Si administra un sistema SIEM (gestión de eventos e información de seguridad), sabrá lo importante que es la detección central de amenazas.
SIEM recopila y analiza datos de múltiples fuentes, como firewalls, aplicaciones y servidores, en busca de patrones que puedan representar amenazas a la seguridad.
Pero el problema es que confiar únicamente en reglas prediseñadas es como un enfoque de seguridad único para todos. Capte algunas amenazas obvias, pero no las suficientes para cubrirlas por completo.
Este artículo explica por qué fallan las reglas SIEM predeterminadas y qué diferencia puede hacer su personalización. También verá por qué alinear su SIEM con el marco MITRE ATT&CK es clave para detectar amenazas de múltiples etapas del mundo real.
Reglas de correlación SIEM
Básicamente, un sistema SIEM está diseñado para recopilar, analizar y alertar. Funciona utilizando reglas de asociación que actúan como desencadenantes cuando se encuentran ciertos patrones en sus datos.
Por ejemplo, cuando se produce un intento de inicio de sesión inusual, se activa una alerta basada en reglas prediseñadas. Esto permite a los equipos de seguridad centrarse en información procesable en lugar de buscar en grandes cantidades de datos sin procesar.
Sin embargo, la realidad es que la mayoría de los SIEM tradicionales se centran demasiado en generar alertas a partir de eventos individuales.
Estos no son suficientes para conectar los puntos entre alertas aparentemente no relacionadas y mostrar el alcance completo de la amenaza a la seguridad.
Si su SIEM no está configurado correctamente, su equipo se verá abrumado con alertas y fallará ataques ocultos en el ruido.
Reglas SIEM predeterminadas
La mayoría de las soluciones SIEM vienen con reglas predeterminadas para comenzar, pero estas son solo un punto de partida. Si confía únicamente en estas reglas listas para usar, puede encontrarse con problemas como:
Reglas duplicadas y lagunas en la cobertura
Las reglas de correlación prediseñadas suelen tener funciones superpuestas. No es ineficiente porque varias reglas pueden activar el mismo tipo de alerta. Peor aún, es posible que estas reglas no cubran todas las tácticas y técnicas utilizadas por atacantes sofisticados. ¿resultado? Brechas en la detección de amenazas.
cantidad sobre calidad
Podrías pensar que cuantas más reglas tengas, mejor, pero no siempre es así. Algunos proveedores proporcionan miles de reglas, muchas de las cuales son irrelevantes o no están bien adaptadas a su entorno. Las reglas que priorizan la cantidad sobre la calidad pueden generar una cantidad abrumadora de alertas, muchas de las cuales son falsos positivos.
Falsos positivos por todas partes
Habilitar demasiadas reglas genéricas dará como resultado una gran cantidad de falsos positivos. Tener que investigar cada alerta consume tiempo y recursos valiosos. Con el tiempo, lidiar con falsos positivos puede agotar a los equipos de seguridad y hacer que amenazas reales pasen desapercibidas.
Incorporación lenta y dolorosa
Configurar un sistema SIEM lleva tiempo y ajustarlo a su entorno lleva aún más tiempo. Ya sea que se haga internamente o con un proveedor de servicios de seguridad administrado (MSSP), la incorporación y configuración de todas estas reglas puede llevar días o semanas, lo que podría retrasar la respuesta a las amenazas.
Actualizaciones de reglas inconsistentes
Una vez que su SIEM esté en funcionamiento, deberá mantener sus reglas actualizadas. Sin embargo, para los MSSP que administran varios clientes, la actualización de reglas en un entorno no se aplica automáticamente a otros entornos. Esta falta de coherencia significa ineficiencias y brechas de seguridad entre diferentes entornos.
Cómo los SOC y los MSP/MSSP pueden resolver estos desafíos
¿Por qué es importante la integración con el marco MITRE ATT&CK?
