La teoría y realidad del ROI del SIEM

Se escriben muchas cosas sobre SIEM, sin embargo, mi experiencia personal con estas maravillosas herramientas comenzó en 2007. Hoy en día la tecnología en sí tiene más de 18 años y SIEM es por todos los medios un mercado maduro. Junto con clientes, equipo y socios tuve el privilegio de participar activamente en más de un centenar de proyectos SIEM en todo el mundo. Juntos hemos construido SOC desde cero, implementado fuentes críticas de registros SOX para cumplir con plazos de auditoría ajustados, resucitado una instalación SIEM abandonada en medio día para encontrar pistas forenses y realizar ajustes finos de reglas de correlación anti-fraude… y simplemente tuvimos una cantidad adecuada de cerveza junto con compañías de todas las industrias y partes del mundo mientras discutíamos historias de victorias y derrotas en los proyectos SIEM. Se sabe que más de 40 mil organizaciones en todo el mundo tienen sistemas SIEM, así que esta es una comunidad bastante grande y, por supuesto, un mercado. Lo que es seguro es que la historia está lejos de terminar ya que el propio concepto de SIEM continúa su evolución. La mayoría de las organizaciones que no son indiferentes a la ciberseguridad ya tienen un SIEM de alguna forma. Los límites entre las tecnologías SIEM están difuminados: hay primeras, segundas y terceras generaciones de la plataforma, aunque afirmar que IBM QRadar o Micro Focus ArcSight son tecnologías de primera generación y LogRhythm es de la segunda no es del todo correcto, ya que las tecnologías están evolucionando constantemente. Además, las afirmaciones de que Splunk y Elastic no son un SIEM son incorrectas, ya que tienen muchas propiedades y funcionalidades de SIEM.

Entonces, ¿cómo se juntan SIEM y ROI? Si miramos el ROI a través de los ojos de cualquier negocio, significaría ya sea un beneficio adicional o una reducción de costos. Se pueden dar muchos ejemplos sobre el retorno de la inversión en seguridad de la información como para escribir un artículo separado, así que por ahora centrémonos en el SIEM. Es difícil creer que alguien invierte en estos sistemas para ganar dinero, por lo que nos quedamos con el factor de reducción de costos. Intentemos entenderlo.

¿Cómo aparece el SIEM en nuestras vidas?
5 impulsores básicos de ROI

1. Cumplimiento
2. Repositorio central de registros
3. Forense
4. Centro de Operaciones de Seguridad (SOC)
5. Herencia

SIEM para Cumplimiento con PCI, SOX y HIPAA

Muy a menudo, los SIEM son comprados por instituciones financieras y bancos, ya que diferentes regulaciones de cumplimiento requieren la recopilación y procesamiento de datos de registros. PCI DSS requiere recopilar centralmente los datos de registros, almacenarlos y retenerlos en forma no modificada, proporcionar un rastro de auditoría de su integridad (un requisito muy importante que no todos los SIEM pueden cumplir incluso hasta el día de hoy) y, por supuesto, monitorear eventos a diario. Si necesitamos cumplir con SOX, es necesario rastrear y manejar incidentes de todos los sistemas críticos de SOX y, dependiendo de esto, los auditores confían o no en los datos comerciales en los sistemas procesados. Si los incidentes no son manejados, la auditoría se vuelve mucho más costosa. Otro ejemplo es el cumplimiento de HIPAA con el requisito de mantener un rastro de auditoría en el acceso a los datos de los pacientes durante hasta 5 años. Esto afecta principalmente la arquitectura del procesamiento de datos SIEM: la flexibilidad de las capacidades de integración de sistemas de terceros, la eficiencia y estabilidad de la agregación, los algoritmos de compresión de datos, así como el control de integridad.

Entonces, ¿qué tipo de ROI puede generar un SIEM para el Cumplimiento? El más claro es la ausencia de multas y sanciones por no solo seguir, sino superar los requisitos de las regulaciones. Esto representa un excelente retorno de la inversión de SIEM, ya que la inversión en el proyecto probablemente será al menos 10 veces menor que la multa por violación de cumplimiento. Se aconseja crear un modelo de TCO de 5 años que incluya todos los gastos como soporte, hardware, costo de software, costo del equipo, programa de capacitación y retención. Luego, iguala el TCO con los posibles ahorros en violaciones de Cumplimiento basados en los riesgos que enfrentas. Esto haría que el ROI no solo estuviera demostrado en papel y ayudaría a evitar errores de cálculo.

