Al menos así es como AlienVault, una empresa privada de desarrollo de software con sede en San Mateo, California, Silicon Valley y oficinas en muchos países del mundo, dijo.
Pero, antes que nada, ¿qué es un SIEM?
SIEM significa Información de seguridad y gestión de eventos o Seguridad de la información y gestión de eventos.
OSSIM es por lo tanto un SIEM Open Source, como el acrónimo dice: Información de seguridad de código abierto y gestión de eventos... sistema.
Dejando a un lado las siglas y hablando para ser entendido, un SIEM no es más que un sistema de información que le permite realizar análisis de seguridad y administrar eventos a través de la recopilación de información sobre eventos de seguridad, la normalización de los datos recopilados y su correlación.
Para lograr el propósito para el cual se creó OSSIM, el software utiliza algunas funciones que tiene, entre ellas, las principales son:
- descubrimiento de activos, esa es la búsqueda automática de los recursos de TI de una organización;
- evaluación de vulnerabilidad, es decir, el control de las vulnerabilidades del sistema de información;
- detección de intrusiones, es decir, la búsqueda de cualquier actividad maliciosa realizada por usuarios o software no autorizados;
- monitoreo del comportamiento, ese es el control de comportamiento de los usuarios de un sistema;
- SIEM, la característica de gestión de eventos de seguridad real.
Por supuesto, como el mercado tiene cuidado de decirnos que las cosas gratis no siempre están a la altura de lo que se paga ... ¿pero entonces será cierto?
Es un hecho que en el mercado hay muchos fabricantes que se ocupan de SIEM, incluidos IBM, CorreLog, RSA, Splunk, Symantec, por nombrar solo algunos. Naturalmente, cada uno de ellos, para escucharlos, siempre tiene algo más o mejor que sus competidores. Están aquellos que son mejores en el análisis de los registros, que tienen más experiencia en la recopilación de información, que dice ser el mejor en la correlación de datos, y así sucesivamente.
Todos estos productos, ya sean Open Source o provistos bajo una licencia paga, utilizan una organización que puede proporcionar y recopilar información, adaptar programas a las necesidades del negocio o proporcionar servicios de seguridad pagos, en última instancia, lo que realmente importa son las personas que están detrás de él y el su capacidad de analizar y "conectar en red".
Puede ver esto al intentar configurar cualquier tipo de sistema usted mismo. A menudo necesitamos conocimiento de ingeniería tan motivado que solo no se puede combinar mucho. Luego nos dirigimos a las comunidades, grupos de seguidores, que a menudo dan su contribución gratis, por pasión.
Sin embargo, no siempre es aconsejable recurrir a una comunidad, en particular, no siempre es apropiado hacerlo en el campo de la seguridad y lo es aún menos cuando la información con respecto a una estructura organizacional está en juego.
Entonces, ¿cómo debemos comportarnos?
Gaste mucho dinero en licencias y asistencia, o ahorre dinero utilizando productos Open Source?
Personalmente creo que hay un punto medio.
Usar productos de código abierto puede, siempre que la organización que los emplea invierta en personal interno que debe ser capaz de comprender el funcionamiento y el uso del software que posiblemente participa en la primera persona dentro de la comunidad de desarrollo.
Entonces, lo que realmente marca la diferencia en el mundo de la defensa cibernética no es el software sino la capacidad de los ingenieros para configurar el software de acuerdo con diferentes situaciones y la capacidad de los analistas de "leer" la información que se esconde detrás de las enormes cantidades de datos recogidos, gracias a su experiencia y conocimiento de la organización para la que trabajan.
Son ellos los que todavía marcan la diferencia: los hombres con sus conocimientos, sus habilidades y su inventiva.
fuentes:
- https://www.alienvault.com/products/ossim;
- http://searchsecurity.techtarget.com/essentialguide/The-top-SIEM-product...
- https://www.splunk.com/en_us/resource/video.ltc2VpbzpiffiI6q6mOCggCf7sYA...
- http://www.securityweek.com/keyw-corporation-acquire-siem-vendor-sensage...
- https://www.gartner.com/doc/1679814/magic-quadrant-security-information-....
