Hola,
La gran mayoría de los que os dedicáis a la seguridad habréis oído en los últimos tiempos la palabras SEM y SIEM (Security Information and Event Management). Aunque no son conceptos nuevos, estos conceptos gozan de mucha popularidad hoy en día.
Steve Lafferty, de Prism Microsystems, ha publicado recientemente un artículo llamado Is correlation killing the SIEM market? en el que abre un debate sobre la verdadera utilidad de los motores de correlación en instalaciones finales para clientes. Es una lectura interesante, en la que se cita otro buen artículo de Securosis que explica de lo que significa correlación en SIEM y gestión de eventos. Si no estáis familiarizados con el tema, este artículo es una de las mejores introducciones posibles. No dudéis en repasarlo.
En el texto de Prism, Lafferty se cuestiona si la correlación está o no funcionando en clientes finales. Para mí el éxito de un sistema en el que exista correlación de eventos no está en la tecnología. Como sucede en tantos otros campos de la seguridad, el problema, lejos de ser de índole técnica, es de naturaleza procedimental. La correlación avanzada de eventos es jugosa y siempre se ha vendido a los clientes finales como la gran panacea que hace posible atacar con extrema facilidad uno de los más graves problemas de la gestión de la seguridad (mucho que controlar y poco recurso para hacerlo). He oído en infinidad de ocasiones a vendedores asegurando que sus soluciones, con ratios de falsos positivos mínimos, son capaces de generar inteligencia completa con mínima inversión de tiempo y recursos. Esto, por norma general, no suele ser verdad, si bien son argumentos que a más de uno pueden seducir cual canto de sirena. En mi experiencia la correlación compleja es costosa y consume muchos recursos, y lo que es más grave: no siempre está fundamentada en casos de estudio representativos. Aunque suene duro decirlo, el mero hecho de tener una solución SIEM con correlación avanzada de eventos no significa necesariamente que estemos teniendo en cuenta, con la prioridad que merecen, los eventos relevantes para la organización.
Los clientes de este tipo de soluciones han ido comprobando con el paso del tiempo que la correlación de eventos no es tan fácil como la pintan. Obviar o errar los casos de estudio es un error frecuente, tal y como se ha explicado, y esto suele conducir a implementaciones poco realistas con baja eficacia y eficiencia. Reglas modestas conducen a resultados modestos, y reglas complejas conducen generalmente al desastre: el término medio está localizado allí donde los gestores de seguridad hábiles, en vez de malgastar sus recursos afinando reglas inútiles que el fabricante les ha traído por defecto, documentan casos reales y representativos y supervisan la implementación de las reglas que deriven del ejercicio anterior, estableciendo las medidas correctivas oportunas en la fase de afinamiento.
Si la esencia de la correlación de eventos es poder extraer inteligencia de una montaña de datos que sería imposible procesar manualmente, parece lógico pensar que el éxito de un sistema de correlación vendrá dado por la habilidad que tengamos a la hora de convertir una maraña de datos potencialmente inconexos en inteligencia representativa que podamos asumir y analizar en tiempo y forma con los recursos disponibles. Y eso no deja de ser cuestión de representatividad y optimización, ninguno de los cuales es un problema técnico.
Un saludo,
Me pregunto qu� escribir�a Lafferty si Prism apareciera mejor ubicada en el Magic Quadrant.
hxxp://www.rsa.com/products/envision/wp/2009_GartnerMQSIEM.pdf
Popotxo,
Pues mira, yo no quería entrar en ese tema, pero ya que lo haces tú efectivamente estoy de acuerdo en que es peligroso lo que ha hecho Lafferty. Más que nada porque leído desde fuera parece una pataleta y deja en un lugar delicado a sus propios cliente, diciendo que la mayoría no aprovecha las ventajas de la correlación (lo que se puede entender de varias maneras, algunas negativas para dichos clientes)
Yo me sigo quedando no obstante con el problema de tener casos relevantes sustentando estas soluciones. Acertar en su definición es complicado independientemente del vendedor que te surta con la solución SEM/SIEM.
Un saludo!