Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Despliegue de SIEM en entornos TO

Fecha de publicación 14/11/2019
Autor
INCIBE (INCIBE)
SIEM

¿Qué es un SIEM?

Un sistema SIEM (Security Information and Event Management) o sistema de gestión de eventos e información de seguridad es una herramienta utilizada para el almacenamiento centralizado y la interpretación de los datos relevantes de seguridad. Un sistema SIEM es la combinación de los sistemas SEM y SIM:

  • SEM (Security Event Management) o gestión de eventos de seguridad, otorga la capacidad de monitorización en tiempo real, correlación de eventos, notificaciones y visualizaciones de la consola.
  • SIM (Security Information Management) o gestión de la información de seguridad, comprende el conjunto de capacidades para el almacenamiento a largo plazo, análisis y presentación de la información de registro.

El SIEM es la principal herramienta utilizada en los centros de operaciones de seguridad o SOC (Security Operations Center) para la detección y respuesta a incidentes. Las principales capacidades de un SIEM son:

  • Agregación de datos: capacidad para administrar la información recibida de múltiples fuentes.
  • Correlación: procesamiento de los datos recibidos para transformar dichos datos en información.
  • Alerta: análisis de los eventos correlacionados, de manera que se generen avisos de seguridad que se envían a un administrador.
  • Cuadros de mando: un SIEM posee las herramientas necesarias para transformar la información en tablas y gráficas.
  • Cumplimiento: gracias a un SIEM se puede automatizar la recopilación de la información necesaria para la elaboración de informes sobre normativas existentes.
  • Retención: un SIEM posee la capacidad de almacenamiento de datos a largo plazo, una característica que es vital para un correcto desempeño de funciones de análisis forense.
  • Redundancia: para evitar la pérdida de datos, la base de datos de un SIEM suele estar redundada.
  • Escalabilidad: un SIEM puede ser configurado jerárquicamente para aumentar o disminuir, en función de las necesidades del momento.

Ventajas del despliegue de un SIEM

El despliegue de un SIEM nos va a aportar una serie de ventajas a nivel de seguridad:

  • Detección temprana de un incidente: gracias al análisis en tiempo real, el uso de un SIEM permite detectar un incidente que esté ocurriendo en nuestra red, permitiendo incluso llevar a cabo las acciones necesarias para bloquear dicho incidente antes de que ocasione daños reales a la producción.
  • Análisis forense: otro punto a favor de un SIEM es que, gracias a su capacidad para almacenar y poder consultar eventos de seguridad antiguos, facilita la tarea de análisis forense en caso de querer identificar cómo se produjo un incidente.
  • Centralización de la información: gracias a la recopilación de eventos de los equipos de red y otros elementos de seguridad en un SIEM, éste permite una gestión centralizada de toda esa información recogida.
  • Ahorro de recursos: al realizarse la recopilación de información de manera centralizada y automática, se consigue un ahorro significativo en cuanto a recursos.
  • Identificación de anomalías: gracias a que las redes industriales son comúnmente estables, un punto a favor a la hora de desplegar un SIEM es que nos va a permitir identificar fácilmente, tras un periodo de aprendizaje, anomalías en el comportamiento de los equipos, pudiendo detectar problemas en el funcionamiento o incluso un incidente.

SIEM OT

- Ejemplo de SIEM en red industrial. -

Particularidades y problemática de SIEM en entornos SCI

Debido a la peculiaridad de las redes TO, el despliegue de un SIEM no es una tarea trivial y han de superarse algunos problemas característicos de estos entornos:

