Guía de buenas prácticas de configuración en la implementación y operación de un SIEM en las FFMM de Colombia

Abstract

El ciberespacio considerado como el quinto dominio de la guerra , trajo consigo nuevos retos a las Fuerzas Militares de Colombia. La adaptación de nuevas tecnologías informáticas, generaron innumerables beneficios en todos los niveles; este avance tecnológico implicaba la creación de controles que garantizaran la privacidad y seguridad de la información, minimizando nuevas amenazas y vulnerabilidades. Con la implementación de estos nuevos dispositivos de seguridad informática, la data producida alcanzo un umbral considerable, a partir de esto se generaron nuevas necesidades que incluían el aprovechamiento de esta información, con el objetivo de visualizar de manera global las posibles amenazas, además de medir el nivel de seguridad de la organización. Con la adaptación de esta arquitectura orientada a la gestión de eventos e información de seguridad (SIEM) parecía tenerse la solución definitiva, pero después de un tiempo los resultados obtenidos no generaron el impacto esperado, por el contrario, se evidenciaron configuraciones por defecto y datos colectados sin previo análisis y clasificacion que restaron credibilidad al sistema. En este artículo se plantea una guía de buenas prácticas que tienen como objetivo la optimización de los datos que llegan al SIEM, desde la integración de los dispositivos hasta los resultados operativos que pueden generarse. Para ello, se describe en primer lugar la reunión de apertura, que permitirá colectar información de interés como caracteristicas técnicas y funcionales del dispositivo de seguridad dentro de la organización (función y ubicación dentro de la arquitectura de red) y trazar una ruta de trabajo y objetivos a alcanzar. Posteriormente se hace énfasis en los análisis de los registros de actividad informática (log) que genera el dispositivo, para reconocer los campos relevantes y clasificarlos de acuerdo a su acción y aplicación. A partir de este análisis se describen los casos de uso2 que pudieran aplicar, tomando como referencia el estudio previo de las amenazas más comunes. Por último, se desarrolla la etapa de configuración y adaptación de los casos de uso en el SIEM, definiendo las fases posteriores que corresponden a la calibración, puesta en funcionamiento, configuración de notificaciones y generación de estadísticas. Nuestro análisis demuestra que el ciclo propuesto es adecuado para reducir de forma significativa los falsos positivos, fortalecer la credibilidad y confianza del sistema, disminuir el umbral de eventos por segundo (EPS), generar valor en las alertas o incidentes notificados y alcanzar la visibilidad general de posibles amenazas y vulnerabilidades.

Cyberspace, considered as the fifth domain of warfare, brought new challenges to the Colombian Armed Forces. The adaptation of new computer technologies generated innumerable benefits at all levels; this technological advance implied the creation of controls that would guarantee the privacy and security of information, minimizing new threats and vulnerabilities. With the implementation of these new computer security devices, the data produced reached a considerable threshold, from these new needs were generated that included the utilization of this information, with the objective of visualizing in a global way the possible threats, as well as measuring the security level of the organization. The adaptation of an architecture oriented to security information and event management (SIEM) seemed to have the definitive solution, but after a while the results obtained did not generate the expected impact, on the contrary, default configurations and data collected without prior analysis and classification were evidenced, which detracted from the credibility of the system. This article presents a guide of good practices aimed at optimizing the data coming into the SIEM, from the integration of the devices to the operational results that can be generated. To this end, it first describes the opening meeting, which will allow gathering information of interest such as the technical and functional characteristics of the security device within the organization (function and location within the network architecture) and outlining a work path and objectives to be achieved. Subsequently, emphasis is placed on the analysis of the computer activity records (log) generated by the device, in order to recognize the relevant fields and classify them according to their action and application. Based on this analysis, the use cases that could be applied are described, taking as a reference the previous study of the most common threats. Finally, the stage of configuration and adaptation of the use cases in the SIEM is developed, defining the subsequent phases that correspond to calibration, start-up, configuration of notifications and generation of statistics. Our analysis shows that the proposed cycle is adequate to significantly reduce false positives, reinforce the credibility and confidence of the system, reduce the threshold of events per second (EPS), generate value in the alerts or incidents reported and achieve global visibility of potential threats and vulnerabilities.