Para mejorar la detección de amenazas en su sistema SIEM, necesita integrar su sistema SIEM con el marco MITRE ATT&CK. Este marco analiza las técnicas y tácticas utilizadas por los atacantes, brindándole una imagen completa de cómo operan. La mayoría de las configuraciones SIEM predeterminadas solo cubren alrededor del 20% del marco MITRE ATT&CK. Esto significa que se pasan por alto etapas de ataque importantes, como la escalada de privilegios y el movimiento lateral.
Al alinear sus reglas SIEM con MITRE ATT&CK, puede lograr una cobertura del 90%. Esto significa que puede detectar ataques más sofisticados y reducir el ruido causado por los falsos positivos. Su equipo puede centrarse en las amenazas importantes, en lugar de verse abrumado por falsos positivos.
Personalización SIEM: Beneficios
Entonces, ¿qué obtienes cuando personalizas tu SIEM más allá de las reglas predeterminadas?
Mejor detección de amenazas
Personalizar sus reglas SIEM le permite detectar ataques de varias etapas en lugar de simplemente reaccionar ante eventos individuales. Esto significa que no se perderá el panorama general y podrá responder a las amenazas de manera más efectiva.
Reducción de falsos positivos
Las reglas personalizadas le permiten filtrar el ruido y solo le notifican lo que es importante. Con menos falsos positivos, los equipos pueden dedicar menos tiempo a persecuciones inútiles y más tiempo a amenazas reales.
Respuesta más rápida a incidentes
Personalizar su SIEM no solo mejora el descubrimiento sino que también reduce el tiempo de respuesta. Cuando se ajusta, el sistema puede reducir el tiempo de respuesta a alertas críticas hasta en un 42%. Eso marca una gran diferencia a la hora de minimizar el daño de los ataques.
Incorporación más rápida
Si tiene varios clientes o entornos, un SIEM bien ajustado puede reducir el tiempo de incorporación de semanas a días. Para que pueda ponerse en marcha rápidamente, de modo que las amenazas se detecten y traten rápidamente.
Resolver desafíos SIEM: ejemplos del mundo real
¿Quiere ver cuánta diferencia pueden marcar las reglas SIEM personalizadas? Veamos un ejemplo del mundo real.
Un proveedor de servicios de seguridad gestionados (MSSP) utilizó una solución SIEM lista para usar. Como la mayoría de las organizaciones, utilizamos las 500 reglas de correlación prediseñadas que vienen con el sistema.
Estas reglas fueron un buen punto de partida, pero a medida que MSSP creció y aceptó más clientes, se dieron cuenta de que tenía algunas limitaciones importantes. El sistema detectaba algunas amenazas, pero no todas.
Su equipo de seguridad descubrió que muchos incidentes importantes pasaron desapercibidos o quedaron sepultados bajo el ruido.
Para solucionar este problema, MSSP decidió optimizar el rendimiento de su sistema SIEM. Comenzaron evaluando la efectividad de 500 reglas integradas y luego las personalizaron y mejoraron para el entorno del cliente.
Esto es más que una simple actualización cosmética; hemos integrado nuestras reglas personalizadas con el marco MITRE ATT&CK para proporcionar un enfoque más sólido y completo para la detección de amenazas.
Como parte de esta optimización, se agregaron 275 nuevas reglas. Cada regla está diseñada para detectar amenazas que faltan en las reglas predeterminadas. Estas nuevas reglas fueron diseñadas para mejorar la detección de amenazas y reducir la cantidad de falsos positivos que abrumaban a los analistas de seguridad.
Los resultados fueron dramáticos.
