Si toma muy en serio el tema de seguridad en su empresa, probablemente ya haya invertido fuertemente en múltiples soluciones de seguridad perimetral y seguridad lógica.
Estas soluciones tienen uno o varios propósitos específicos, como prevención de intrusos, detección de malware, protección de equipo de cómputo, prevención de pérdida de información, y un largo etcétera; pero cada una de estas soluciones trabajan aisladas, con su propia consola, un propio sistema de notificaciones, y no se comunican entre sí. Es por esto que se requiere una manera de centralizar toda la información de seguridad y ahí es donde entra un correlacionador de eventos de seguridad.
Un correlacionador de eventos de seguridad, también conocido como SIEM (Security Information and Event Management), tiene como objetivo principal el ayudar a las empresas a construir un centro de operaciones de seguridad en donde se tenga centralizada la información de múltiples fuentes y además brinde la posibilidad de identificar ataques complejos que afectan múltiples puntos a la vez. Un correlacionador puede tener muchos usos y objetivos, entre los cuales se encuentran:
- Centralizar y almacenar logs por un periodo extendido de tiempo para cumplir con regulaciones de retención de información.
- Normalizar e indexar la información para su fácil búsqueda y análisis.
- Capacidad poderosa de búsqueda para investigación forense.
- Crear reglas de correlación para generar alertas o identificar ataque esperados o conocidos.
- Distintas cualidades de inteligencia de seguridad como análisis heurístico, firmas de ataques, análisis de comportamiento, análisis con inteligencia artificial, suscripciones a servicios de inteligencia, etc.
- Atención a alertas y eventos con corrección automática
- Visualización de información y alertas
- Estadísticas de eventos
Las anteriores son cualidades que muchos correlacionadores del mercado cubren y ayudan mucho en la prevención, detección y análisis de ataques informáticos y ataques complejos que soluciones de propósito específico no pueden evitar y no tienen el contexto para hacerlo. Un beneficio adicional de este tipo de soluciones es poder comunicar de mejor manera los beneficios y eficiencia de operación del departamento de seguridad, ya que se pueden tener tableros de control y una vista completa de todo lo que pasa en la empresa.
Si está considerando la compra de un correlacionador de eventos de seguridad hay varias características que debe de buscar que se ajusten a su empresa, sus casos de uso y a su objetivo en el departamento de seguridad. Lo que tiene que considerar en la evaluación y posible compra de un producto es lo siguiente:
- Normalmente estas soluciones se cotizan por el volumen de eventos que procesa la solución (eventos por segundo.
- Tiene que considerar fuentes de eventos a integrar y qué tan fácilmente se integran al correlacionador.
- Considerar el tiempo de retención de información porque esto impacta el espacio en disco necesario y capacidades del equipo a instalar.
- Considerar soluciones de correlación basadas en hardware o solo en software si tiene ya mucha infraestructura.
- Poner en una balanza el costo/beneficio de una solución costosa vs. solución más pequeña con menores capacidades (esto depende de sus casos de uso).
- Capacidades de automatización.
- Facilidad de uso e instalación.
- Si no tiene tanta experiencia en seguridad, empezar con casos específicos e ir creciendo la solución.
Ya considerando todo lo anterior puede empezar a proponer un caso de negocio y con ayuda de team averiguar la mejor solución para su negocio.
Conoce más de los productos que ofrece el portafolio de Micro Focus y nuestra solución de Seguridad Digital.
Para mayor información contacta a nuestros especialistas en Cetro de Datos.
Decídete a cambiar, duerme tranquilo y disminuye tus costos.
Háznos saber tus comentarios, nos pondremos en contacto contigo.
