Combinación de la tecnología IBM para gestionar mejor la ciberseguridad

Tras una exhaustiva evaluación del mercado en 2020, Data Action (DA), un proveedor de tecnología para bancos alternativos, adjudicó un contrato a Vectra, un especialista local en consultoría y servicios de seguridad, para un proyecto de actualización de la plataforma de gestión de eventos e información de seguridad (SIEM).

La solución SIEM elegida, IBM® Security QRadar, se implementó como dispositivos virtualizados utilizando VMware y el almacenamiento IBM FlashSystem. Aunque la implementación de QRadar en dispositivos virtualizados es habitual, el uso de controladores de almacenamiento FlashSystem de alto rendimiento para este tipo de carga de trabajo no lo es.

El uso de la tecnología patentada IBM FlashCore Module (FCM) de IBM para almacenar datos de QRadar ha tenido un impacto significativo en la capacidad del centro de operaciones de seguridad (SOC) para analizar las amenazas de seguridad. El efecto general sobre los tiempos de respuesta ha sido notable, en algunos casos contribuyendo a una reducción en el tiempo de análisis de horas a minutos en comparación con la solución SIEM anterior.

Sin embargo, solo es posible obtener perspectivas inteligentes y tiempos de respuesta rápidos cuando se dispone de los recursos informáticos y de almacenamiento adecuados. Las soluciones SIEM eficaces necesitan consumir grandes cantidades de datos, a menudo de entornos operativos complejos que abarcan recursos on premises y en la nube. Los complejos análisis necesarios para obtener mejores perspectivas requieren acceder a grandes cantidades de datos. En estos entornos, los tiempos de respuesta rápidos solo son posibles utilizando un almacenamiento de alto rendimiento y baja latencia.

Por estas razones, en 2020, tras una exhaustiva evaluación del mercado, DA implementó QRadar como la solución SIEM de la organización. La solución consistía en dispositivos virtuales dentro de un clúster VMware dedicado y el uso de almacenamiento FlashSystem para toda la retención de datos.

QRadar es una plataforma de gestión de la seguridad de redes que ofrece conciencia situacional y apoyo en materia de cumplimiento. QRadar utiliza una combinación de conocimiento de red basado en flujos, correlación de eventos de seguridad y evaluación de vulnerabilidades basada en activos.

En su informe Magic Quadrant for Security Information and Event Management, Gartner incluye a IBM entre los líderes en SIEM, y lo ha hecho durante 12 años consecutivos.

El portfolio FlashSystem es la gama de controladores de almacenamiento en bloques de IBM, con modelos adecuados para cargas de trabajo de nivel básico, de gama media y de gama alta. Todos los modelos utilizan el software IBM Spectrum Virtualize, procedente del IBM SAN Volume Controller, como software integrado del sistema. Al utilizar el mismo software, muchas características que normalmente solo se encuentran en las soluciones de gama alta también están disponibles en los modelos básicos y de gama media.

La tecnología IBM FlashCore constituye el núcleo de los modelos IBM FlashSystem 5200, 7200, 7300, 9200 y 9500.

IBM FlashCore es exclusiva de las soluciones de almacenamiento de IBM y, a diferencia de las unidades de estado sólido (SSD) que se utilizan en las all flash arrays de otros proveedores, el diseño del controlador emplea diversas técnicas para ofrecer un rendimiento excepcional y una mayor resiliencia.

• Disfrute de operaciones de E/S con una latencia de tan solo 70 microsegundos, lo que contribuye a eliminar los cuellos de botella en el rendimiento.
  
  
• Los FCM utilizan hardware integrado para la reducción de datos. La reducción de datos se produce tan rápido como se pueden escribir los datos en los módulos; no hay ningún impacto en el rendimiento.

