¿Por qué «Sólo SIEM» no es suficiente?

Corina GuzmanAgo 5, 2024

Existe una connotación heredada asociada a SIEM que ha llevado a que los proveedores se anuncien como una iteración de una solución de próxima generación. ¿Pero es necesario? He estado luchando por encontrar soluciones que se clasificarían como “SIEM heredadas”, es decir, SIEM sin ningún tipo de automatización, capacidad de respuesta o capacidades o módulos de detección de anomalías.

Tiene sentido que SIEM aloje todas estas capacidades. Lo que no tiene sentido es este intento desfasado de diferenciar las soluciones actuales de las de 2015.

Echemos un vistazo rápido a cómo se llaman hoy las soluciones SIEM:

Fusión SIEM
SIEM de próxima generación
SIEM ha evolucionado
Defensa unificada SIEM
SaaS SIEM nativo de la nube
SIEM «no SIEM» (también conocida como plataforma de operaciones de seguridad unificada)

Entonces, ¿es esto un problema? Las diferentes tareas sobre los nombres de los productos no son nada nuevo, pero en este caso crean mucha confusión en el mercado. Primero, estos nombres inherentemente no significan nada. Claro, algunos ofrecen indicaciones, como «una plataforma SIEM SaaS nativa de la nube», pero en general, no existe una diferencia objetiva entre el SIEM de próxima generación y el SIEM evolucionado.

En segundo lugar, existen múltiples permutaciones de módulos que difieren de un proveedor a otro. Uno puede ofrecer SIEM + SOAR + UEBA, mientras que otro puede ofrecer SIEM + ASM + XDR. Si bien es fantástico tener productos de seguridad más completos, es posible que no necesite o no desee módulos adicionales.

Las soluciones SIEM «no SIEM» añaden otra capa de confusión, ya que estos productos hacen todo lo que hace una solución SIEM, pero no aparecerán cuando busque en Google «la mejor solución SIEM 2024». Otro desafío es demostrar a los reguladores, con fines de cumplimiento, que aunque lo que se utiliza para SIEM se llama plataforma SOC, es una solución SIEM.

Entonces sí, creo que agregar adjetivos antes de la palabra «SIEM» es un ejercicio inútil que crea más confusión en lugar de diferenciar un producto. Pero hay más.

SIEM y operaciones de seguridad

Al evaluar soluciones, es importante decidir si necesita «solo SIEM» o una herramienta unificada para automatizar su centro de operaciones de seguridad. Creo que deberíamos mantener SIEM como un término independiente que se centre principalmente en hacer lo que dice: gestión de información y eventos.

El propio SIEM puede ser parte de una plataforma de operaciones de seguridad más amplia junto con tecnologías como XDR, SOAR, UEBA y ASM. Sin embargo, por las mismas razones expuestas anteriormente, ya no deberíamos llamar a estas soluciones convergentes «SIEM».

Por este motivo, ajusté los informes de operaciones de seguridad en los que estaba trabajando, es decir, el radar SIEM y el radar SOC autónomo. SIEM se centra en evaluar las capacidades de las herramientas en relación con la gestión de la información. Seguimos incluyendo aspectos adicionales como la automatización y el análisis, pero siguen centrados en el alcance central en lugar de expandirse a capacidades UEBA o SOAR completas.

El SOC autónomo, por otro lado, es ahora un enfoque más independiente en comparación con su alcance anterior SIEM + SOAR. Evalúa las capacidades que necesita un centro de operaciones de seguridad para gestionar y automatizar sus actividades diarias. Se presta menos atención al cumplimiento y más a la respuesta, la orquestación y la supervisión de los usuarios.

Los siguientes pasos

Para obtener más información, eche un vistazo a los informes de radar y criterios clave SIEM de GigaOm. Estos informes brindan una descripción general completa del mercado, describen los criterios que debe considerar en una decisión de compra y evalúan el desempeño de varios proveedores en función de esos criterios de decisión.