Repositorio central de registros

La mejor manera de calcular el ROI al usar SIEM como repositorio central de registros es bastante directa: determina qué datos de registros necesitamos recopilar y almacenar, cuánto espacio ocuparán, especificaciones de hardware y carga de trabajo para esta tarea. Es necesario tener en cuenta todos los parámetros desde el espacio de HDD hasta el costo de 1 núcleo de CPU (especialmente implementaciones basadas en la nube y virtualización). Todos los sistemas de gestión de registros y SIEM son muy buenos para comprimir los datos de registros con una eficiencia de 2X a >10X lo que lleva a ahorros directos en almacenamiento, incluso si se realiza el enriquecimiento y la normalización de datos. La capacidad de un SIEM en particular para personalizar granularmente la agregación y filtrado de datos de registros mejorará directamente la eficiencia del almacenamiento y el ROI. La agregación está presente en cualquier plataforma SIEM madura, básicamente todos los sistemas que ves en Gartner tienen algún tipo de agregación. Las capacidades varían de un proveedor a otro: muy a menudo es solo un botón de encendido/apagado, mientras que en otras tecnologías tenemos más de 9000 parámetros que se pueden configurar para adaptarse a cualquier infraestructura.

Los SIEM están construidos para soportar búsquedas rápidas y proporcionan información de manera oportuna. Además, utilizamos la tecnología para simplificar el respaldo y la gestión de datos de registros. Sorprendentemente, es mucho más fácil gestionar un sistema de almacenamiento centralizado de registros que cuidar cada fuente de registros individualmente. Las copias de seguridad creadas por SIEM muy a menudo tienen control de integridad incorporado y son difíciles de manipular: están encriptadas o creadas como un contenedor único donde romper la integridad del contenedor no pasará desapercibido. Todos los SIEM maduros controlan la integridad de tales contenedores y la retención de registros.

A menudo vemos cómo surgen proyectos SIEM tanto como iniciativas de TI como de seguridad principalmente debido al motivo de ahorro en almacenamiento de datos de registros. Esto es especialmente cierto para las plataformas de Splunk y Elasticsearch, ya que ambas son más adecuadas para esta tarea. Un escenario típico aquí es cuando el departamento de TI obtiene apoyo de la gestión y financiamiento para el proyecto, adquiere la plataforma y luego el equipo de seguridad obtiene una licencia adicional como una actualización, ya que la integración de tecnologías del mismo proveedor reduce el TCO y simplifica el soporte.

ROI en operaciones proactivas forenses

Tener un almacenamiento seguro centralizado de todos los datos de registros abre un camino para el ROI en Forense: los registros se almacenan en formato no modificado resistente a manipulaciones, soportan búsqueda rápida, pivotes y todo esto es factible en tiempo razonable si realizamos bien nuestra implementación de SIEM. Así, nuestra investigación de incidentes puede realizarse más rápido y obtener la evidencia se vuelve más sencillo. ¿Cuándo realmente necesitamos eso? Bueno, si nuestra experiencia en infosec nos enseñó algo, es que cuando ocurre un incidente, la mayoría de las organizaciones no tienen expertos a tiempo completo para realizar una investigación y esta responsabilidad recae en el departamento de seguridad de la información (o cibernética) de una manera u otra. Solo las grandes empresas y organizaciones del sector público pueden permitirse asignar un empleado para estos fines. Y a los ojos del negocio, la forense es un costo significativo para la empresa que no se puede evitar. Si el SIEM tiene todos los datos necesarios, entonces un especialista CHFI realizará una investigación mucho más rápido y se enfocará en el objetivo principal: encontrar al adversario y la evidencia. Es mucho más fácil realizar una investigación cuando los datos de registros están disponibles en formato original, existen informes y exportaciones predefinidos y no tardan días en obtenerse, los volcados de tráfico (PCAP’s) están disponibles e incluso podemos tener eventos de seguridad sospechosos también conocidos como estadísticas de incidentes para construir mejor el panorama completo. En la situación opuesta, el especialista forense tendrá que profundizar y probablemente viajar al lugar y recolectar los datos necesarios de los servidores bit por bit personalmente. En esta última situación, el tiempo para realizar una investigación adecuada aumenta lo que incrementa directamente los costos de forense o disminuye la calidad hasta un grado en que el resultado final puede ser decepcionante. Si el incidente nunca ocurrió, es casi imposible calcular el ROI en forense proactiva. Aunque si miramos la creciente tendencia de violaciones de datos, ataques APT y estadísticas de incidentes cibernéticos y abrazamos la realidad, nos damos cuenta de que tarde o temprano cualquier organización será hackeada. Y la violación inevitablemente lleva a enfrentar una investigación forense directa o indirectamente para cualquier CISO.