Los FCM están diseñados para ofrecer una resistencia flash hasta siete veces mayor que una SSD básica estándar del sector, lo que se traduce en menos problemas para los clientes. Esto también significa que no es necesario dedicar tiempo a gestionar los fallos de los SSD ni a reconstruir las unidades.

DA ha evolucionado hasta convertirse en un proveedor especializado de software y servicios para algunos de los principales bancos challenger de propiedad de los clientes, agregadores y el sector religioso de Australia. La arquitectura flexible de la plataforma de DA permite una gran versatilidad gracias a integraciones de tipo “plug and play”. La suite de productos de DA ha pasado de ser una plataforma bancaria central a convertirse en un ecosistema bancario completo que respalda el objetivo de la empresa: “impulsar el core bancario y la banca digital para los bancos challenger de Australia”.

DA opera a nivel nacional con más de 200 empleados repartidos entre Adelaida, Sídney, Melbourne y Brisbane, y mejora la experiencia bancaria de más de 1,6m millones de australianos a través de sus plataformas bancarias y digitales, gestionando cada día 300 millones de transacciones de clientes en 2,6 millones de cuentas.

La oferta de DA es única: configura, migra, aloja, presta asistencia local, integra y mantiene servicios tecnológicos en entornos de nube privada y pública. Esto conlleva un modelo integral de eficacia probada, con un único responsable de la prestación de servicios, la gobernanza y la comunicación. De este modo, se eliminan los problemas de integración y la posible ambigüedad en la atribución de responsabilidades asociados a la creciente complejidad y a la interoperabilidad de un entorno de TI con múltiples proveedores.

El sólido enfoque de colaboración de DA garantiza que sus clientes puedan seguir mejorando continuamente los servicios que ofrecen a sus miembros. En la actualidad, DA cuenta con más de 200 partners en su plataforma para garantizar las mejores soluciones del sector con el fin de aumentar el valor para los miembros.

El enfoque de plataforma de mercado de DA permite flexibilidad y la elección de partners para mantener la competencia y la rapidez en la prestación de servicios, además de ofrecer a sus clientes colaboraciones adaptadas a sus necesidades. El equipo de colaboraciones de DA trabaja en estrecha colaboración con los equipos de producto, de clientes y de soluciones para garantizar que estas aporten valor tanto a los clientes como a sus miembros.

DA gestiona directamente una gran parte de la superficie de exposición a internet de sus clientes del sector de los servicios financieros. Como consecuencia, DA cuenta con una perspectiva única y puede observar los patrones de las amenazas a medida que se propagan por el sector mutualista.

DA ofrece una sólida capacidad de ciberseguridad de múltiples niveles para proteger sus servicios bancarios alojados. Los procesos de DA garantizan un funcionamiento riguroso y fiable de los controles preventivos, así como capacidades ensayadas, estructuradas y extendidas a toda la organización para detectar, responder y recuperarse en caso de que se produzca un incidente.

DA protege sus productos mediante una amplia gama de servicios y tecnologías de seguridad para garantizar la seguridad de los negocios de sus clientes y de sus usuarios. Entre ellos se incluyen firewalls para aplicaciones web, firewalls de próxima generación y protección de endpoints, monitorización integral de la seguridad, gestión de vulnerabilidades y pruebas de penetración externas periódicas.

El SIEM es una plataforma crítica para DA, ya que proporciona capacidades de ciberseguridad mediante:

• La ingesta y el procesamiento de un volumen muy elevado de datos de actividad procedentes del entorno de DA.
  
  
• La realización de análisis de seguridad sobre dichos datos para intentar identificar y alertar a DA de posibles actividades maliciosas en el entorno.
  
  
• La comparación de la actividad en el entorno de DA con indicadores de compromiso conocidos para alertar a DA de una posible violación de seguridad.
  
  
• La habilitación de la clasificación de alertas de seguridad y la realización de investigaciones forenses.
  
  
• El almacenamiento de datos de eventos de seguridad con alta resiliencia e integridad para cumplir con los requisitos de cumplimiento de DA.
  
