Antes de sumergirnos en los consejos técnicos que mencioné en mi post anterior, quiero plantear un punto importante. Si confía únicamente en las herramientas de gestión de eventos e información de seguridad (SIEM) para la supervisión de la seguridad de Active Directory (AD), especialmente frente a posibles ataques de ciberseguridad, es posible que no esté obteniendo una imagen completa de lo que ocurre en su red y sus sistemas.
¿Qué son las Herramientas de SIEM?
Las Herramientas de SIEM recopilan, centralizan y analizan varios registros de red, sistema, aplicación y otros. Muchos registros de eventos producen una cantidad abrumadora de datos. Las Herramientas de SIEM pueden ser increíblemente útiles para lograr una visión unificada de los eventos registrados.
Muchas organizaciones confían en las Herramientas de SIEM para rastrear los registros de seguridad en busca de posibles comportamientos maliciosos, incluidas las amenazas a AD. Entre las Herramientas de SIEM más conocidas se encuentran Splunk y Microsoft Sentinel.
¿Por qué no confiar en las Herramientas de SIEM para la seguridad de AD?
Uno de los problemas de confiar en las Herramientas de SIEM para la supervisión de AD es que los ciberatacantes se han vuelto expertos en eludir los registros de seguridad de AD. DCShadow es sólo un ejemplo de este tipo de ciberataque. He aquí otros inconvenientes de una estrategia basada únicamente en SIEM:
- Limitaciones en la recogida de datos: Las SIEM recogen y analizan sólo los datos que se les envían. Este conjunto de datos puede no incluir todo lo generado por una red o sistema. Muchas aplicaciones y servicios no incorporan funciones de alerta o creación de eventos. Incluso aquellos que sí las tienen pueden no producir alertas para todos los tipos de acciones o cambios de configuración. Por ejemplo, el acceso y los cambios en las máquinas virtuales (VM) podrían no registrarse. Estas limitaciones hacen que la visibilidad y la supervisión de la seguridad sean incompletas.
- Errores de configuración: Las SIEM deben estar correctamente configuradas para analizar eficazmente los datos y proporcionar información significativa. Todos sabemos lo largo y complejo que puede ser este proceso. Los errores de configuración y las configuraciones erróneas pueden hacer que no se analicen los datos o que estos sean incorrectos, lo que se traduce en una visión limitada de la actividad de la red.
- Problemas de procesamiento de datos: Algunas SIEM no pueden procesar todos los tipos de datos, lo que provoca lagunas en la supervisión de la seguridad.
- Información de amenazas incompleta: Las SIEM suelen basarse en la información sobre amenazas para detectar amenazas conocidas. Sin embargo, estas fuentes no siempre son completas ni están actualizadas.
- Falsos positivos: Las SIEM pueden generar falsos positivos. Estos pueden distraer la atención de los problemas de seguridad reales y reducir la eficacia general de la SIEM.
- No orientados a la seguridad: Muchas aplicaciones y servicios generan registros de eventos que no fueron diseñados para la seguridad. Los eventos generados pueden ser crípticos, ocultando la verdadera naturaleza del evento desencadenante.
- Contexto limitado: Las SIEM suelen proporcionar una cantidad limitada de contexto para los eventos de seguridad. Esta falta de contexto puede dificultar la comprensión del alcance completo de un problema de seguridad o el análisis de la causa raíz.
Cómo ampliar la eficacia de las Herramientas de SIEM
Para hacer frente a estas limitaciones, las Herramientas de SIEM deben utilizarse como parte de una estrategia de seguridad más amplia. Combine las SIEM con otras tecnologías de seguridad, como cortafuegos, sistemas de detección de intrusiones y software de protección de puntos finales. Y para mantener una visión completa de la seguridad de AD, asegúrese de implementar una herramienta de supervisión de AD dedicada. Por ejemplo, Semperis Directory Services Protector (DSP) se integra fácilmente con las Herramientas de SIEM.
Más información sobre Herramientas de SIEM y seguridad de AD
