Cómo reducir la carga SIEM y hacer un buen uso de las fuentes de información sobre amenazas

Cómo ayuda a los analistas de SOC una plataforma de inteligencia de amenazas.

En un principio, los sistemas SIEM se crearon como una herramienta para recopilar información sobre los incidentes de seguridad dentro de una infraestructura y para analizarlos utilizando datos externos sobre las ciberamenazas conocidas. Y esto funcionó durante bastante tiempo.

Sin embargo, a medida que evolucionan tanto las amenazas como la industria de la seguridad de la información, aparecen en el mercado cada vez más fuentes de información sobre las amenazas. Y, además, sus estructuras están cambiando significativamente. Para muchos expertos es obvio que se necesita una nueva herramienta que permita navegar entre los flujos de inteligencia de amenazas para que los SIEM funcionen de forma efectiva.

¿Por qué necesitaba SIEM un asistente?

A primera vista, puede parecer que cuantas más fuentes de datos sobre ciberamenazas externas conectes a tu sistema SIEM, mejor, ya que este funcionará con una mayor eficacia, pero realmente no es así.

En primer lugar, cuantos más indicadores gestione un sistema, más alertas generará. Incluso aunque asumamos una mínima cantidad de falsos positivos (ya que nadie es inmune a ellos), un analista no podrá sortear rápidamente las millones de notificaciones duplicadas y dar prioridad a las importantes.

En segundo lugar, los sistemas SIEM existentes simplemente no están diseñados para gestionar una cantidad infinita de indicadores. Cuando conectas varias fuentes, la carga de trabajo en el sistema aumenta significativamente, lo que puede tener un impacto negativo en la tasa de detección de incidentes. Lo mismo puede suceder si intentas implementar un entorno de actualizaciones frecuentes de fuentes de TI. No es que esto sea totalmente imposible, pero el rendimiento y la tasa de detección pueden verse afectados.

Además, un sistema SIEM no es adecuado para realizar directamente un trabajo más detallado con fuentes de inteligencia de amenazas. Por ejemplo, este no puede comparar la tasa de detección y la calidad de fuentes de diferentes proveedores o gestionar diferentes tipos de máscaras de fuentes con indicadores de compromiso representados como URL, hosts o dominios. Si un analista necesita un contexto más profundo para cualquier indicador, se necesita una herramienta adicional (y realmente no importa que el contexto necesario pueda existir en las fuentes de datos, es posible que SIEM simplemente no sepa cómo acceder a él).

Por último, ten en cuenta el factor económico. La mayoría de los SIEM ofrecen licencias basadas en la carga: cuantos más indicadores procese, mayor será el precio.

Cómo puede ayudar una plataforma de inteligencia de amenazas

En general, una plataforma de inteligencia de amenazas puede resolver todos los inconvenientes de los sistemas SIEM nombrados anteriormente.

Para empezar, se trata de una herramienta indispensable que te permite navegar a través de una multitud de fuentes de diferentes proveedores. Te permite conectar varias fuentes de datos (que no tienen que estar necesariamente en el mismo formato) y compararlas en función de diferentes parámetros. Por ejemplo, te permite detectar indicadores cruzados en diferentes fuentes, lo que debería ayudar a identificar flujos de datos duplicados y descartar algunos de ellos. También te permite comparar fuentes de datos basándose en los índices de detección estadísticos.

Teniendo en cuenta el hecho de que algunos proveedores ofrecen un período de prueba para usar sus fuentes de datos, esta podría ser una buena forma de evaluar su efectividad antes de efectuar una compra.

Una plataforma de inteligencia de amenazas también proporciona al analista de SOC muchos recursos adicionales que simplemente no se pueden implementar en SIEM. Por ejemplo, se encuentra disponible una función de retroescaneo, que permite volver a verificar registros y datos históricos guardados previamente con referencia a nuevas fuentes.

Otra característica disponible es el enriquecimiento de indicadores mediante varias fuentes de terceros (como VirusTotal). Y finalmente, una plataforma de inteligencia de amenazas decente, a partir de una alerta específica, permite encontrar y descargar un informe APT que detalle las tácticas, técnicas y procedimientos de los atacantes asociados, además de proporcionar consejos prácticos sobre cómo aplicar medidas frente a estos ataques.