  
• El apoyo a diversos equipos para analizar la actividad en todo el entorno con el fin de ayudar en la resolución de problemas operativos.

Sin una plataforma sólida, DA tendría menos posibilidades de detectar incidentes de seguridad y su eficacia a la hora de responder a los incidentes de seguridad detectados se vería reducida. Además, DA no podría cumplir los requisitos de cumplimiento relativos a la monitorización y la conservación de los datos relevantes para la seguridad.

La implementación de SIEM que este proyecto reemplazó era una solución basada en dispositivos de hardware que se acercaba al fin de vida útil.

Las áreas clave en las que DA deseaba mejorar con la actualización eran las siguientes:

•  Reducir la carga administrativa relacionada con el mantenimiento de la ingesta de datos mediante la selección de una plataforma que contara con una amplia biblioteca de analizadores sintácticos listos para usar que se adaptaran a sus fuentes de datos.
  
  
• Mejorar los casos de uso de monitorización de seguridad listos para usar con el fin de reducir la carga administrativa.
  
  
• Elegir una plataforma que hubiera demostrado una inversión y una actividad de I+D continuas.
  
  
• Mejorar la resiliencia general de la ingesta de datos.
  
  
• Eliminar el acoplamiento con el hardware para mejorar las limitaciones en la ampliación de la capacidad de almacenamiento. El coste de ampliar el almacenamiento en la plataforma heredada para alcanzar un rendimiento relativo era muy poco competitivo en comparación con la tecnología de almacenamiento actual.
  
  
• Mejorar el rendimiento de las consultas complejas y de gran volumen. Era habitual que una consulta tardara 12 horas, lo que podía dificultar el tiempo de respuesta en caso de una vulneración. Se había diagnosticado que la limitación del rendimiento del almacenamiento se debía al uso de discos magnéticos.
  
  
• Mejorar la capacidad de realizar investigaciones forenses en conjuntos de datos antiguos. La capacidad de copia de seguridad y recuperación de la plataforma heredada era de todo o nada, lo que hacía extremadamente difícil restaurar datos fuera del periodo de retención actual.

QRadar funciona principalmente en torno al concepto de recopilar, analizar y analizar eventos y flujos.

Los eventos son datos que indican que se ha producido algo de interés, como el paso de datos a través de un firewall de red, el inicio de sesión de usuarios en los sistemas o el acceso a bases de datos. Los eventos son los datos fundamentales de los SIEM. Los eventos son generados por dispositivos, como routers de red y servidores, así como por aplicaciones. Los registros son bases de datos que contienen datos de eventos.

Los flujos son datos de paquetes de red obtenidos mediante la conexión directa a dispositivos de red y la supervisión del tráfico que pasa a través de ellos. Los flujos contienen información como la dirección IP de origen y destino, la cantidad de datos transferidos e incluso la aplicación que se está utilizando. Los flujos pueden resultar cruciales para detectar determinados tipos de ataques. Tenga en cuenta que no se captura ni se almacena el paquete de red en sí, sino únicamente la cabecera, es decir, los primeros cientos de bytes de una transmisión de red.

Para comprender mejor cómo procesa QRadar los datos que recibe de los servidores y los dispositivos de red, considere que el funcionamiento del sistema IBM Security QRadar se divide en tres capas:

• Recopilación de datos
  La recopilación de datos es la capa que recoge datos de seguridad, como eventos y flujos, procedentes de la red del cliente. Esta capa recopila, analiza y normaliza los datos antes de reenviarlos a la siguiente capa para su posterior procesamiento y almacenamiento.

• Proceso de datos
  Una vez recopilados los datos, la capa de procesamiento lleva a cabo el procesamiento en tiempo real de los datos de eventos y flujos utilizando el motor de reglas personalizadas (CRE) de QRadar. El CRE se encarga de generar infracciones y alertas. Esta es también la capa en la que los datos se escriben en el almacenamiento.
  
