Estimado amigo del blog:
Si acostumbras a leer artículos firmados por un servidor, es posible que hayas leído el título del artículo y te haya llamado la atención, o quizás hayas pensado que debería ser al revés… Gestionas un SOC y necesitas una herramienta SIEM como Sentinel para la gestión de eventos. Pero no, hemos querido iniciar el artículo con este título para expresar precisamente esa “vuelta de tuerca” en nuestra aproximación del servicio.
Como has podido leer en pasados artículos de Azure Sentinel, hemos defendido en varios ámbitos el concepto de SaaS que nos brinda la firma de Seattle mediante uno más de los servicios de la plataforma Azure. Para entender el planteamiento que os queremos trasladar, vamos a usar un símil, algo que suelo usar mucho y no se si realmente hace que les estalle la cabeza a mis alumnos/lectores o realmente le aporta 
Recuerdo esas charlas de inicios de los 2000 sobre win/Linux o mejor dicho GNU. En ocasiones había compañeros que defendían a capa y espada GNU, en proyectos por ejemplo como Mysql. Comparados con grandes de la industria como MS Sqlserver o Oracle… Para que no se vea mi plumero, vamos a usar el símil de Oracle. Oracle es una excelente base de datos, un motor de bases de datos relacionales, como pueda ser Mysql. No voy a entrar en detalles.
Partamos de la base de que cada uno de sus “seguidores” conocerá en profundidad el producto y podrá defender sus bondades… Pero si vas al portfolio de soluciones anexas a la BBDD, comprendes que Oracle no se puede comparar con un Mysql. Para gestionar tablas, consultas si, pero ¿y si necesitas computo avanzado con infraestructuras complejas de clustering? Lo que denominaron el Oracle Grid. O si necesitas una manera sencilla de desarrollar tus aplicaciones empresariales usar Forms…Analytics, Servicios Cloud, Data Safe, identidades, os animo a que echéis un vistazo a la cantidad de productos que danzan en torno a la base de datos, y ya no solo a la propia de la empresa.
Bueno me he animado, vámos a seguir con el símil del mundo MS Sqlserver… integration services, analysis, reporting… al final el mundo de las bases de datos no es solo el motor. Y si, Mysql puede ser tan bueno como cualquier de estos motores para un escenario concreto, pero la solución empresarial completa se expande mucho más allá del “créate table”…
No sé si vas adivinando por donde va mi planteamiento. El centro de operaciones de seguridad ( SOC) es el departamento o servicio que ofrece ese punto central de gobierno de la ciberseguridad en el que entendemos que se aglutina mucho más que la monitorización, sino la respuesta a incidentes, y creemos que debería ser el punto central de gobierno, en donde incluso se aglutinen las bases de conocimiento ( KB) y por qué no, el despliegue de otras soluciones.
El SIEM es la piedra angular del SOC, ya que es el software encargado de aglutinar la información, correlar eventos, y gracias a sus avances, al “next gen”, la madurez de estos productos ha incorporado capacidades UEBA, SOAR, Reporting, incluso EDR. Es raro el fabricante que no te venda los beneficios de Inteligencia Artificial basada en Machine Learning en la detección de amenazas… ( Frase SEO xD)
El resultado es que el SIEM sigue creciendo como la piedra angular del SOC y usamos sus “añadidos” o conectamos con terceros, pero siendo el SIEM el centro.
Nuestro planteamiento es distinto, y entendemos que el SIEM es una pieza más dentro del SOC, y que gracias al poder de Azure, podemos usar la nube de Microsoft como punto central de la ciberseguridad, y que el SIEM sea un elemento más en el que podemos obtener las mejores capacidades del mismo, pero enriquecerlas con otro tipo de servicios que enriquecen el SOC, pero no deben ir en “pipeline” del SIEM.
Voy a poner algunos ejemplos para consolidar esta idea, aunque es cada SOC o mejor dicho, que negocio el que tiene que evaluar sus necesidades concretas, intentando aprovechas una plataforma tan abierta y versátil como Azure, y no el producto X del fabricante.
Imagina un modelo de SIEM en el que se licencia por tamaño o por EPS, igual que hace Azure Sentinel ¡ojo! ⚠️ No queremos defender el SIEM de Microsoft respecto a otros, se nos vería el plumero, queremos defender este nuevo modelo…
Imagina un conjunto de firewalls perimetrales enviado logs ACCEPT para todas las reglas, o vamos más allá, porque esto podría ser asequible, imagina un sistema como BRO que captura todo el tráfico de red de una organización. Imagina pagar los elevados costes de almacenamiento/eps de estos gb? Si nos movemos por empresas que “consumen” 30gb/día… 100gb/ día… imagina estos consumos. Como es normal, tiene sentido usar un almacenamiento más económico como podría ser un blob en Azure Storage, pero no solo con fines de retención o forense… sino para analizarlos con un sistema de Bring Your Own Machine Learning o Anomaly Detector en el que podamos implementar nuestros modelos predictivos para detectar incidentes. Por ejemplo, aumento en el tráfico DNS saliente (posible exfiltración) o aumento de tráfico SMTP saliente… actividad de red inusual, numerosos accesos a webs en la que el SSL no es todo lo “elegante” que debería ( Posible MitM) etc.
