La gestión de eventos e información de seguridad (SIEM) es la piedra angular de la ciberseguridad, ya que ofrece un sofisticado conjunto de herramientas y procesos que permiten a las organizaciones detectar, analizar y responder a los incidentes de seguridad con una rapidez y precisión sin precedentes. En esencia, el SIEM actúa como sistema nervioso central para la supervisión de la seguridad, recopilando y agregando datos de registro de diversas fuentes dentro de un entorno de TI y correlacionando esta información para identificar actividades anómalas que podrían indicar una amenaza para la ciberseguridad. Pero los SIEM tienen limitaciones.
Aunque los sistemas SIEM forman parte integral de la ciberseguridad, no están exentos de limitaciones, por lo que es necesario incluir la detección y respuesta en red (NDR) para lograr un enfoque de seguridad más completo.
Los sistemas SIEM se basan principalmente en datos de registro y reglas de correlación predefinidas para la detección de amenazas, lo que puede plantear varios problemas:
La dependencia de SIEM de firmas y patrones conocidos se enfrenta a los exploits de día cero y a las nuevas técnicas de ataque, que no tienen firmas o patrones de comportamiento establecidos.
La dependencia de reglas predefinidas puede dar lugar a un elevado número de falsos positivos. Según un informe de Gartner, la tasa media de falsos positivos de los SIEM puede llegar al 75%. Esto no sólo sobrecarga a los equipos de los SOC con alertas innecesarias, sino que también puede llevar a la fatiga de las alertas, provocando potencialmente que se pasen por alto amenazas genuinas.
Con el creciente uso del cifrado, los sistemas SIEM a menudo carecen de la capacidad de inspeccionar el tráfico de red cifrado. Esto crea un punto ciego, ya que las actividades maliciosas pueden pasar desapercibidas si se ocultan dentro de canales cifrados.
Los sistemas SIEM requieren importantes recursos para el almacenamiento, procesamiento y mantenimiento de los registros. Un estudio de Ponemon Institute destaca que la organización media gasta aproximadamente 3,4 millones de dólares anuales en actividades relacionadas con SIEM, lo que subraya la naturaleza intensiva en recursos de estos sistemas.
Configurar y mantener un sistema SIEM es un proceso complejo que requiere conocimientos especializados. Esta complejidad puede provocar problemas de implantación e ineficiencias operativas, como señala Cybersecurity Ventures.
Por el contrario, la NDR complementa al SIEM ofreciendo análisis del tráfico de red en tiempo real, lo que resulta esencial para identificar anomalías y amenazas que eluden los métodos de detección tradicionales. Las soluciones NDR utilizan técnicas avanzadas como el aprendizaje automático y la inteligencia artificial para analizar los comportamientos de la red, lo que proporciona un enfoque más dinámico y adaptable a la detección de amenazas. Esto permite a los equipos de los SOC detectar y responder a amenazas sofisticadas con mayor eficacia, incluido el análisis de tráfico cifrado, la detección de anomalías basada en el comportamiento y las capacidades de respuesta automatizada.
La integración de NDR con SIEM crea una postura de seguridad más sólida, garantizando que las organizaciones no dependan únicamente de los datos de registro y las reglas predefinidas. Esta combinación mejora la detección de amenazas avanzadas, reduce los falsos positivos y proporciona una visión más completa del panorama de la seguridad, reforzando en última instancia la defensa de la organización frente a las ciberamenazas en evolución.