Afrontar los cambios en SIEM: de QRadar a XSIAM y más allá
Todos los profesionales de la ciberseguridad están acostumbrados a que este sector se mueva a una velocidad de vertiginosa, pues se trata de un sector en el que la evolución es la única constante. Sin embargo, las recientes acciones y tendencias dentro del mercado SIEM (gestión de eventos e información de seguridad) han hecho que todo el mundo se pare en seco, incluyendo a CISO, CXO, ejecutivos de MSSP y otros profesionales de la seguridad.
La oleada de actividad se inició en septiembre de 2023, cuando Cisco anunció su intención de adquirir Splunk. Posteriormente, en declaraciones casi consecutivas el 15 de mayo de 2024, LogRhythm y Exabeam hicieron pública su intención de fusionarse, y Palo Alto Networks reveló que iba a adquirir todo el negocio QRadar de IBM. Estos sucesos no sólo acaparan titulares, sino que además están transformando el panorama, incitando a los analistas a especular sobre la futura dirección de las soluciones de seguridad y obligando a los responsables de seguridad a tomar decisiones críticas inesperadas.
Comprender la tendencia a la consolidación en el mercado SIEM
La consolidación del mercado SIEM no es algo sin precedentes; los actores dominantes del mercado suelen adquirir empresas más pequeñas para integrar las tecnologías de su nicho. Sin embargo, estas recientes adquisiciones y fusiones de alto perfil no incluyen a ningún pez pequeño: todos son líderes establecidos en el mercado, lo que plantea interrogantes sobre las fuerzas que impulsan este cambio monumental.
Varios factores contribuyen a la transformación del mercado, entre ellos:
Los avances tecnológicos: Las soluciones SIEM tradicionales tienen dificultades para seguir el ritmo del complejo panorama de seguridad actual. Los equipos de seguridad actuales necesitan soluciones más avanzadas y sólidas con IA, machine learning(ML), automatización y amplias capacidades analíticas.
La complejidad de todo lo digital: La convergencia de las amenazas cibernéticas en constante evolución, el volumen excepcional de datos que se generan y la diversidad de los entornos informáticos están impulsando la necesidad de soluciones de seguridad que no sólo puedan seguir el ritmo, sino también predecir y anticiparse a posibles ataques.
Necesidad de soluciones integrales: Los pasos que han dado estas empresas apuntan hacia la integración de SIEM, SOAR y XDR en una plataforma de seguridad unificada. Los principales proveedores se esfuerzan por ofrecer una solución de «ventanilla única» para las operaciones de seguridad (SecOps) mediante la integración de las funcionalidades de detección, respuesta y análisis de amenazas.
Las soluciones que se derivarán de estas adquisiciones se ajustan perfectamente a los factores de cambio mencionados.
Adquisición de Splunk por parte de Cisco: Cisco planea integrar el SIEM de Splunk con su propia plataforma EDR y sus conocimientos de seguridad, lo que supone el paso de la detección reactiva de las amenazas hacia la predicción y prevención proactiva, algo necesario para combatir la rapidez y sofisticación de las amenazas emergentes.
Fusión de LogRhythm con Exabeam: La fusión supondrá la integración de una solución SIEM y de un sistema de análisis del comportamiento de usuarios y entidades (UEBA) de primer nivel, lo que mejorará sus capacidades conjuntas de detección, análisis y respuesta a amenazas.
Adquisición de IBM QRadar por parte de Palo Alto Networks: Puede que esta adquisición resulte sorprendente, teniendo en cuenta que QRadar de IBM es el tercer mayor proveedor SIEM, y que IBM realizó importantes inversiones para lanzar su suite QRadar orientada a la nube entre 2023 y 2024. A pesar de todas estas inversiones, la tecnología de QRadar se estaba quedando atrás frente a la competencia. Este acuerdo otorga a Palo Alto la propiedad de todas las herramientas de gestión de la seguridad de IBM, incluida la oferta EDR ReaQta, la inteligencia de amenazas de IBM Security X-Force, QRadar SOAR y Randori Recon, lo que posiciona a la empresa para dar pasos significativos en el espacio SIEM, ya que su Cortex XSIAM es relativamente nuevo en el mercado y aún carece de una base de clientes considerable.