Vamos a seguir profundizando en este concepto, en el que el SIEM no sea la plataforma central del SOC. Vamos a hablar de eso que nos gusta tanto a los técnicos, el reporting. Seguro que tu solución de SIEM contempla un modulo de reporting asombroso, como un montón de funciones. Quizás incluso tengas módulos de pago adicional en el que te ofrezcan el next-gen del reporting, con dashboard personalizados para el cliente. Bien, se agradece, pero… ¿por qué no usar mi sistema de reporting PowerBi o similar?
Al final no queremos tener que darle al CIO más contraseñas, más pantallas, la idea de integrar todo el reporting bajo un mismo visor, independientemente de que si por debajo hay una BBDD o un proceso de extracción de datos complejo…
Vamos con el concepto más disruptivo pero más fácil de entender. Tu organización usa el SIEM x en España y compra una compañía que usa el SIEM y en Bélgica usan el SIEM y. O tienes un SIEM que es muy bueno en un ámbito, pero no lo es tanto en otro. O tienes un SIEM y quieres poder decidir entre otros productos. O si tienes un despliegue complejo de SIEM actualmente pero el coste de re-implantar otra solución es muy costosa… ¿Por qué no usar tu SIEM actual, la recolección de logs, la correlación, la creación de alertas, y aprovechas las mejores funcionalidades de gestión del SOC que podemos implementar con Azure? Sería el primer paso un SOC “agnóstico” del SIEM.
Sigamos con ejemplos, la gestión del servicio, SLA´s, tickets, flujos de notificación, accesos a KB con el conocimiento de nuestros analistas, sistemas externos de Threat Intelligence, al final el SIEM se enriquece de distintas conexiones con elementos externos ( o módulos internos adicionales de pago), pero tenemos un SPOF ( Single Point of Failure) en el SIEM. No en cuanto a disponibilidad, sino que dependemos del fabricante concreto y sus capacidades de expansión y su estrategia interna. Es decir, si el fabricante me ofrece una API de integración con un sistema concreto, pero lo hace de manera limitada, porque quiere potenciar que no uses un software de terceros, sino que uses el suyo, tenemos un cuello de botella.
Pensemos en la gestión de identidades. El SIEM debe protegerse tanto o más que cualquier otro software empresarial. Tu proveedor de SIEM te ofrece fortificación de cuentas?perfecto. MFA, perfecto, ¿pero es el mismo que el empresarial o tengo que instalar otro agente? ¿Está al nivel de la gestión de identidades que tu organización requiere? O tus analistas SIEM pueden conectarse al servicio tanto desde la sede, como una vpn en una wifi público, o un dispositivo no empresarial? Aprovechar la gestión de identidades de Azure, que lo hace muy bien, para proteger tu empresa es muy buena idea, e incluir el SIEM, mejor aún. No tener un área de sombra o un servicio “extra” del vendor del SIEM.
Es curioso que en un entorno Microsoft hablemos de independencia del fabricante, de estándares abiertos, pero es que Microsoft hace tiempo que es así.
Os invito a que reviséis los servicios de Azure para que entendáis que los beneficios que nos ofrece van más allá de los productos Ms. ¿Crees que no puedes usar el Security Center de Azure para tu entorno AWS? O On-Premise? O que no puedes fortificar tus DC´s locales, o tus bases de datos?
Uno de los elementos de valor que tiene Azure Sentinel no son sus bondades como SIEM, ya que todos los fabricantes podrían decir lo mismo de tus productos ( ¿mi mama me quiere a mi más que la tuya a ti? ) sino que es parte del ecosistema Azure, una plataforma abierta, de coste, pero abierta, en la que no conozco necesidad empresarial tecnológica, que en mayor o menor medida, podamos acudir al cloud de MS en busca de ayuda.
Podemos resumir esta serie de planteamientos como hemos empezado, Azure Sentinel son un conjunto de servicios que mejoran “tu SIEM” aunque realmente mejoran tu SOC.
Aprovechar lo mejor de tu SIEM si lo tienes, o usar las capacidades de Sentinel es una aproximación inteligente que puede ahorrar costes a tu organización, pero implementar un modelo en el que tu SOC sea el centro de la operación, como su nombre lo indica, y no el SIEM, debe ser FUNDAMENTAL.
¡Sigue Aprendiendo!
Si quieres que te ayudemos a poner en marcha este tipo de proyecto, no dudes en contactar con nosotros. También puedes aprovechar las formaciones existentes para ampliar tus conocimientos 👇🏼
>> Más info¡Gracias por leernos! 😉
