Factores de éxito en soluciones de seguridad con correlación de eventos

Hola,

La gran mayoría de los que os dedicáis a la seguridad habréis oído en los últimos tiempos la palabras SEM y SIEM (Security Information and Event Management). Aunque no son conceptos nuevos, estos conceptos gozan de mucha popularidad hoy en día.

Steve Lafferty, de Prism Microsystems, ha publicado recientemente un artículo llamado Is correlation killing the SIEM market? en el que abre un debate sobre la verdadera utilidad de los motores de correlación en instalaciones finales para clientes. Es una lectura interesante, en la que se cita otro buen artículo de Securosis que explica de lo que significa correlación en SIEM y gestión de eventos. Si no estáis familiarizados con el tema, este artículo es una de las mejores introducciones posibles. No dudéis en repasarlo.

En el texto de Prism, Lafferty se cuestiona si la correlación está o no funcionando en clientes finales. Para mí el éxito de un sistema en el que exista correlación de eventos no está en la tecnología. Como sucede en tantos otros campos de la seguridad, el problema, lejos de ser de índole técnica, es de naturaleza procedimental. La correlación avanzada de eventos es jugosa y siempre se ha vendido a los clientes finales como la gran panacea que hace posible atacar con extrema facilidad uno de los más graves problemas de la gestión de la seguridad (mucho que controlar y poco recurso para hacerlo). He oído en infinidad de ocasiones a vendedores asegurando que sus soluciones, con ratios de falsos positivos mínimos, son capaces de generar inteligencia completa con mínima inversión de tiempo y recursos. Esto, por norma general, no suele ser verdad, si bien son argumentos que a más de uno pueden seducir cual canto de sirena. En mi experiencia la correlación compleja es costosa y consume muchos recursos, y lo que es más grave: no siempre está fundamentada en casos de estudio representativos. Aunque suene duro decirlo, el mero hecho de tener una solución SIEM con correlación avanzada de eventos no significa necesariamente que estemos teniendo en cuenta, con la prioridad que merecen, los eventos relevantes para la organización.

Los clientes de este tipo de soluciones han ido comprobando con el paso del tiempo que la correlación de eventos no es tan fácil como la pintan. Obviar o errar los casos de estudio es un error frecuente, tal y como se ha explicado, y esto suele conducir a implementaciones poco realistas con baja eficacia y eficiencia. Reglas modestas conducen a resultados modestos, y reglas complejas conducen generalmente al desastre: el término medio está localizado allí donde los gestores de seguridad hábiles, en vez de malgastar sus recursos afinando reglas inútiles que el fabricante les ha traído por defecto, documentan casos reales y representativos y supervisan la implementación de las reglas que deriven del ejercicio anterior, estableciendo las medidas correctivas oportunas en la fase de afinamiento.

Si la esencia de la correlación de eventos es poder extraer inteligencia de una montaña de datos que sería imposible procesar manualmente, parece lógico pensar que el éxito de un sistema de correlación vendrá dado por la habilidad que tengamos a la hora de convertir una maraña de datos potencialmente inconexos en inteligencia representativa que podamos asumir y analizar en tiempo y forma con los recursos disponibles. Y eso no deja de ser cuestión de representatividad y optimización, ninguno de los cuales es un problema técnico.

Un saludo,