El estado actual de la ciberseguridad requiere que los analistas estén al tanto de todo lo que ocurre en sus sistemas: cualquier pequeña pista puede ser el indicador de que la red corporativa está siendo atacada por un APT, infectada por una campaña de ransomware o explotada por un empleado interno para extraer datos sensibles. Las soluciones SIEM son las herramientas más adecuadas para manejar todo este volumen de información, pero su despliegue puede ser un reto. En este contexto, José Pedro Mayo, Responsable de Arquitectura y Diseño de Soluciones en GMV, ha impartido una ponencia en “Elastic{ON} Tour Madrid”, desde la experiencia de GMV con estas soluciones para mostrar cuáles son los puntos clave a buscar en un SIEM y cómo ELK los puede cubrir.

Gestionar correctamente los datos es un problemática actual de ciberseguridad. Necesitamos recoger cualquier mínimo indicio de los sistemas, utilizar herramientas eficaces que ahorren trabajo y poder tener transparencia de todo lo que tenemos. Para ello la herramienta más adecuada es un SIEM (Security Information Events Manager), ya que nos permite gestionar de forma unificada los eventos, ayuda a cumplir con las normativas, aumenta la visibilidad y reduce el volumen de eventos que atender.

Asimismo, ELK es un conjunto de herramientas de gran potencial de código abierto que se combinan para crear una herramienta de administración de registros permitiendo la monitorización, consolidación y análisis de logs generados en múltiples servidores. Estas herramientas que componen un cluster ELK son: ElasticSearch (motor de búsqueda y análisis), Logstash (recopilación de datos) y Kibana (plataforma de análisis y visualización).

Cualquier equipo de respuesta a incidentes necesita estas capacidades de almacenar datos centralizados, buscar en los datos, utilizarlos para la detección y generar alertas específicas para la organización. Según la experiencia de GMV, utilizar Elastic como solución SIEM nos permite cubrir estas diferentes fases en la gestión de eventos de seguridad: recoger logs de los activos de interés, normalizar la información desestructurada permitiendo su indexación, enriquecer con datos adicionales (geolocalización, resolución DNS, etc.), correlacionar y detectar anomalías (agrupando, categorizando y filtrando eventos), y reportar informes y alertas de múltiples formas.