Cómo reducir la carga SIEM y hacer un uso correcto de las fuentes informativas sobre amenazas

Cómo ayuda una plataforma de inteligencia de amenazas a los analistas de SOC.

Inicialmente, los sistemas SIEM fueron creados como una herramienta para recopilar información sobre los incidentes de seguridad dentro de una infraestructura y su posterior análisis mediante datos externos sobre las ciberamenazas conocidas. Y esto funcionó durante bastante tiempo. No obstante, a medida que evolucionan tanto las amenazas como la industria de la seguridad de la información, aparecen cada vez más fuentes de información sobre dichas amenazas en el mercado. Y, además, sus estructuras cambian significativamente. Para muchos expertos es clara la necesidad de una nueva herramienta que permita navegar entre los flujos de inteligencia de amenazas para que los SIEM funcionen efectivamente.

¿Por qué necesitaba SIEM un asistente?

A primera vista, puede parecer que cuantas más fuentes de datos sobre ciberamenazas externas conectes a tu sistema SIEM, mejor, ya que funcionará más eficazmente, pero en realidad no es así.

En primer lugar, cuantos más indicadores gestione un sistema, más alertas generará. Incluso aunque asumamos una cantidad mínima de falsos positivos (porque nadie es inmune a ellos), un analista no podrá esquivar rápidamente las millones de notificaciones duplicadas para dar prioridad a las importantes.

En segundo, los sistemas SIEM que existen simplemente no están diseñados para gestionar una cantidad infinita de indicadores. Cuando conectas varias fuentes, la carga de trabajo en el sistema aumenta significativamente, lo que puede impactar negativamente en la tasa de detección de incidentes. Lo mismo puede pasar si intentas implementar un entorno de actualizaciones frecuentes de fuentes de TI. No es que esto sea completamente imposible, pero el rendimiento y la tasa de detección pueden resultar afectados.

Además, un sistema SIEM no es adecuado para realizar un trabajo más detallado con fuentes de inteligencia de amenazas de forma directa. Por ejemplo, este no puede comparar la tasa de detección y la calidad de fuentes de diferentes proveedores o gestionar diferentes tipos de máscaras de fuentes con indicadores de compromiso representados como URL, hosts o dominios. Si un analista necesita un contexto más profundo para cualquier indicador, necesitará de una herramienta adicional (y realmente no importa que el contexto necesario pueda existir en las fuentes de datos, es probable que el SIEM simplemente no sepa cómo acceder a él).

Finalmente, hay que tomar en cuenta el factor económico. La mayoría de los SIEM ofrecen licencias basadas en la carga: mientras más indicadores procese, mayor será el precio.

Cómo puede ayudar una plataforma de inteligencia de amenazas

En general, una plataforma de inteligencia de amenazas puede resolver todos los inconvenientes de los sistemas SIEM que nombramos antes. Para empezar, se trata de una herramienta indispensable que te permite navegar a través de una multitud de fuentes de distintos proveedores. Te permite conectar varias fuentes de datos (que no necesariamente tienen que estar en el mismo formato) y compararlas según distintos parámetros. Por ejemplo, te permite detectar indicadores cruzados en varias fuentes, lo que debería ayudar a identificar flujos de datos duplicados y descartar algunos de ellos. También te permite comparar fuentes de datos con base en los índices de detección estadísticos. Si tomamos en cuenta que algunos proveedores ofrecen un período de prueba para usar sus fuentes de datos, esta podría ser una buena forma de evaluar su eficacia antes de realizar la compra.

Una plataforma de inteligencia de amenazas también proporciona al analista de SOC muchos otros recursos que simplemente no pueden ser implementados en SIEM. Por ejemplo, se encuentra disponible una función de retroescaneo, que permite volver a verificar registros y datos históricos guardados previamente con referencia a nuevas fuentes. Otra característica disponible es el enriquecimiento de indicadores mediante varias fuentes de terceros (como VirusTotal). Y finalmente, una plataforma de inteligencia de amenazas decente, a partir de una alerta específica, permite encontrar y descargar un informe APT que explica a detalle las tácticas, técnicas y procedimientos de los atacantes asociados, además de que proporciona consejos prácticos sobre cómo aplicar medidas frente a estos ataques.

