¿Cuándo miraste por última vez los logs?

Soluciones SIEM as a Service

Log Management, Security Event Management,
Security Information Management y Security Event Correlation.
Todo como servicio, en una cuota mensual y bajo SLA.

El problema: ¿Has mirado tú hoy los logs?

Antes de responder: Cuidado. Es una pregunta trampa. Si la respuesta es "no" hay algo que está fallando. Si las respuesta es "sí, he pasado dos horas intentando encontrar algo" puede que el problema sea mayor. Y definitivamente, si esta pregunta te resulta familiar, en NTS podemos ayudar.

El problema en la gestión de logs en sistemas informáticos actuales se descompone de tres partes. La primera parte del problema es que cada día se manejan más y más datos de más y más sistemas, que a su vez generan más logs que nunca. Se generan logs Desde infraestructura de red: routers, switches, puntos de acceso… hasta aplicaciones de negocio como CRMs o Intranets. Pasando por sistemas de seguridad como IDSs, VPNs, Web Filters, etc. Según Forrester Research, una gran empresa puede llegar a generar más de 10 TeraBytes de información al mes. Y eso, en formato log de texto, es mucha información. Solo como referencia, si El Quijote en formato texto no llega a 2 Mb, 10 TB serían 5 millones de Quijotes. Al mes. Como para buscar una frase haciendo scroll down en una pantalla negra, ¿no?

La segunda parte del problema es que el aumento del volumen de datos combinado con la heterogeneidad de los mismos derivada de la diversidad tecnológica, ha hecho que la complejidad de gestión del sistema se dispare. Tanto es así que según informe de Enterprise Strategy Group, para el 41% de los CIOs este aumento desmesurado de datos es la principal razón por la que la gestión de los sistemas TI en las compañías se ha hecho terriblemente complejo.

El 41% de las organizaciones consideran que los mayores volúmenes de datos son los principales culpables de la complejidad TI actual.

Y por último, la tercera parte del problema es el tiempo disponible del personal del departamento de TI. Generalmente no hay nadie cuyo “full time job” sea mirar logs. Y aunque así lo fuera, generalmente acabaría disponiendo de su tiempo de otra forma diferente. Porque mirar logs es importante, pero si “no pasa nada” o “parece que no pasa nada” otras tareas empiezan a ser más urgentes: Atender a usuarios, resolver incidencias, instalar parches o mejorar sistemas reduciendo deuda tecnológica, formaciones, reuniones, etc. ¿Mirar logs? Mañana. Que hoy no me queda tiempo.

Revisar logs no suele ser prioridad para nadie. El coste de personas cuyo “full time job” sea revisar los logs es muy elevado.

Un SIEM es una herramienta informática que nos permite por un lado garantizar la recogida de todos los logs de nuestros diferentes sistemas informáticos, redes y comunicaciones, almacenamiento de grandes cantidades de información y proporcionando herramientas para explotar dicha informaicón de forma ágil. Igualmente, este sistema nos proporciona la posibilidad de gestionar eventos relacionados con dichos logs: Monitorizando estados de sistemas en tiempo real que “disparan” eventos asociados a acciones programadas o simplemente alertas. Igualmente, un SIEM nos permite crear, almacenar y distribuir informes generados a partir de toda la información gestionada. Y por último nos permite realizar correlaciones entre eventos: Si pasa esto aquí y allá sucede lo otro, entonces puede estar pasando esto.

Ejemplo de cuadro de mandos SIEM utilizando la solución Devo.

Beneficios de las soluciones SIEM

  • Aumento de eficiencia.
  • Prevención de brechas de seguridad
  • Identificación de ineficiencias operativas
  • Reducción de impacto de incidentes o caídas de sistema
  • Ahorro de costes
  • Mejora de los sistemas de reporting
  • Cumplimiento de normativa GDPR
  • Control total de las constantes vitales de los sistemas informáticos

¿Por qué un SIEM as a Service?

  • Reducción de la complejidad de la solución
  • No es necesario operar sistemas complejos ni formar al equipo
  • Se transforman costes CAPEX a OPEX
  • Se reduce el pasivo laboral
  • SLA garantizado bajo contrato
  • Reducción del tiempo de resolución de incidencias
  • Predicibilidad de costes
  • Reducción de casi un 50% de coste a 5 años
  • Evolución del sistema garantizada

¿Cómo es la operativa del servicio SIEM as a Service?

Un proyecto de SIEM as a Service comienza con la selección de la herramienta de log management más adecuada para cada cliente. Nosotros habitualmente usamos Devo, aunque esta elección dependerá de cada situación. A partir de aquí, mediante su configuración y puesta en marcha, estos sistemas (normalmente soluciones cloud + appliances para los casos de logs más complejos), comienzan a ingestar datos / logs de manera masiva y a almacenarlos en su BBDD. Todos estos logs se guardan en su formato original. Siempre sin modificar.

Con los logs en bruto, la solución SIEM será capaz de generar eventos que se dispararán a partir de los logs ingestados y las condiciones o umbrales de disparo que se establezcan a partir del conocimiento del negocio y del equipo de explotación. Es aquí donde comienza a cobrar especial importancia el conocimiento del equipo de NTS, que se ha enfrentado previamente a diferentes situaciones que nos permiten definir dichas políticas rápidamente. Sin improvisaciones. Es lo que llamamos economías de escala. Además, la solución SIEM permite que el equipo de NTS defina las diferentes correlaciones entre alertas y situaciones de los sistemas, conocimiento de nuevo que se almancenará en la base de datos de correlaciones del sistema. Ejemplo de funcionalidad sobre correlación de logs.

Con todo el sistema configurado y alimentado con el conocimiento del equipo de NTS, toca realizar labores de monitorización proactiva de alertas. Cuando una alerta supera un umbral de importancia, o periódicamente sobre las menos importantes, el equipo de operación de NTS realiza un triaje de cada una de ellas con la intención de i. reducir falsos positivos, y ii. valorar si es requerida una acción determinada en base a la situación.

Cuando se detecta un incidente es cuando el equipo de operación del sistema debe realizar una revisión de todo lo acontecido (eventos, logs, alertas, etc.) mediante la investigación de toda la información posible, creando queries de incidente específicas para la situación y trabajando conjuntamente con el equipo de sistemas de nuestro cliente. Finalizada esta investigación tocará informar a nuestro cliente para que se tomen las medidas necesarias.

Los servicios de SIEM as a Service de NTS normalmente no incluyen tareas de remediación, ya que los sistemas monitorizados tienen sus diferentes propietarios en la organización que son quienes deben actuar en cada uno de ellos. Sin embargo, el equipo de NTS presta un soporte especial en estas situaciones mediante el análisis de información relacionada que permita a cada propietario del servicio actuar con toda la información relavante a su alcance.

En aquellas situaciones donde se haya producido un incidente y así lo requiera el cliente, el equipo de NTS generará un análisis forense del mismo, situación de la que se obtendrá un importante conocimiento que retroalimentará no solo a los sistemas de alertas y correlaciones (evolución), sino también al conocimiento del equipo de gestión, evitando caer en errores o situaciones similares en un futuro. Conoce qué es un análisis forense.