Muchas empresas utilizan diferentes herramientas para proteger sus activos. Por ejemplo, los Escaneres de vulnerabilidades y son muy populares en la actualidad. Sin embargo, muchas veces algunas empresas manejan demasiadas aplicaciones o activos; hasta el punto en que es difícil llevar un orden a toda la data que se procesa. ¿Cómo podemos llevar un sistema que organice tanta información? En este caso, la correlación de eventos no solo es de gran importancia: es necesaria.
¿Qué es la Correlación de Eventos?
En términos simples: la correlación de eventos nos permite descubrir y aplicar asociaciones lógicas entre eventos. Estos eventos puede pertenecer a cualquier tipo de registro o recolección, incluso individuales o dispares.
La correlación de eventos permite no solo el organizar estos registros. A partir de ella, podemos tomar mejores decisiones con base en los datos recopilados. Esto se debe a que tenemos una visión más clara y amplia de los eventos ocurridos alrededor de nuestros activos. No solo eso: Podemos identificar mejor las amenazas detectadas y responder eficientemente ante ellas. Una de las ventajas más favorables de la correlación de eventos es la validación de la efectividad de nuestros controles de seguridad.
Con la data recopilada podemos entender donde están los fallos; cómo reaccionan nuestros protocolos y qué hace falta para corregir ese error particular. Además, podemos medir el cumplimiento de PCI, HIPAA, SOX y otros estándares de importancia para la empresa.
El análisis a los Usuarios
Como herramienta de solución de problemas, la correlación de eventos es importante para evaluar también a los usuarios. La recolección de registros contienen la data esencial de la red y la inteligencia del dispositivo. Podemos saber qué están haciendo los usuarios; a qué datos están accediendo; cuáles son los puntos débiles en nuestro sistema en relación con actividades de la red; qué señales podrían indicar una amenaza a la seguridad o un ataque en curso, etc.
Complejidad y manejo de la Correlación de Eventos
El 84% de las organizaciones que tuvieron una violación de seguridad tenían evidencia previa en sus archivos de registro. Si estaban siendo monitoreados, ¿por qué no se evitaron? Sencillo: los archivos de registro no gritan «ataque en progreso». Hay que saber leerlos, y es allí donde comienza el nivel crítico de estas prácticas.
Primero, los registros en la correlación de eventos varían mucho entre sistemas y datos. Incluso, puede haber cambios de una versión a otra dentro del mismo sistema de recolección. En segundo lugar, tenemos el tema del lenguaje; algunos registros están escritos en lenguaje sencillo y entendible, y otros están cifrados o son muy críticos dependiendo de su importancia. También hay que tomar en cuenta que cada sistema evalúa con base en su propio filtro. Por ejemplo: un sistema IDS de red ve paquetes y secuencias; mientras que un registro de aplicación ve sesiones, usuarios y solicitudes. Aunque sean sistemas que registran actividades similares, la forma en que articulan estas actividades es diferente.
Manejo de los tiempos
Otro detalle a evaluar es que estos registros se basa en puntos fijos estáticos en el tiempo. Por ello, nos otorgan el contexto completo de secuencia de eventos relacionados. Por lo tanto, el análisis lógico a través de reglas de correlación de eventos es necesario para poner en ese contexto completo. La correlación de eventos proporciona la respuesta a estos desafíos y allí radica su importancia. Es gracias a esto que los analistas de seguridad pueden tomar decisiones acertadas sobre qué hacer para investigar y responder fallas.
Lo que realmente convierte la recolección de los datos de registro sin procesar en alarmas, es el uso de reglas de correlación de eventos. Estas reglas dictan al usuario qué pensar acerca de eventos de registro sin procesar, conectado los puntos en datos relacionados. La lógica en las reglas de correlación de eventos traduce fragmentos de registro sin formato en alarmas; de este modo, puede llevarse a cabo la acción adecuada.
Hablemos con ejemplos de Correlación de Eventos
Un ejemplo de correlación de eventos puede ocurrir con la detección de intrusos. Digamos que hay una cuenta de empleado a la que no se haya accedido durante años. De pronto, aparece una gran cantidad de intentos de inicio de sesión. Esa cuenta podría comenzar a ejecutar comandos sospechosos en cuestión de tiempo. Utilizando la correlación de eventos, un sistema de detección de intrusos puede indicarnos en sus datos que hay un ataque en curso.
Ahora: digamos que tras muchos intentos de inicio de sesión, uno fue exitoso. En la correlación, la importancia de este evento se ve marcado como «curioso». Entonces notamos que 15 minutos antes, un puerto del sistema había sido escaneado. Ahora notamos que la dirección IP del escaneo de puertos y los intentos de inicio de sesión son los mismos. Aquí entra la correlación de eventos y nos disparan las alarmas marcando el evento como una preocupación elevada.
Si intentamos encontrar estos eventos solo con una recolección manual, tendríamos que confiar más en la suerte que en habilidad. Como seres humanos, tendríamos que agregar el contexto del evento a los datos. Además, tendríamos que evaluar cómo encajan las piezas para detectar dichas correlaciones.
Gestión de incidentes
Veamos otro ejemplo, esta vez en el contexto de la gestión de incidentes. Digamos que se emiten muchas alarmas de importancia indicando que servidores y los servicios relacionados con ellos no son accesibles. Las herramientas de correlación de eventos pueden analizar los datos para determinar la causa del fallo; esto permite que el departamento de TI se centre en implementar una solución. De esta manera, se ahorra la pérdida de un tiempo valioso tratando de determinar la causa.
En entornos de red complejos se pueden generar miles o millones de eventos en cada recolección. Estos eventos pueden ser críticos o informativos, pero un buen analista puede identificar la causa raíz de las fallas. La tecnología de correlación de eventos fue diseñada para automatizar y registrar las interrelaciones entre eventos en curso, de una manera más rentable.
AlienVault es una plataforma unificada diseñada para proporcionar y garantizar una defensa completa. Su programa de Correlación de Eventos es de los mejores del mercado, efectivo contra las amenazas de seguridad más recientes. Sus sistemas están enfocados especialmente a Pequeñas y Medianas Empresas (PYME).
Si estás interesado en recibir más información sobre esta herramienta, no dudes en contactarnos. En GB Advisors ofrecemos las mejores del mercado y ponemos a tu disposición un equipo de profesionales dispuestos a asesorarte y acompañarte en tu camino hacia un entorno de TI más eficiente.