  El proceso de datos de QRadar se realiza en paralelo, a través de varios procesadores. Una arquitectura en la que los datos se almacenan cerca del procesador, y en la que la búsqueda y la correlación se realizan a través de múltiples procesadores de forma altamente distribuida, contribuye de manera significativa al alto rendimiento general del sistema.

• Búsquedas de datos
  La capa superior es la consola y proporciona la interfaz de usuario de QRadar. El resultado de los datos recopilados y procesados se presenta a través de paneles de control, informes y búsquedas. La consola muestra las investigaciones de infracciones y puede generar alertas. Los administradores utilizan la consola para gestionar QRadar.

Esta segmentación se aplica a cualquier estructura de implementación de QRadar, independientemente del tamaño, la complejidad, el número de fuentes de registro o de módulos que tenga instalados o asociados.

Como se ha mencionado anteriormente, Gartner incluyó a QRadar como líder en SIEM en su informe Magic Quadrant for Security Information and Event Management. QRadar es reconocido como líder por muchas razones, pero la gestión avanzada de índices del producto es una de sus características más destacadas.

El valor de la indexación se maximiza una vez que se comprende qué datos buscan los usuarios y, a continuación, se habilitan los índices para las propiedades que se buscan con mayor frecuencia. La característica de gestión de índices proporciona estadísticas a los administradores sobre qué propiedades se están buscando y qué búsquedas utilizan índices. Los administradores pueden entonces habilitar, ajustar o incluso deshabilitar índices para mejorar el rendimiento general.

Frente a los beneficios que supone habilitar la indexación para propiedades adicionales, también existen posibles inconvenientes. La indexación adicional afecta al rendimiento del sistema cuando se escriben datos y requiere capacidad de almacenamiento adicional. Mediante el uso de los FCM de IBM, ambos inconvenientes se mitigan de forma eficaz. Diseñados para entornos empresariales de alto rendimiento, los FCM son capaces de consumir de forma constante grandes volúmenes de datos al tiempo que aplican compresión de datos en línea; gracias al uso de E/S acelerada por hardware, los FCM son únicos en su capacidad para lograr todo esto sin penalizar el rendimiento.

DA ha implementado la solución SIEM QRadar en un clúster dedicado de VMware compuesto por dos servidores físicos dedicados. Los requisitos de almacenamiento del entorno se satisfacen mediante un IBM FlashSystem 7200 dedicado conectado directamente a los hosts.

Aunque es posible su implementación en una arquitectura totalmente tolerante a fallos, la solución SIEM, tal y como está implementada actualmente, solo cuenta con una recopilación y recuperación de registros de alta disponibilidad. Los dispositivos QRadar Processor y QRadar Console no disponen de redundancia, pero, al tratarse de dispositivos virtuales, tendrán la flexibilidad de poder migrar entre hosts ESXi.

La evaluación del proyecto de actualización del SIEM de DA incluyó pruebas para establecer referencias sobre los tiempos de respuesta de las acciones que suelen llevarse a cabo durante la investigación de casos. Ahora que la solución QRadar está plenamente operativa, se registraron las acciones realizadas durante una reciente investigación de alta prioridad. Para cada acción, se anotaron los siguientes datos:

• El periodo histórico durante el cual se ejecutó la consulta de cada acción
  
  
• El tamaño de los conjuntos de datos analizados (cuando procedía)
  
  
• El tiempo que tardaron las acciones en completarse

El periodo histórico y los tamaños de los conjuntos de datos se publican para proporcionar contexto sobre la complejidad y la escala del análisis que se está llevando a cabo.

A efectos comparativos, el equipo de ciberseguridad de DA proporcionó tiempos de finalización relativos para aquellos casos en los que existía una acción equivalente en el SIEM anterior. Aunque lo ideal habría sido comparar los resultados de ambos sistemas SIEM mediante pruebas paralelas, esto no fue posible, ya que la solución SIEM anterior quedó fuera de servicio una vez que QRadar entró en funcionamiento.