El paso a otras tecnologías similares a SIEM
Aunque las fusiones están reestructurando el mercado, también están creando oportunidades para otras soluciones alternativas de gestión de la seguridad; empresas con tecnologías afines están rondando el mercado SIEM. Gartner destaca la tendencia de los proveedores de XDR a desarrollar sus propios SIEM, mientras que las empresas con capacidades de lago de datos de seguridad o experiencia en análisis o gestión de telemetría en la nube, ofrecen soluciones que podrían sustituir o complementar a los SIEM.
Implicaciones y consideraciones para los clientes de QRadar
La naturaleza abrupta del acuerdo Palo Alto-IBM ha cogido por sorpresa a los actuales clientes de QRadar, haciendo que muchos se sientan confusos y frustrados. Palo Alto Networks dijo que los clientes de QRadar SaaS y on-prem que cumplan los requisitos pueden migrar sin problemas a Cortex XSIAM sin ningún costo.
Una migración no tan perfecta
Mientras se intenta comprender quién ha pasado el corte final en la lista de clientes aptos, es importante reconocer el alcance y la complejidad reales de la migración SIEM, sus funciones y su historial, por ejemplo:
- Reglas de detección
Uno de los componentes principales que se debe valorar a la hora de realizar una migración son las reglas de detección, tanto las establecidas como las específicas. Los diferentes formatos pueden parecer el problema inicial en lo que respecta a las reglas, pero es la conversión o la reescritura de las reglas lo que puede llevar mucho tiempo y dar lugar a errores. Las reglas específicas adaptadas a las necesidades de cada cliente también pueden requerir un esfuerzo considerable para reproducirlas en XSIAM.
2. Informes, gráficos y paneles de control:
Es probable que los informes y los paneles de control existentes en IBM SIEM no se trasladen directamente a XSIAM. Reconstruirlos en XSIAM requiere recrear la lógica y las visualizaciones, lo que afecta a la experiencia del usuario durante la transición.
3. Fuentes de inteligencia sobre amenazas:
La compatibilidad entre IBM SIEM y XSIAM para las fuentes de inteligencia sobre amenazas requiere verificación. La integración podría requerir la reconfiguración o incluso la sustitución de algunas fuentes, lo que interrumpiría el flujo de datos sobre amenazas.
4. Flujos de trabajo SOAR:
Los flujos de trabajo de orquestación, automatización y respuesta de seguridad (SOAR) pueden ser incompatibles entre ambas plataformas. Reescribirlos para XSIAM puede ser una tarea compleja que requiera experiencia en seguridad.
5. Integraciones con terceros:
Es posible que las herramientas de seguridad de terceros integradas con IBM SIEM no dispongan de integración nativa con XSIAM. Esto requiere esfuerzos de reintegración o la búsqueda de herramientas alternativas, lo que puede causar problemas de compatibilidad y retrasos. Además, Palo Alto es conocido por su falta de integraciones, lo que obliga a muchos a cambiar sus soluciones de seguridad existentes por otras nuevas bajo el paraguas de Palo Alto.
6. Almacenamiento en frío y datos históricos:
La migración de los datos de seguridad existentes a XSIAM requiere una cuidadosa consideración debido al enorme volumen de datos que implica. Esta migración afectará a todos los registros utilizados anteriormente para establecer el comportamiento de referencia de la organización y los patrones de actividad únicos. El proceso podría requerir almacenamiento adicional o herramientas específicas para convertir el formato de los datos para su incorporación a XSIAM.
Consideraciones adicionales:
Formación de los usuarios: La migración a una nueva plataforma requiere volver a formar a los usuarios en la interfaz y las funcionalidades de XSIAM, lo que repercute en la productividad a corto plazo.
Tiempo de inactividad: Es probable que durante la migración se produzca un periodo de inactividad en el que las capacidades de supervisión de la seguridad sean limitadas. Incluso una vez restablecida, la puesta al día puede llevar meses.
Pruebas y validación: Después de la migración, es crucial realizar pruebas exhaustivas para garantizar que todo funciona según lo previsto, lo que se suma al tiempo total de migración.
Y aún hay más cosas que considerar, como los costos, que se presentan de diferentes formas, especialmente en un proceso tan complejo como una migración SIEM.
