Si hay una tecnología tan necesaria como denostada, esta es la de los SIM/SIEM. Algunas razones que hacen que una tecnología tan prometedora nos genere hoy unas sensaciones agridulces cuando no agrias en su conjunto, son tecnológicas; pero no todas. Y en su combinación reside la tormenta perfecta. Logtrust se ha aproximado al problema que plantean los SIM/SIEM y ofrece una solución realmente diferente.

Problemas del SIM/SIEM

Tiempos de puesta en marcha de meses

Son tecnologías complejas en dos de las tres facetas involucradas en la ecuación: exigen un inventario y conocimiento de qué tengo en mi organización, qué datos estoy generando, donde están y cómo los puedo extraer para sacarles valor. Una vez resuelto este punto, queda configurar, ajustar y personalizar la herramienta, lo que no suele ser tarea baladí.

Exceso de expectativas

Es muy habitual pensar –afortunadamente cada vez menos– que el SIEM nos los resuelve todo o casi; y eso no es verdad. Tal vez sea en par te culpa de cómo se explican estas tecnologías. Suele suceder que al SIEM se le piden dos cosas y solo sabe hacer una bien: la Correlación de datos; pero tan importante como esto es la búsqueda y extracción de información en tus datos, una vez que sabes o sospechas que algo está pasando. Esto los SIEM, lo hacen realmente mal, con unos tiempos de consulta desastrosos, herramientas de visualización muy pobres y limitaciones notables. En cierto modo es como pedirle a un vehículo a motor que nos sirva para trabajar el campo y para ir por un circuito a toda velocidad. Lo puedes pretender, pero no lo vas a conseguir.

Reglas e informes “estándar”

Esta es una de las métricas no oficiales habituales para medir un SIEM. ¿Cuántas alertas e informes vienen? ¡Así, al peso! Lo que suele ocurrir es que pasado el momento de excitación inicial, cuando después de 3-6 meses desplegándolo quieres ver algo, lo activas todo. Al rato te das cuenta de que genera tal overhead de información no útil que empiezas a desactivar cosas, y a los 6 meses tendrás un conjunto mas o menos pulido de alertas que te habrás construido tú (con más o menos acierto y esfuerzo dependiendo de la tecnología seleccionada) adecuada a tu arquitectura y sistemas, porque las redes son complejas y cada empresa tiene tal volumen de particularidades que lo genérico rara vez sirve para algo, y cuando sirve es para detectar obviedades. ¿De qué vale que te alerten de un port-scan? ¿Vas a hacer algo con ello?

Indexación aun más tradicional

En nuestra experiencia, no solo la mía, sino la de todo el equipo de Logtrust, un usuario solo suele consultar un 5% de los datos que ingesta al día; eso sí, lo hace n veces hasta el punto que el volumen de información computada en un día es de media unas 20-30 veces el volumen ingestado. Esto es en parte, porque cuando consultas no solo lo haces en el día actual, sino que has de ir atrás en el tiempo, algo clave.
Así que, si no los vas a casi a consultar, ¿para qué indexarlos? La respuesta obvia es para que las consultas sean más rápidas. Pero esto no es verdad. La indexación tradicional consume tanto, que los índices ocupan casi tanto como los datos; consultar el índice es un penar constante y lo más importante: ¡vas a definir hoy cómo vas a necesitar consultar los datos en el futuro! No conocemos el siguiente ataque, ni siquiera cómo vamos a necesitar buscar los datos del anterior y necesitamos aprovechar y tener un buen rendimiento consultando por cualquier campo.

Dimensionamiento

¿Cómo dimensionar lo que no conoces? No conoces el siguiente ataque, el siguiente incidente; así, ¿cómo vas a dimensionar tu SIEM? Pues para lo “normal”, para la “media”. Esto vuelve a ser una paradoja, porque cuando tienes un problema no estás en modo “normal” (y si lo estás es que tienes un problema aun mayor);así que lo que sucede es que el SIEM más o menos rinde (para lo que sabe hacer) cuando casi no lo necesitas, porque cuando estás sufriendo un incidente no suele estar dimensionado para él. Podrías estarlo, sobredimensionando para esos picos que no conoces, pero no suele ser habitual y en momentos de recorte presupuestario, menos.

Visión limitante de la seguridad

En cierto modo es una consecuencia de puntos anteriores. Al ir a modelos de datos normalizados con modelos de indexación tradicionales, añadir información “no estándar” –la que se genera en todas y cada una de las empresas– es muy costoso en recursos computacionales, de parseo, etc. La paradoja aquí es que es en esta información donde suele estar el mayor valor para detectar e investigar un incidente y los SIEM no te permiten tener una visión end to end de tu actividad, desde la infraestructura hasta el negocio. Lo habitual suele ser que generen alertas basadas en la información procedente de dispositivos de seguridad bien conocidos, y que enriquecerlo con tus propios datos sea, o bien muy complejo o simplemente una quimera.

