¿Qué es SIEM?
¿Qué es SIEM?
El software de administración de información y eventos de seguridad (SIEM) recopila, almacena y analiza de manera centralizada los registros del perímetro al usuario final. Monitorea las amenazas de seguridad en tiempo real, lo que permite tomar rápidas medidas de detección, contención y respuesta ante ataques, y proporciona informes integrales de seguridad y una excelente administración del cumplimiento.
Cuando se produce un ataque en una red equipada con SIEM, el software envía información a todos los componentes de TI (puertas de enlace, servidores, firewalls, etc.).
Ventajas de SIEM
El software SIEM es una potente herramienta que permite a las organizaciones detectar las últimas amenazas de seguridad que puedan producirse en sus redes. SIEM proporciona una visión integral de la seguridad de TI de una organización, ya que realiza informes en tiempo real y análisis de largo plazo de los eventos de seguridad. El software SIEM registra cada uno de los eventos en toda la red. Estos registros proporcionan herramientas forenses muy valiosas para el personal de TI,y luego el software los ayuda a analizarlos. La recopilación de registros completos ayuda a abordar muchos requisitos de notificación de cumplimiento. Los mapas de análisis y normalización registran mensajes de los distintos sistemas en un modelo de datos común y permiten analizar eventos relacionados que se registran en distintos formatos fuente. La correlación enlaza los eventos registrados en distintos sistemas o aplicaciones, lo que agiliza la detección de amenazas de seguridad y capacidad de respuesta. Gracias a la propiedad de agregación de SIEM, se consolidan los registros de eventos duplicados, lo que reduce el volumen de datos sobre eventos. Dichos datos se analizan de manera correlacionada y agregada en tiempo real y luego pueden compararse con resúmenes a largo plazo.
Solución de problemas con SIEM
Constantemente están surgiendo nuevas amenazas de seguridad de las redes y se están propagando muy rápidamente. Con el aumento de la movilidad de los usuarios, la cantidad de ubicaciones remotas que pueden existir y la amplia gama de dispositivos que acceden a la red, ahora hay más posibles puntos de entrada a la red que nunca.
Las nuevas aplicaciones y tecnologías generan riesgos y abren la puerta a nuevos ataques de red. Hay organizaciones en las cuales las infracciones de seguridad pueden pasar desapercibidas durante meses, mientras que otras tienen departamentos enteros de TI dedicados a proteger la red contra las actividades maliciosas. Para entender las amenazas a las redes, deben analizar datos procedentes de distintas fuentes y, luego, decidir qué medidas tomar para abordarlas.
Lo que los departamentos de TI necesitan es una solución completa e integral que ofrezca seguridad por capas y que proteja la red de todas las amenazas que puedan ocurrir en cualquier capa o punto. Los departamentos de TI también deben estar al día de los requisitos de cumplimiento, y garantizar:
- Rendición de cuentas y datos que puedan alimentar los informes sobre quién hizo qué y cuándo.
- Transparencia que aporte visibilidad sobre los controles de seguridad, aplicaciones empresariales y activos que se quieran proteger.
- Medición que proporcione métricas y análisis sobre los riesgos de TI dentro de una empresa.
SIEM de Juniper Networks
Juniper Networks Secure Analytics (JSA) es una plataforma de administración de seguridad de red que permite comparar datos de tráfico de todos los dispositivos y de la red. Combina la gestión de registros, SIEM y la detección de anomalías de comportamiento en la red (NBAD) en una única solución de gestión de seguridad de red integrada de extremo a extremo. En el sector de las plataformas de pagos con tarjeta de crédito o de las organizaciones regidas por Ley Federal de Gestión de la Seguridad de la Información (FISMA) de Estados Unidos u otros requisitos de cumplimiento, los administradores obtienen una visión general de la postura de seguridad de su red.