Una plataforma de inteligencia de amenazas te permite filtrar y descargar indicadores, clasificar incidentes, mostrar todo lo anterior en una interfaz gráfica útil para el analista y mucho más. Esto depende de las funciones de cada plataforma en específico.

Cómo encaja una plataforma de inteligencia de amenazas en el trabajo de un analista y en SIEM

En general, una plataforma de inteligencia de amenazas instalada en la red interna de una empresa realiza el proceso de análisis y correlación de los datos entrantes, lo que reduce significativamente la carga en el sistema SIEM. Esta te permite generar tus propias alertas cuando se detectan amenazas y, además, se integra con tus procesos de monitorización y respuesta existentes a través de una API.

Básicamente, una plataforma de inteligencia de amenazas genera su propia fuente de datos con detecciones personalizadas según las necesidades de tu empresa. Esto es especialmente útil si tienes en tu infraestructura varios sistemas SIEM ejecutándose en paralelo. Sin una plataforma de inteligencia de amenazas, tendrías que cargar fuentes de datos sin procesar en cada uno de ellos.

Un ejemplo práctico

Echemos un vistazo a un incidente bastante simple para ver cómo una plataforma de inteligencia de amenazas ayuda a los analistas. Imagina que un usuario corporativo accedió a un sitio web desde su ordenador de trabajo. En la fuente de inteligencia de amenazas, la URL de ese sitio está catalogada como maliciosa, por lo que la plataforma identifica el incidente, lo enriquece con el contexto de las fuentes y envía esa detección al sistema SIEM para su registro. A continuación, este incidente llama la atención del analista de SOC. El analista ve la detección de la fuente de URL maliciosa y decide examinarla en profundidad utilizando una plataforma de inteligencia de amenazas.

Directamente desde la lista de detecciones, puede abrir la información contextual disponible desde el flujo de TI: dirección IP, hashes de archivos maliciosos asociados con esta dirección, dictámenes de las soluciones de seguridad, datos del servicio de WHOIS, etc. Para una mayor precisión, abre una interfaz gráfica, la forma más adecuada de analizar la cadena de ataque.

 

Hasta aquí, no hay mucha información: se ve la detección en sí, la URL maliciosa detectada y la dirección IP interna del dispositivo que se usó para acceder a esa URL. Al hacer clic en el icono de la URL maliciosa, se solicitan los indicadores conocidos relacionados con esa dirección: direcciones IP, URL adicionales y hashes de archivos maliciosos que se hayan descargado en algún momento de ese sitio.

El siguiente paso es comprobar si se han registrado otras detecciones en la infraestructura corporativa utilizando los mismos indicadores. El analista hace clic en cualquier opción (por ejemplo, una dirección IP maliciosa) y muestra en el gráfico detecciones adicionales. En otras palabras, se puede averiguar con un clic qué usuario fue a qué dirección IP (o en qué dispositivo una solicitud de URL del servidor DNS devolvió la dirección IP). De igual forma, se comprueba qué usuarios han descargado el archivo cuyo hash se muestra en los indicadores asociados.

Puede haber miles de detecciones en un solo incidente y sería bastante difícil clasificarlas a mano sin la sencilla interfaz gráfica de la plataforma de TI. Todo el contexto disponible de las fuentes de datos de las ciberamenazas se extrae a cada punto del gráfico. El analista puede agrupar u ocultar opciones y aplicar la agrupación automática de nodos. Si el analista tiene alguna fuente de información adicional, puede agregar manualmente un indicador y marcar sus correlaciones de forma independiente.

Por lo tanto, el experto puede reconstruir una cadena de ataque completa y comprender cómo comenzó todo. Por ejemplo, si un usuario escribió la URL de un sitio malicioso, el servidor DNS devolvió la dirección IP y este usuario descargó un archivo con un hash conocido del sitio.

Conclusión

Una plataforma de inteligencia de amenazas de alta calidad sirve como una especie de enlace intermedio, lo que permite reducir significativamente la carga en el sistema SIEM, por una parte, sin comprometer la calidad de la detección y, por otra, facilitando la vida del analista.

Consejos