Evaluación y toma de decisiones
Antes de intentar evaluar la compatibilidad de Cortex XSIAM con las estrategias TDIR, los responsables de la toma de decisiones en materia de seguridad se encuentran en una encrucijada en la que primero deben reevaluar sus estrategias TDIR en relación con SIEM. La evolución del mercado SIEM y las soluciones disponibles, especialmente a través de un proveedor de servicios, pueden ofrecer no sólo un camino hacia una seguridad más avanzada, sino también reducir los costos iniciales y continuos de las operaciones de seguridad.
Aun así, los responsables de la seguridad deben sopesar la viabilidad y las repercusiones de la migración frente a la opción de buscar otros proveedores SIEM o similares que se ajusten a sus necesidades específicas, u optar por seguir con QRadar SaaS, sabiendo que su futuro es limitado. Forrester advierte de la «deuda técnica» para las empresas que se aferren a QRadar. Esencialmente, estarían basando su seguridad en un producto con un soporte futuro limitado que se acerca al final de su vida útil.
He aquí algunas consideraciones clave:
- Migración a Cortex XSIAM: La plataforma ofrece acceso a una tecnología de seguridad de última generación, con posibles características y funcionalidades mejoradas. Sin embargo, la migración es una tarea compleja e intrínsecamente disruptiva. El personal necesitará formación, los flujos de trabajo deberán rediseñarse y podrían introducirse vulnerabilidades durante la curva de aprendizaje, lo que podría aumentar el riesgo. Dado que Cortex XSIAM es más reciente, la ausencia de funcionalidades o la falta de madurez de la plataforma pueden plantear problemas de adaptación, especialmente para los profesionales más experimentados.
- Exploración de soluciones SIEM alternativas: Este camino implica evaluar la postura de seguridad y la pila tecnológica actuales y, a continuación, seleccionar un nuevo proveedor que se ajuste a las necesidades de seguridad específicas de la organización. Aunque este enfoque ofrece la posibilidad de encontrar la solución más adecuada, también requiere invertir tiempo y recursos en el proceso de selección y la posterior implementación.
- Migración a un servicio gestionado: Un proveedor de servicios puede reducir significativamente la carga de la migración, además de ofrecer una gestión integral de la seguridad. Pensada para liberar recursos internos informáticos y de seguridad que puedan centrarse en las funciones principales de la empresa, esta opción puede proporcionar la rentabilidad más rápida, al tiempo que ofrece soluciones de seguridad avanzadas y flexibles. Aunque este enfoque puede proporcionar los beneficios más rápidos y ofrecer soluciones de seguridad avanzadas y adaptables, tiene una contrapartida: se transfiere la propiedad de las operaciones de seguridad generales. Esta pérdida de control puede preocupar a algunas organizaciones.
Las amenazas en constante evolución deben afrontarse con soluciones avanzadas
La reciente ola de consolidación SIEM acentúa la necesidad crítica de que las organizaciones ejerzan la debida diligencia y tomen decisiones informadas. Las tecnologías SIEM, SOAR y XDR se están transformando rápidamente, y comprender sus capacidades y limitaciones es crucial para desarrollar una postura de seguridad sólida.
Para los CISO que deseen abrirse camino en este complejo escenario, las soluciones de detección y respuesta gestionada (MDR) y los servicios gestionados son una opción atractiva. Con una solución MDR, las organizaciones pueden librarse de toda la carga que supone la seguridad, desde la gestión de un SOC interno hasta el desafío constante de contratar y retener a expertos en análisis forense digital y respuesta a incidentes (DFIR). Las soluciones MDR impulsadas por IA o ML pueden aumentar la visibilidad, así como normalizar y correlacionar grandes cantidades de datos al tiempo que ofrecen detección precisa de amenazas, investigación, indicaciones de riesgo y medidas correctivas. Además, MDR garantiza el cumplimiento de las cambiantes normativas de seguridad. MDR es una opción ideal para las organizaciones que deseen liberar valiosos recursos internos, centrarse en las funciones empresariales básicas y reforzar su postura de seguridad, todo a la vez.
El futuro pertenece a aquellos que protegen sus activos digitales hoy, así que elija con sabiduría.