Enfrentar desafíos es común para los equipos de seguridad informática, como los constantes intentos de infiltrarse en las infraestructuras empresariales y el incremento de ataques sofisticados. Según el informe Kaspersky Human Factor 360, en los últimos dos años, al menos un 74% de las compañías en España ha sido blanco de ciberataques. Con el objetivo de optimizar recursos y mejorar la efectividad en el ámbito de la ciberseguridad, las empresas buscan soluciones que les permitan recolectar y analizar la información de seguridad en tiempo real, incrementando notablemente su percepción sobre su situación actual.
Una solución SIEM de última generación es la Plataforma Unificada de Monitorización y Análisis ofrecida por Kaspersky, que sirve para administrar datos y eventos de seguridad. No solamente recolecta, centraliza, analiza y guarda registros de toda la infraestructura de TI, sino que también brinda enriquecimiento contextual e información útil sobre inteligencia de amenazas. Estas capacidades resultan de gran utilidad para expertos en seguridad informática en distintos escenarios. Kaspersky ha implementado nuevas funciones que posibilitan a los profesionales de ciberseguridad explorar la plataforma de manera más eficaz y detectar amenazas de forma oportuna:
- Transmisión de eventos desde oficinas distantes a un flujo único. Se incorporó un enrutador de eventos para disminuir la sobrecarga en los canales de comunicación y reducir la cantidad de puertos abiertos en los firewalls de la red. Dichos eventos son recibidos por el receptor desde los recolectores y luego son dirigidos a destinos específicos según los filtros configurados para el servicio. La implementación de un intermediario como este posibilita una eficaz distribución de carga entre las conexiones y permite aprovechar enlaces de ancho de banda reducido.
- La clasificación basada en campos arbitrarios, empleando funciones de redondeo de tiempo desde la interfaz de eventos. Los analistas, durante sus investigaciones, deben elegir eventos y elaborar consultas con agrupaciones y funciones de agregación. Actualmente los usuarios tienen la posibilidad de ejecutar consultas de agregación simplemente al seleccionar uno o varios campos que puedan utilizar como parámetros de agrupación y acceder a “Ejecutar consulta”.
- Ahora es factible realizar una indagación de sucesos en diversos depósitos elegidos. Es posible ahora ejecutar una búsqueda de eventos de manera simultánea en distintos agrupamientos de almacenamiento y lograr resultados en una tabla consolidada única. Mediante esta característica se consigue una recuperación más directa y eficaz de sucesos requeridos en agrupamientos de almacenamiento repartidos. La tabla unificada señala la localización de almacenamiento de cada registro.
- Utilización de normas con MITRE ATT&CK®. Se ha implementado un procedimiento para orientar a los analistas en la visualización de la cobertura de la matriz MITRE ATT&CK® mediante reglas creadas, evaluando de esta manera el nivel de protección. De igual modo, los analistas tienen la posibilidad de cargar un archivo actualizado con el inventario de tácticas y técnicas en el sistema SIEM, identificar técnicas y tácticas detectadas por una regla en sus atributos, y generar un catálogo de reglas del sistema SIEM clasificado según una matriz en el MITRE ATT&CK Navigator.
- Agrupación de datos de DNS Analytics. Mediante el nuevo sistema de transporte ETW (Event Tracing for Windows) se pueden recopilar registros de DNS Analytics que ofrecen un detallado seguimiento de eventos de diagnóstico, así como datos analíticos sobre las operaciones realizadas por el servidor DNS. Esta fuente de información es más completa que el registro de depuración de DNS y tiene un menor impacto en el rendimiento del servidor.
El sistema SIEM es una de las principales herramientas diseñadas para los profesionales de ciberseguridad. Convenir a los expertos interactuar con el SIEM es vital para la seguridad de una empresa, permitiéndoles centrarse directamente en combatir las amenazas en lugar de llevar a cabo tareas rutinarias. Seguimos mejorando activamente la solución según las necesidades del mercado y los comentarios de los clientes, e introducimos constantemente nuevas características para simplificar el trabajo de los analistas”, señala Ilya Markelov, jefe de la Línea de Productos de la Plataforma Unificada en Kaspersky.