Si bien se reconoce que los tiempos de finalización citados para la solución SIEM anterior son estimaciones, siguen siendo relevantes por varias razones:

• Los tiempos de finalización estimados se basan en el criterio de miembros del equipo altamente cualificados que estaban muy familiarizados con ambos sistemas.
  
  
• Como parte del proyecto de actualización del SIEM de DA, se comparó el rendimiento relativo de QRadar con el del sistema existente; la mejora significativa en el rendimiento general fue un factor importante en la elección definitiva de ese producto frente a otras posibles soluciones.
  
  
• Se han conservado los registros y los datos de la solución SIEM anterior, y pueden utilizarse para verificar el rendimiento en acciones equivalentes.

Sin embargo, lo más relevante es que los tiempos de ejecución de todas las acciones comparables en QRadar son de un orden de magnitud más rápidos que los del sistema SIEM anterior. Es razonable argumentar que, incluso si se añade un amplio margen de error a los tiempos de ejecución estimados indicados para la solución SIEM anterior, las acciones de QRadar se completan en un tiempo significativamente menor. Lo que antes tardaba horas en completarse, ahora se realiza en minutos. Del mismo modo, aquellos informes que tardaban minutos en generarse ahora se completan en segundos.

En 2020, DA llevó a cabo un proyecto para sustituir su anterior solución SIEM. Si bien la planificación de negocio de toda organización requiere una estrategia de ciberseguridad sólida, no se puede subestimar la importancia de esta para una organización que presta servicios bancarios básicos a cooperativas de crédito, bancos y otras instituciones financieras. Tras un exhaustivo proceso de evaluación, DA adjudicó un contrato a Vectra para sustituir su solución SIEM existente por QRadar, ejecutándose en un entorno virtualizado y utilizando almacenamiento FlashSystem.

Tanto en las pruebas de referencia iniciales como en el uso real, la implementación de QRadar ha demostrado ser una herramienta extremadamente eficaz y potente para investigar incidentes relacionados con la seguridad. La implementación de los componentes de QRadar dentro de un clúster de VMware ofrece numerosos beneficios: una menor huella física y menores costes de energía, junto con una mayor flexibilidad y escalabilidad futura. Al incorporar el almacenamiento FlashSystem equipado con la tecnología IBM FCM, DA se beneficia de soluciones diseñadas para ofrecer un alto rendimiento y fiabilidad.

Mediante una combinación de las capacidades de optimización de índices de QRadar y una plataforma de almacenamiento de alto rendimiento, DA ha logrado reducir significativamente los tiempos de ejecución de las consultas habituales de minutos a segundos. Esto ha dado lugar a mejoras demostrables en todo tipo de casos de uso de SIEM en DA, incluyendo la respuesta a incidentes, las revisiones periódicas del entorno y la generación de informes. Un análisis más rápido de los eventos de seguridad da lugar a una mejor clasificación y respuesta ante los incidentes, lo que se sabe que reduce el impacto global. Las revisiones más rápidas del entorno reducen el tiempo dedicado y la frustración de los analistas de seguridad, lo que les permite disponer de más tiempo para el trabajo productivo.

Gracias a la adopción de QRadar y la tecnología IBM FlashCore, DA ahora ejecuta análisis de incidentes y genera informes en una fracción del tiempo que tardaba la solución SIEM anterior. Dado que el coste medio de una vulneración de datos asciende a millones de dólares, el valor empresarial de cualquier solución que ayude a ofrecer tasas de detección más rápidas es evidente, ya que proporciona un ahorro potencial en términos de tiempo y dinero.

