopilar y centralizar datos de registro y mejorar la detección de incidentes. Existen otras opciones, como las herramientas de gestión de registros.

A. Considere la implementación interna

Cuándo conviene la implementación interna

Si su organización gestiona información confidencial o presta servicios críticos, puede ser necesario implementar la plataforma internamente.

Ventajas de la implementación interna

La ventaja clave de implementar internamente SIEM y/o SOAR es que el personal suele tener:

  • Conocimiento profundo de la red única y de los procesos empresariales de la organización
  • Autoridad para solicitar a los usuarios información sobre comportamientos inusuales
  • Capacidad para iniciar acciones de respuesta a incidentes de forma inmediata

En contraste, la externalización puede provocar:

  • Brechas en la visibilidad
  • Duplicación de tareas
  • Dificultades de comunicación

Desafíos de la implementación interna

No obstante, desarrollar y retener capacidades internas puede ser difícil, ya que exige muchos recursos y estas habilidades están muy demandadas. Los responsables deben esperar que varios empleados trabajen permanentemente en la implementación de SIEM y/o SOAR. La operación de estas plataformas también puede implicar periodos prolongados de trabajo de alta presión.

Criterios para elegir un proveedor externo

Si su organización externaliza parte o toda la implementación, se recomienda valorar si los distintos proveedores ofrecen:

  • Monitoreo y servicio de respuesta a incidentes de alta calidad las 24 horas
  • Una sólida reputación en ciberseguridad
  • Información sobre si están ubicados en un país extranjero o tienen oficinas en países extranjeros

Cláusulas contractuales importantes

También debe prestar especial atención a las cláusulas contractuales relativas a:

  • Verificación de la eficacia: Cómo se comprobará y garantizará la eficacia del servicio
  • Cumplimiento: Cómo el proveedor verificará el cumplimiento de requisitos legales, reglamentarios e internos aplicables a su organización
  • Nivel de competencia: El nivel de cualificación del proveedor de servicios
  • Alcance de los servicios: Los servicios que se prestarán, incluyendo el uso de estándares, formación y retroalimentación de los usuarios finales
  • Visibilidad: El grado de visibilidad que el proveedor devolverá a su organización
  • Reparto de responsabilidades: La distribución de responsabilidades y obligaciones respecto a la detección y respuesta a incidentes de ciberseguridad

B. Busque costes ocultos potenciales en distintos productos

Se recomienda estudiar detenidamente los costes asociados a los distintos productos SIEM y/o SOAR. Normalmente, con el tiempo el personal envía al SIEM una cantidad creciente de datos de registro para mejorar la visibilidad y la detección de la plataforma.

Riesgo de incremento de costes

La mayoría de los modelos de precios de SIEM se basan en la cantidad de datos que el SIEM ingiere. Algunos productos limitan la ingestión según una cantidad adquirida previamente. Para aquellos productos que no lo hacen, su organización debe prestar atención a los costes potencialmente muy elevados si la ingestión no se gestiona cuidadosamente.

C. Planifique costes continuos de implementación, en especial los de formación

Como se indicó arriba, una implementación correcta de SIEM y/o SOAR implica costes iniciales y continuos significativos.

Las organizaciones deben consultar la documentación de los proveedores para determinar si alternativas de gestión de registros pueden reducir estos costes.

Para las organizaciones que desarrollan capacidades internas, se recomienda destinar esfuerzos y financiación considerables a la formación continua del personal a lo largo del tiempo.

D. Implemente correctamente el SIEM antes de considerar SOAR

En general, es necesario implementar correctamente el SIEM y garantizar la precisión de sus alertas sobre eventos e incidentes de ciberseguridad antes de desplegar SOAR.

E. Asegure pruebas de rendimiento de las plataformas

Es fundamental establecer procesos y procedimientos internos para probar si la plataforma le notifica eficazmente sobre eventos e incidentes de ciberseguridad, ya que los cambios continuos en redes, tecnologías y el panorama de amenazas afectarán el rendimiento.

Recomendaciones para las pruebas

Una vez establecida una capacidad madura de SIEM y/o SOAR, se recomienda evaluar el rendimiento mediante servicios profesionales externos, como pruebas de penetración.

También se aconseja explorar distintos proveedores de SIEM y/o SOAR para identificar los que mejor se adapten a las necesidades de su organización.

Conclusión

La implementación de plataformas SIEM y SOAR es una decisión estratégicamente importante para las organizaciones que buscan mejorar su ciberseguridad. Estas tecnologías pueden mejorar sustancialmente la capacidad de la organización para detectar, analizar y responder a amenazas cibernéticas, pero su éxito requiere una planificación cuidadosa e inversiones significativas.

Conclusiones clave para los responsables

  • Enfoque estratégico: SIEM y SOAR no son soluciones de "instalar y olvidar": requieren atención y recursos constantes
  • Factor humano: El éxito de la implementación depende críticamente de contar con personal cualificado e invertir en su formación
  • Implementación por fases: Se recomienda implantar primero correctamente el SIEM y luego considerar añadir SOAR
  • Elección del enfoque: Valore cuidadosamente las ventajas y desventajas de la implementación interna frente a la externalización
  • Costes ocultos: Tenga en cuenta no solo los gastos iniciales, sino también los costes a largo plazo de operación y formación
  • Mejora continua: Planifique pruebas y ajustes regulares de los sistemas
  • Alternativas: Considere soluciones más sencillas y económicas si satisfacen las necesidades de la organización

SIEM y SOAR bien implementados se convierten en herramientas poderosas para proteger la organización, proporcionando visibilidad de la actividad en la red, detección rápida de amenazas y una respuesta eficaz a incidentes. Sin embargo, lograr estos resultados exige un compromiso a largo plazo, financiación adecuada y un enfoque profesional en la gestión de estos sistemas complejos.

Recuerde: El coste de implementar correctamente SIEM y SOAR puede ser considerable, pero el precio de no detectar y responder a un incidente grave de ciberseguridad puede ser mucho mayor, tanto en términos financieros como de reputación de la organización.


Alt text
article-title

Room Bloger