La infraestructura informática de una empresa contemporánea es un mecanismo complejo que incluye una multitud de sistemas corporativos: monitores de red, antivirus, aplicaciones, bases de datos, sistemas operativos de servidores y computadoras, AD, Exchange. Técnicamente, cualquier evento en el sistema es registrado (protocolizado). Pero es imposible rastrear, analizar y reaccionar oportunamente a todos los eventos sin un sistema automatizado.
SIEM (Gestión de Eventos e Información de Seguridad) puede recopilar información de casi todas las fuentes:
Recopilación y procesamiento de eventos de diferentes fuentes
El número de fuentes de eventos en la infraestructura hoy en día es tan alto que es imposible controlarlos todos manualmente. Y esto podría provocar alguno de los siguientes riesgos:
SearchInform SIEM, al agregar la información de diferentes dispositivos, soluciona este problema. El sistema reune los datos y proporciona un almacenamiento seguro para ellos.
Análisis de eventos y procesamiento de incidentes en tiempo real
SearchInform SIEM además de correlacionar los eventos, también evalúa su significado: el sistema visualiza la información centrándose en los eventos importantes y críticos.
Correlación y procesamiento basado en reglas
Un evento aislado no siempre significa un incidente. Por ejemplo, un inicio de sesión fallido puede ser simplemente accidental, sin embargo, tres o más intentos probablemente indican un intento por adivinar la contraseña. Para identificar los eventos realmente críticos, SearchInform SIEM utiliza reglas que contienen toda una gama de condiciones y tienen en cuenta los más diversos escenarios.
Notificación automatizada y gestión de incidentes
Las notificaciones automatizadas y la gestión de incidentes permiten al SearchInform SIEM cumplir su objetivo principal: crear las condiciones para que los oficiales de seguridad de la información respondan rápidamente a los incidentes. La solución proporciona una detección automática de los incidentes.
El administrador de un servidor de correo puede reconfigurar el sistema para obtener el acceso al correo electrónico de un alto directivo u otro empleado. El SIEM reaccionará rápidamente al incidente y notificará al departamento de seguridad de la información.
Los empleados que no cambian sus contraseñas durante mucho tiempo o que se las dan a otra persona también están en peligro. Además, un administrador puede cambiar temporalmente el nombre de la cuenta de alguien y dar acceso a la red a intrusos. SIEM le informará si detecta incidentes parecidos.
Hay situaciones en las que eventos, aparentemente inofensivos, al unirse pueden constituir una gran amenaza. Por ejemplo, cuando alguien envía una contraseña a la cuenta de un alto directivo. Este evento no llamará la atención, pero si más tarde esta cuenta accede a recursos importantes, el sistema alertará del incidente.
Un empleado con conocimientos técnicos intentó copiar la base de clientes de una manera inusual. La cuenta del empleado no tenía permiso para obtener datos de CRM (Gestión de las relaciones con clientes). Para obtener información directamente de la base de datos el empleado creó una nueva cuenta de DBMS (Sistema de Gestión de Base de Datos). Una de las reglas del SIEM, que gestiona el acceso de las nuevas cuentas a la base de datos, notificó inmediatamente a los especialistas sobre la violación.
Tras la instalación del sistema, el personal de seguridad de la información tiene acceso a más de 300 reglas de seguridad preparadas. Los usuarios pueden editar y personalizar las reglas existentes y crear sus propias. Las reglas de seguridad preconfiguradas exploran las siguientes fuentes de datos:
El sofisticado mecanismo de funcionamiento del SIEM se reduce al siguiente algoritmo:
SearchInform SIEM* recopila información de varias fuentes, la analiza, descubre amenazas y alerta al personal de seguridad informática designado.
*Este documento tiene solamente fines informativos. Parte de la funcionalidad descrita de SearchInform SIEM está en revisión. El proyecto de la expansión de las capacidades está ejecutando gracias al formato de cofinanciamiento de los fondos propios del proveedor; y el fondo ruso de subvención para el desarrollo de tecnologías de la información.
Hoy en día la infraestructura de TI de una empresa es un mecanismo complejo que incluye muchos sistemas corporativos:
Cada sistema es una fuente de datos personales, financieros y corporativos que los infractores pretenden obtener.
La empresa puede verse amenazada tanto por las acciones de los administradores de sistemas (concesión de derechos de acceso no autorizada, creación o eliminación de cuentas, desactivación del firewall) como por la vulnerabilidad de los productos a través de los cuales los infractores pueden acceder a los datos de la empresa.
Recopilar eventos de diferentes fuentes:
equipos de red, PCs, sistemas de seguridad, sistemas operativos
Analizar datos y hacer correlaciones,
detectar incidentes
Guardar los incidentes y reportarlos en tiempo real