SIEM y Forense en la vida real

Hace algún tiempo trabajamos de cerca con nuestro socio investigando un posible ataque interno. Cuando llegamos al lugar no había SIEM ni siquiera una gestión central de registros implementada y, como en los clásicos, alguien había eliminado los registros donde tenía ocasión, las copias de seguridad no se realizaron, no había ACLs, no había archivos PCAP disponibles. Analizamos imágenes objetivo, enviamos datos al laboratorio para recuperación, realizamos algo de navegación e investigación en la darknet… Como resultado, la gestión del cliente pagó por 5 días de forense + tiempo para el informe y presentación, lo que comprobó las huellas del ataque interno y los daños, pero como la empresa no tenía gestión de registros ni SIEM fue imposible atribuir este ataque a una persona específica, por lo que la atribución fue la mejor manera de finalizar la investigación. La empresa podría haber invertido más recursos en la recuperación de datos, pero la estimación era de otros 30 días, lo que es sin lugar a dudas un esfuerzo bastante costoso, por lo que realmente no aconsejamos eso. ¿Estuvo el cliente satisfecho con el resultado considerando que de hecho no encontramos nada? Sí, obtuvieron resultados de una investigación oficial utilizables en el tribunal. Aunque IMHO este es un motivo muy caro para verificar si se necesita un sistema SIEM en la empresa.

También hay un pequeño ejemplo de la exitosa historia del ROI de SIEM en la investigación de un ataque APT en 2015-2016, cuando actuamos como consultores en la investigación de incidentes que parecían formar parte del ataque APT de BlackEnergy. La empresa objetivo del APT estaba ejecutando una implementación PoC de SIEM (en este caso era arcsight) que esencialmente ayudó a encontrar los códigos de registro de eventos de Microsoft que han mostrado la secuencia de instalación de nuevos servicios y descubrimos cómo los controladores maliciosos se inyectaron en el sistema. Dado que todos los registros de auditoría fueron eliminados en los sistemas atacados (BlackEnergy y KillDisk) el SIEM estaba ejecutándose en Unix y en el segmento aislado para que BlackEnergy no lo alcanzase (KillDisk para unix no existía/no existe). Así que en este caso, el SIEM ayudó a preservar las huellas del ataque y fue la primera pista para comenzar una investigación forense completa.

Midiendo el ROI del SOC

El conductor más común para la implementación de SIEM es construir un centro para el monitoreo proactivo de incidentes de seguridad para identificarlos a tiempo y reducir preventivamente los riesgos. Así que básicamente construir un SOC es una razón común para comprar un SIEM. La tarea principal del sistema SIEM en un SOC es realizar todo tipo de correlaciones de eventos y encontrar lo que un humano físicamente no puede debido al volumen de datos que necesitan ser analizados. Hoy en día los SIEM son capaces de procesar miles de millones de eventos por día, cientos de miles o incluso más de un millón de EPS y proporcionar información en una forma adecuada para un análisis rápido y con todas las herramientas de investigación necesarias. Cumplir con estos requisitos une Cumplimiento, Forense y Repositorio Central de Registros en torno al SOC y los eleva a un nivel completamente nuevo.

Determinar el ROI del SOC es un gran tema, sin embargo en sus conceptos básicos es necesario monitorear y contar todos los incidentes detectados y modelar el daño prevenido en una etapa temprana. Es necesario construir y mantener continuamente un modelo de activos y red de la empresa, costo y valor de los activos de TI, riesgos aplicables, idealmente construir también un modelo CVSS. Basado en el costo de incidentes en estos activos, será posible determinar el daño potencial prevenido. El propio SIEM también ahorra tiempo a los analistas y ayuda a encontrar esas horas extra necesarias para otras tareas de seguridad como responder a solicitudes de auditoría y gestión de riesgos, realizar análisis de causas raíz e investigaciones.

Los Casos de Uso de SIEM constituyen una herencia valiosa

El último caso que vemos a menudo es una situación cuando alguien hereda un SIEM. Nadie sabe por qué el sistema fue adquirido en primer lugar porque los empleados iniciales se han ido, han llegado nuevos y esta situación se extiende a todos los niveles, desde los altos directivos hasta los especialistas de campo. Imagina esto: llegas a trabajar en una nueva organización que tiene un SIEM. La dirección dice: «Hemos integrado todos los registros de auditoría y le costó a la empresa varios miles/millones de dólares… Seguramente puedes hacer algo con ello. Quiero decir, la tarea en cuestión es bastante simple, tenemos documentos, la tecnología es madura y todo está funcionando casi perfectamente. ¡Así que solo se necesitan algunas modificaciones aquí y allá y obtendremos una conciencia total de seguridad y visibilidad de la red. Esto sería muy útil!» Un proyecto ambicioso de SIEM o incluso un SOC debería comenzar con algo sencillo. Este es en realidad el ROI en su forma más pura. Aquí necesitamos enfocarnos en rápidos éxitos para mostrar que la tecnología fue comprada por una buena razón. Para tener éxito con esta tarea, es mejor seleccionar los Casos de Uso que ya se han construido y probado para las tecnologías que tienes en tu organización y seleccionar soluciones específicas dirigidas a amenazas y riesgos específicos que son más activos en el mundo, como Ransomware, APT, Monitoreo de Windows, VPN, seguridad SSL. Y luego necesitaríamos ajustarlos rápidamente para que coincidan con los impulsores de ROI.