Modelo de negocio

Los modelos de negocio basados en CAPEX se adaptan mal a demandas elásticas en ingesta y necesidades de cómputo en los datos, y los de seguridad se ajustan a esta definición como un guante. Por el contrario los modelos flexibles de pago por uso y crecimiento flexible, como suscripción, permiten empezar con muy muy poco y solo seguir usando el sistema si de verdad le sacas partido. Y si no te vas.

Aproximación a los datos “tradicional”…

Por no decir otra cosa. Los modelos normalizados de datos son la aproximación fácil al problema y solemos confundir “ver” los datos normalizados con que estos “se almacenen” normalizados. Nada tiene que ver.

La aproximación de logtrust

Como es obvio, nuestra aproximación al fundar Logtrust fue dar una solución a todos y cada uno de los problemas anteriormente citados.

Logtrust no es un SIEM en el Cloud. Para empezar porque Logtrust tiene 3 modos de implantación: Full Cloud, Full OnPremisse (como un servicio gestionado) o híbrido, en el que tienes los datos y parte de nuestro software en tus datacenters y la consola y visualización en el cloud. Además se pueden compaginar estos modos y tener ciertos datos en el cloud y otros en los datacenters y/o conmutar de un modo a otro en segundos.

Logtrust es un BigData en tiempo real orientado solo a eventos. No somos un BigData genérico donde puedes meter cualquier tipo de dato. Logtrust es solo para almacenar eventos vinculados al tiempo. Y como es obvio, todos los logs están fuertemente anclados en el tiempo; y no solo los logs. KPI’s de rendimiento, IT Operations&Analitycs, Internet of things, etc. son parcelas en las que todos los datos que generan están anclados al tiempo y en las que no tiene sentido analizar dichos datos desvinculados de cuando sucedió cada evento.

Por tanto Logtrust no es solo una solución de Log Management, sino que va mucho más lejos.De hecho, solo el 40% de los datos que ingestamos diariamente son logs; el resto son datos de otra índole y mayoritariamente con formatos propietarios de cada cliente.

En Logtrust se pueden ingestar datos de cualquier formato (no tenemos que conocerlo para que puedas ingestarlo, consultarlo y generar gráficos o alertas de los mismo), cualquier volumen de datos al día y tener todos los datos disponibles todo el tiempo que sea necesario. No importa si estamos hablando de días o años.Todo el trasiego de datos se hace de la forma más segura: con los datos dentro de un canal TLS con una autenticación cruzada con dos certificados digitales.
Logtrust es puro tiempo real, no se simula. Nuestra arquitectura distribuida hace que cuando estamos analizando eventos, de cualquier tipo, el usuario pueda literalmente “jugar” con los datos, visualizarlos y dar saltos en el tiempo en apenas segundos cuando a nuestros competidores análisis similares les llevarían horas de trabajo. Todo esto desde un interfaz en el que se pueden realizar
desde las consultas más complejas hasta las visualizaciones más avanzadas sin necesidad de conocer un lenguaje de consulta o programación,
todo 0-code y de forma visual.

La integración está muy presente en Logtrust, y por ello el 90% de Logtrust es accesible a través de API’s abiertas, que permiten conectar Logtrust con ArcSight, Q-Radar, Splunk en el entorno SIEM;y también con herramientas de BI como Tableau, QlickView o PowerBi.

Aumentar y complementar al SIEM

Nuestro foco no se basa en sustituir a las tecnologías SIEM implantadas en las empresas; a veces se hace y cuando sucede es una decisión del cliente al darse cuenta de que después de unos meses usando Logtrust el 80% de su operativa se ha visto desplazada desde su SIEM hacia nuestra solución haciendo más con menos. Logtrust permite una integración con todas las tecnologías SIEM del mercado, de forma que ambas pueden convivir en un mismo entorno aumentándose la una a la otra.

Existen dos formas de integración dependiendo de cuál sea el destino primigenio de los datos:

La integración “fácil”

En este caso, dada una instalación existente, se configura el SIEM para que todos los datos los reenvíe en tiempo real hacia Logtrust a través de sus mecanismos de envío. Unas veces es simplemente un reenvío de syslog y en otras es algo más sofisticado.