Esto es lo que obtuvieron:
La cobertura de MITRE ATT&CK aumentó del 20 % al 90 %. Al utilizar reglas personalizadas, ahora puede detectar una gama más completa de ataques avanzados que antes eran indetectables. Nuestra integración con MITRE ATT&CK nos permite rastrear a los atacantes a través de múltiples etapas de un ataque, no solo eventos individuales. El tiempo de respuesta a alertas críticas disminuyó un 42 % y el tiempo de respuesta a alertas de alta gravedad disminuyó un 29 %. Con reglas personalizadas, los equipos de seguridad ya no tienen que atravesar montañas de ruido. Menos falsos positivos significa que puede responder más rápido a amenazas reales y minimizar el daño causado por los ataques. Pudimos responder a las alertas de emergencia (las alertas más urgentes y críticas) casi el doble de rápido, lo que fue una gran ventaja para la seguridad general de nuestro cliente. El tiempo de incorporación de nuevos clientes se ha reducido de 7 a 10 días a 1 a 2 días. Antes de implementar reglas personalizadas, la incorporación de nuevos clientes requería que los sistemas SIEM cumplieran con los requisitos únicos de cada entorno. Requería una configuración y coordinación extensas, lo que podía llevar mucho tiempo. a 10 días. Después de optimizar el sistema, la incorporación se volvió más fluida y rápida. Al aplicar reglas prepersonalizadas adaptadas a diferentes entornos, pudimos incorporar nuevos clientes en 1 o 2 días y proteger e generar valor más rápido.
Estos cambios han mejorado la seguridad del sistema SIEM, pero el proceso general ha simplificado el trabajo para los clientes existentes, ha reducido la carga de trabajo de los analistas de seguridad y ha hecho que el sistema general sea más eficiente y escalable. También creó un efecto dominó.
Por ejemplo, un menor número de falsos positivos permite a los analistas centrarse en amenazas reales, no sólo en los tiempos de respuesta sino en la calidad general de los servicios de seguridad. Al reducir el ruido y perfeccionar el sistema para que coincida con el panorama de amenazas real que enfrentan los clientes, los MSSP pudieron proteger mejor a sus organizaciones contra ataques avanzados de múltiples etapas.
No se trata sólo de una cuestión de tiempo de detección y respuesta. Esta es también la base para una gestión proactiva de amenazas más automatizada, lo que permite a SIEM predecir patrones de ataque basados en el comportamiento conocido en el marco MITRE ATT&CK.
Este nivel de personalización ha hecho que SIEM ya no sea solo una herramienta reactiva, sino un mecanismo de defensa proactivo que puede manejar amenazas actuales y futuras en tiempo real.
Al tomarse el tiempo para personalizar el SIEM y alinearlo con los marcos de amenazas establecidos, el MSSP mejoró el rendimiento de la seguridad y la prestación general de servicios, y los clientes se sintieron más seguros.
Servicios gestionados por Under Defense
Under Defense proporciona servicios administrados que se ajustan a su presupuesto y le brindan confianza en la postura de seguridad de su organización. Así es como nuestros servicios pueden ayudarle a superar desafíos comunes:
Soporte instantáneo y personalizado: obtenga acceso las 24 horas del día, los 7 días de la semana a analistas dedicados que conocen su negocio y responden rápidamente. Detección integral de ataques: vaya más allá del monitoreo 24 horas al día, 7 días a la semana para detectar amenazas de manera proactiva y brindar contexto y asesoramiento sobre remediación. Optimización de herramientas: ajuste sus herramientas de seguridad para reducir el ruido de las alertas en un 82 % e intégrelas con todas sus herramientas existentes en una sola pantalla. Propiedad del cliente: al final del contrato, usted es propietario de todas las herramientas y procesos alineados, lo que le brinda control y valor. Transparencia operativa: visibilidad total de los cronogramas de alerta, el contexto de las amenazas y los informes periódicos.
En pocas palabras: no se conforme con los incumplimientos
Al fin y al cabo, un sistema SIEM es tan bueno como las reglas que lo rigen. Depender únicamente de reglas de correlación listas para usar deja lagunas en la seguridad que pueden explotarse fácilmente.
Al personalizar su SIEM, alinearlo con marcos como MITRE ATT&CK y mantener sus reglas actualizadas, puede tener un gran impacto en la detección de amenazas.
Cómo elegir la solución SIEM administrada definitiva para su equipo de seguridad -> Descargue la guía gratuita (PDF)