¿Por qué el ROI del SIEM es tan bueno en teoría y, sin embargo, tan lejano de la realidad?

Una lección de supervisar más de un centenar de implementaciones: solo porque un sistema SIEM esté implementado en una organización no significa que recolecta todos los datos que se planificaron y conectaron durante la fase de integración inicial. La integración es un proceso, llámalo continuo si lo deseas. Y una falta de datos = ausencia de ROI. Y no se trata solo de adquisiciones: como cualquier sistema analítico, el SIEM sigue el principio de «desperdicio entra = desperdicio sale». En pocas palabras, no producirá buenos resultados si los desafíos de datos son ignorados y en el caso de una auditoría de cumplimiento, los datos requeridos pueden no estar disponibles si no se monitorean la Calidad de Datos y la Adquisición de Datos. También sabemos que la infraestructura de TI de cualquier empresa no es estática, la arquitectura está cambiando constantemente a medida que se introducen y eliminan nuevos servicios, el formato y transporte de datos de registro cambian, las configuraciones de firmware y sistemas operativos cambian y esto hace que el análisis de eventos para asegurar la Calidad de Datos sea un proceso que necesita ser refinado continuamente. Si calidad no controlada, al menos con 0,25 FTE para la tarea, la utilidad de los datos disminuirá constantemente y en el momento de, digamos, una auditoría PCI, la empresa puede no pasarla. Los problemas de rendimiento también pueden llevar a una situación en la que los informes fallan justo cuando los necesitas y generalmente eso ocurre cuando auditores o la dirección los solicitan «para ayer». Esto es especialmente crítico para SOX.

SIEM no es autosuficiente: independientemente de si es software local o un SaaS, necesita personal capacitado que sea parte del equipo interno o parte del servicio de outsourcing. El cálculo incorrecto de la inversión ocurre con bastante frecuencia en los proyectos de SIEM. Las inversiones en la tecnología SIEM durante los primeros 5 años deberían constituir solo del 20 al 30% del presupuesto total del proyecto. Se necesita invertir en equipo y en el equipo, especialmente en capacitación, retención del personal y escalado de las operaciones. Otro error es asumir que comprar SIEM reducirá significativamente la carga de trabajo, al contrario, en realidad traerá una serie de nuevas tareas y habilidades requeridas. Tus expertos simplemente reciben la oportunidad de trabajar con enormes cantidades de datos de seguridad, analizarlos y darles significado para reducir riesgos, algo que anteriormente era imposible. Así, la planificación incorrecta de recursos es otra razón por la que no es posible obtener un ROI de SIEM.

Finalmente, un enfoque para la implementación de Casos de Uso para SIEM requiere entender que los casos de uso no se implementan como algo de una sola vez, y su calidad se degradará rápidamente si no se mejoran y ajustan continuamente. La solución más efectiva y al mismo tiempo sencilla aquí es usar los casos de uso que ya están disponibles y no reinventar la rueda (casos para monitoreo de Windows, Cisco, antivirus, etc.). Es necesario enfocar los esfuerzos del equipo en el desarrollo de casos de uso específicos para tu organización. Para verificar que estás construyendo los casos de uso requeridos: si un caso de uso puede copiarse a otro SIEM de la empresa y funcionará allí con el mismo valor, eso significa que es universal. Y es muy probable que ya esté disponible como un paquete freemium o comercial que requiere una mínima o ninguna afinación para producir valor de seguridad.

Así, podemos definir 5 procesos que aseguran un ROI positivo del SIEM

1. Monitoreo y mantenimiento de la adquisición de datos y calidad de los datos
2. Monitoreo, mantenimiento y mejora continua de los Casos de Uso de SIEM
3. Planificación técnica adecuada del proyecto y arquitectura
4. Planificación y ajuste anticipado del FTE para evitar sobrecarga del equipo
5. Un plan claro para la inversión en el equipo: capacitación, retención y desarrollo

Así que aquí tenemos las principales formas de obtener ROI de SIEM y algunas razones por las que no siempre funcionan como se esperaba. ¿Cuál es tu experiencia en obtener ROI de un SIEM?