Una plataforma de inteligencia de amenazas te permite filtrar y descargar indicadores, clasificar incidentes, mostrar todo lo anterior en una interfaz gráfica útil para el analista y mucho más. Esto depende de las funciones en específico de cada plataforma.

Cómo encaja una plataforma de inteligencia de amenazas en el trabajo de un analista y en SIEM

Generalmente, una plataforma de inteligencia de amenazas instalada en la red interna de una empresa realiza el proceso de análisis y correlación de los datos entrantes, lo que reduce de forma significativa la carga en el sistema SIEM. Esta te permite generar tus propias alertas cuando se detectan amenazas y, además, se integra con tus procesos de monitorización y respuesta existentes a través de una API.

Básicamente, este tipo de plataformas genera su propia fuente de datos con detecciones personalizadas de acuerdo con las necesidades de la empresa. Esto es especialmente útil si en tu infraestructura cuentas con varios sistemas SIEM ejecutándose paralelamente. Sin una plataforma de inteligencia de amenazas, tendrías que cargar fuentes de datos sin procesar en cada uno de ellos.

Un ejemplo práctico

Veamos un incidente bastante simple para analizar cómo es que una plataforma de inteligencia de amenazas es de ayuda para los analistas. Imagina que un usuario corporativo accedió a un sitio web desde la computadora del trabajo. En la fuente de inteligencia de amenazas, la URL de ese sitio está catalogada como maliciosa, por lo que la plataforma identifica el incidente, lo enriquece con el contexto de las fuentes y envía esa detección al sistema SIEM para su registro. A continuación, este incidente llama la atención del analista de SOC. El analista ve la detección de la fuente de URL maliciosa y decide examinarla a profundidad utilizando una plataforma de inteligencia de amenazas.

Directamente desde la lista de detecciones, puede abrir la información contextual disponible desde el flujo de TI: dirección IP, hashes de archivos maliciosos asociados con esta dirección, dictámenes de las soluciones de seguridad, datos del servicio de WHOIS, etc. Para una mayor precisión, abre una interfaz gráfica, la forma más adecuada de analizar la cadena de ataque.

No hay mucha información hasta este momento: se ve la detección en sí, la URL maliciosa detectada y la dirección IP interna del dispositivo que se usó para acceder a esa URL. Al dar clic en el icono de la URL maliciosa, se solicitan los indicadores conocidos relacionados con esa dirección: direcciones IP, URL adicionales y hashes de archivos maliciosos que se hayan descargado en algún momento de ese sitio.

El siguiente paso es comprobar si se han registrado otras detecciones en la infraestructura corporativa utilizando los mismos indicadores. El analista cliquea en cualquier opción (por ejemplo, una dirección IP maliciosa) y muestra en el gráfico detecciones adicionales. En otras palabras, puede indagar con un simple clic qué usuario fue a qué dirección IP (o en qué dispositivo una solicitud de URL del servidor DNS devolvió la dirección IP). De igual forma, se comprueba qué usuarios han descargado el archivo cuyo hash se muestra en los indicadores asociados.

Puede haber miles de detecciones en un solo incidente y sería muy complicado clasificarlas a mano sin la sencilla interfaz gráfica de la plataforma de TI. Todo el contexto disponible de las fuentes de datos de las ciberamenazas se extrae a cada punto del gráfico. El analista puede agrupar u ocultar opciones y aplicar la agrupación automática de nodos. Si el analista posee una fuente adicional de información, puede agregar un indicador de manera manual y marcar sus correlaciones de manera independiente.

Por tanto, el experto puede reconstruir una cadena de ataque completa y comprender cómo fue que comenzó. Por ejemplo, si un usuario escribió la URL de un sitio malicioso, el servidor DNS devolvió la dirección IP y este usuario descargó un archivo con un hash conocido del sitio.

Conclusión

Una plataforma de inteligencia de amenazas de alta calidad sirve como una especie de enlace intermedio, la cual permite disminuir de manera significativa la carga en el sistema SIEM, por una parte, sin comprometer la calidad de la detección y, por otra, facilitando la vida del analista.

Consejos