36 CIBERSEGURIDAD SIEM combina la gestión de información de seguridad y la gestión de eventos de seguridad en un solo sistema centralizado. detecta una amenaza, SIEM puede alertar a los equipos de seguridad y tomar medidas automatizadas, como bloquear el acceso a la red o aislar un dispositivo infectado. Las capacidades de SIEM pasan por la recopilación y gestión de registros de una amplia gama de fuentes, incluyendo firewalls, servidores, endpoints, aplicaciones y dispositivos IoT, el análisis y correlación de eventos, analizando los datos en tiempo real, la detección de amenazas y respuesta a incidentes, detectando intentos de intrusión, malware, phishing y otras amenazas con gran precisión y, por último, la investigación forense y cumplimiento normativo, es decir, la investigación de incidentes de seguridad que ayudan a cumplir las regulaciones de seguridad generando informes auditables y evidenciando las actividades de seguridad realizadas. En definitiva, utilizar SIEM mejora la visibilidad de la seguridad proporcionando una visión completa de la actividad en toda la red, reduciendo el tiempo de respuesta a incidentes y mejorando el cumplimiento normativo para evitar multas y sanciones, mejorando la protección de los datos sensibles de las filtraciones y el robo de información, mientras se reducen los costes de seguridad. A pesar de sus beneficios, los sistemas SIEM de primera generación presentan algunas limitaciones que pueden condicionar su efectividad en el día a día de las empresas. Por ejemplo, sus paneles e informes son básicos y sus alertas carecen de sofisticación. Los primeros SIEM también adolecían de una escalabilidad adecuada, ya que cada etapa del proceso —ingerir datos, definir políticas, reglas y umbrales, revisar alertas y analizar anomalías— requería intervención manual. Alrededor de 2015, la integración del aprendizaje automático y la inteligencia artificial (IA) las hizo aún más eficientes a la hora de orquestar datos de seguridad y gestionar amenazas en rápida evolución. La precisión y utilidad de las alertas SIEM mejoraron aún más después de que SIEM comenzara a ingerir datos de registro de infraestructuras implementadas en la nube, aplicaciones SaaS y otras fuentes de datos no estándar, entre ellas fuentes de inteligencia de amenazas de terceros que contenían indicadores de compromiso obtenidos de múltiples fuentes. Aun así, el enfoque de la tecnología SIEM siempre es reactivo, respondiendo a amenazas conocidas, pero no a las nuevas que surgen diariamente. Además los sistemas modernos generan hoy en día más datos de los que SIEM puede manejar, y el personal que los ejecuta tiene que ser altamente especializado lo que hace muy compleja su operatividad. Esto, sumado a que la tecnología SIEM no incluye los datos sin contexto, hace necesaria la introducción e implantación de otras tecnologías en las unidades SOC (Centro de Operaciones de Seguridad): las nuevas tecnologías IOC y IOA. IOA, INDICADORES DE ATAQUE Los IOC o Indicadores de Compromiso ayudan a determinar quién es el responsable del ciberincidente de forma estática. Sin embargo, existe otro tipo de inteligencia basada en el comportamiento de los actores maliciosos
RkJQdWJsaXNoZXIy Njg1MjYx