Tiene la ventaja de la inmediatez, puede resolverse en unos pocos minutos u horas (dependiendo de la instalación en el cliente) y pocos segundos después el cliente ya podría conectarse a Logtrust y empezar a visualizar sus datos, generar consultas complejas, definir métricas y alertas o crear dashboards. Igualmente en unos pocos segundos podría unir sus datos con los de negocio dentro de Tableau o PowerBi.
La desventaja es que la mayoría de los SIEM van a enviar los datos en su formato normalizado (CEF o LEF) y, por tanto, se pierde el formato nativo dentro de Logtrust. Eso impide que pueda actuar como tercera parte confiable con un formato de los datos por bloques temporales o volumen de eventos, de forma que los eventos tengan una validez judicial al estar firmados criptográficamente y con un sellado temporal.

Otra desventaja es que tu SIEM va a recibir todo y, en consecuencia, va a sufrir la sobrecarga de recibir datos que solo va a guardar (con la degradación de rendimiento que le supone, exponencial en muchos casos). Esta aproximación tiene un impacto económico, puesto que vas a tener que pagar por los datos que le mandas al SIEM, los use éste o no, e incluso en algunos casos, la funcionalidad de reenviar los datos a otra plataforma tiene una licencia extra de coste nada despreciable.

La integración óptima

En este caso, todos los datos se envían a Logtrust (en cualquiera de las tres modalidades de despliegue) y dentro de Logtrust se define que datos enviar al SIEM en tiempo real. Puedes enviarlos todos o solo una parte de ellos de forma que consigues ahorrar costes en licencias, hacer que tu SIEM vaya más fluido al no recibir datos innecesarios y, además, guardas los datos en su formato nativo. Esto posibilita usar herramientas de terceros con los datos o que la migración de un SIEM a otro sea trivial, puesto que mantienes una copia de los datos tal y como salieron en origen.
Con esta aproximación, toda la analítica de datos, hunting de amenazas, análisis forenses sobre eventos pasados…, se realizará en Logtrust eliminando ese trabajo del SIEM, que no está pensado para ese tipo de funcionalidades.
Pasar de horas en un análisis a segundos no es solo una cuestión de comodidad o tiempo.
Si tu equipo de analistas tarda, ya no digamos una hora, sino 15 minutos en cada paso de sus análisis, ¿cuántos pasos va a dar antes de perder el foco o ponerse con otra cosa? Probablemente unos pocos en el mejor de los casos. Si por el contrario, puede realizar estos análisis en tiempo real, con un tiempo de respuesta de segundos, probablemente va a analizar la amenaza en todas sus dimensiones para de verdad entender cuál es el problema, dónde nació, cómo mitigarlo y lo más importante, cómo estar más y mejor preparado para las posteriores amenazas.
Logtrust viene con un conjunto de reglas estándar; aunque su valor está en la facilidad con la que el cliente puede crear nuevas reglas adaptadas a su arquitectura, su modelo de seguridad y sus sistemas. Del mismo modo puede compaginar las alertas generadas por su SIEM con las que define en Logtrust para disponer de una arquitectura más robusta. Incluso podría medir el SLA de su SIEM usando Logtrust, al definir las mismas alarmas en ambos sistemas (cosa que recomendamos hacer).
El rendimiento es uno de los pilares de nuestra tecnología. 150.000 EPS por core en ingesta de datos, +1.000.000 EPS por core en consulta de datos y +60.000 EPS por core en correlación avanzada de eventos. (Sí, nosotros también tenemos un correlador, pero no es la correlación típica de un SIEM, y explicarlo daría para otro artículo).
Este rendimiento hace palidecer las consultas efectuadas por la competencia. En un benchmark reciente con uno de nuestros clientes, enfrentamos Logtrust a uno de los productos SIEM líder del mercado y los resultados fueron convertir 2560s analizando 150M de eventos de un proxy en 6s usando Logtrust con los mismos cores y con 4 veces más concurrencia en Logtrust.
Un modelo de negocio Pay as you Grow, permite empezar a utilizar Logtrust mañana con cero costes de inversión y un coste mínimo y crecer a medida que “ves” como puedes extraer valor de tus datos, sin necesidad de dimensionar la plataforma en la que vamos a recibir todos los eventos que se generen, independientemente de lo que tengas contratado, con 0 downtime y sin costes ocultos. Toda la operativa de la plataforma es parte de nuestra licencia y, por tanto, está incluida en el coste. La licencia incluye toda la operación de la plataforma, así como el hardware que la soporta.

Logtrust en números

Actualmente Logtrust computa del orden de 4 petabytes de datos al día recibiendo ráfagas sostenidas de más de un millón de eventos por segundo. +7000 consultas concurrentes en todos y cada uno de los segundos de un día.
Logtrust está disponible en diferentes entornos Cloud, tanto Amazon AWS, Microsoft Azure o Telefónica VirtualDataCenter en España, Irlanda, Virginia y Alemania.

Publicado en Revista SIC Ciberseguridad, Seguridad de la Información y Privacidad, nº 125 Junio 2017

2017-06-27T10:40:38+00:00