  • Ciclos de vida de los dispositivos muy largos: algo muy común en los entornos industriales es que el ciclo de vida de los equipos sea muy elevado, llegando hasta los 40 años dependiendo de la industria.
  • Prestaciones de los dispositivos: otra cualidad muy común entre los dispositivos industriales es que son equipos con prestaciones muy reducidas, normalmente con la capacidad justa para desempeñar las tareas para las que han sido designados. Por ello, muchas veces no disponen de la capacidad para la generación y envío de logs. Debido a esta carencia, uno de los problemas a la hora de utilizar un SIEM en SCI es la generación de eventos de seguridad sobre determinados equipos.
  • Conocimientos y capacidades para su gestión: para poder utilizar el SIEM de manera adecuada e interpretar de manera correcta los eventos generados en el mismo, el personal que vaya a estar al cargo de esta herramienta ha de poseer conocimientos específicos del entorno. Estos conocimientos implican, como mínimo, entender los protocolos industriales empleados en el proceso, así como los equipos industriales.

Para desplegar correctamente un SIEM en entornos industriales se deben tener varias consideraciones para que aporte valor a nivel de ciberseguridad, y pudiera identificar cualquier amenaza que ocurra sobre la red en la que se encuentre desplegado. Por ello, la consideración a tener en cuenta antes del despliegue es un estudio de los equipos y las comunicaciones, así como de la topología de red. De esta manera, se garantiza que vamos a comprender el impacto del SIEM en la red. También es importante realizar un estudio de los activos, de manera que se identifiquen aquellos que son más importantes para el proceso, con el objetivo de integrar primero en el SIEM los eventos generados por estos equipos. A la hora de desplegar el SIEM, hay que tener en cuenta que no toda la información es relevante, y que se ha de normalizar y procesar aquella que nos pueda ser de utilidad para la identificación de amenazas.

Integración segura con SOC TI

Es común, en muchas compañías, el poseer un SOC, propio o externalizado, en el cual se procesan las alertas y eventos recogidos por el SIEM desplegado en la red corporativa. Por eso, muchas compañías buscan también la configuración de un SOC-OT que les permita detectar y mitigar cualquier incidente que pudiera ocurrir también en la red industrial de la empresa. Para abaratar costes, en vez de crear un SOC específico para la red industrial, se busca desplegar la arquitectura de SIEM en la red industrial y procesar los eventos en el SOC-TI, poseyendo así un SOC mixto TI-TO. Para ello, hemos de tener en cuenta varios puntos a la hora de integrar nuestro SIEM industrial con el SOC TI:

  • No se deben tratar de la misma manera los eventos de la red corporativa que los de la red industrial. Se han de generar alertas específicas, de manera que queden cubiertas las amenazas específicas de las redes industriales. Con tal fin, durante el proceso de integración, se estudiarán los eventos y se generarán los casos de usos necesarios, acordes a las necesidades de las redes industriales.
  • Se deberá disponer de personal especialista en redes TO en cada uno de los niveles del SOC. De esta manera, garantizamos el correcto desempeño en cada uno de los niveles. Si no se posee al personal con el conocimiento necesario sobre la red industrial, podrían generarse problemas a la hora de tratar correctamente las alertas y amenazas propias de los entornos industriales.
  • Si el SOC se encuentra externalizado, hay que tener en cuenta que se ha de implementar una arquitectura de red segura, de manera que garanticemos la máxima seguridad posible en estas comunicaciones al exterior.

Conclusiones

Una de las principales medidas de seguridad que debemos tener en cuenta a la hora de asegurar entornos TO es la monitorización. Al tratarse de una medida pasiva, si su implementación es debidamente estudiada antes de su despliegue, nos va a permitir tener un mayor conocimiento sobre qué está ocurriendo en nuestros equipos y a través de la red. Una de las herramientas de monitorización y análisis más comunes son los SIEM, que como hemos visto a lo largo de este artículo, recogen información como los eventos del sistema de los equipos para su almacenado y procesado. De la misma manera que otras herramientas que encontramos tanto en redes TI como TO, emplear un SIEM en redes TO es recomendable siempre y cuando se tengan en cuenta las particularidades de estas redes. En nuestra guía explicamos de manera más detallada los pasos a seguir para el despliegue de IDS, IPS y SIEM en los sistemas de control industriales.