Si bien la implementación de controladores de almacenamiento FlashSystem equipados con FCM es un factor significativo, sería simplista afirmar que esa es la única razón de las mejoras en el rendimiento. Las mejoras en el rendimiento también pueden atribuirse al propio producto QRadar, especialmente en lo que respecta a sus capacidades de gestión de índices. Sean cuales sean las causas de los niveles de mejora en el rendimiento, la combinación de tecnologías de IBM ha demostrado, en el caso de DA, ser muy eficaz para cumplir las metas y objetivos de seguridad de la organización.

Exjefe de ciberseguridad, Data Action

Simeon Finch (licenciado en Informática, MCSE, VCAP) es el antiguo director de ciberseguridad de DA, con responsabilidad integral sobre el equipo de ciberseguridad, las tecnologías, los procesos de cumplimiento y la estrategia.

Simeon cuenta con más de 20 años de experiencia en diversas funciones de TI, entre las que se incluyen el liderazgo técnico, la arquitectura y el liderazgo en ciberseguridad. Simeon cuenta con la certificación TOGAF y es arquitecto de seguridad colegiado por la SABSA, y ha colaborado en proyectos a gran escala, como el Centro de Infraestructuras Críticas del Gobierno Federal en materia de legislación sobre ciberseguridad en el sector energético y la banca abierta en los servicios financieros.

Analista jefe de ciberseguridad, DA

Lucien Dabrowski es el analista jefe de ciberseguridad de DA, donde se encarga de la monitorización de la seguridad y la gestión de incidentes, velando por el cumplimiento de los requisitos normativos y de conformidad en materia cibernética, así como por la mejora continua de la madurez de la ciberseguridad de DA para permitir la prevención, detección, respuesta y recuperación eficaces ante las ciberamenazas.

Lucien cuenta con más de 8 años de experiencia en ciberseguridad y una trayectoria profesional en infraestructuras de TIC. Es un defensor de las soluciones SIEM, habiendo diseñado, implementado y gestionado múltiples plataformas SIEM a gran escala. Lucien ofrece activamente asesoramiento y orientación tecnológica tanto en DA como en la comunidad en general.

Especialista técnico de productos, IBM

Brendan Scott (MIT, licenciado en Ingeniería) es especialista técnico de productos en IBM, y su labor se centra principalmente en prestar apoyo a clientes y socios de Australia y Nueva Zelanda en relación con el portfolio de productos de almacenamiento de IBM Systems.

Brendan cuenta con más de 25 años de experiencia en diversos puestos del sector de las tecnologías de la información y en distintos sectores industriales. A lo largo de sus 10 años de trayectoria en IBM, Brendan ha contribuido a maximizar el valor para los clientes y socios que utilizan soluciones de hardware y software de IBM, proporcionándoles asesoramiento y orientación técnica.

Director de soluciones de ciberseguridad, Vectra

Jesse es responsable de la adopción general, el asesoramiento, la implementación y el soporte continuo de las soluciones de seguridad y los servicios de seguridad gestionados pertinentes. Trabaja en estrecha colaboración con los equipos de consultoría de seguridad, pruebas de penetración, centro de operaciones de seguridad (SOC) y respuesta a incidentes de Vectra para prestar apoyo a la cartera de clientes de Vectra en la región de Australia y Nueva Zelanda.

DA es una empresa tecnológica constituida como cooperativa en 1986 por un grupo de cooperativas de crédito y bancos mutualistas locales de Australia con el fin de prestar servicios bancarios básicos. Este orgulloso legado (el de haber sido creada por y para las entidades mutualistas) sigue siendo el núcleo del negocio de DA en la actualidad.

Vectra es una empresa líder en ciberseguridad de propiedad y gestión australiana. Ofrece servicios de consultoría especializada, servicios de seguridad gestionados y soluciones de seguridad en toda la región de Asia-Pacífico desde el año 2001. El equipo de Vectra cuenta con una amplia gama de experiencia y capacidades, entre las que se incluyen, entre otras, la consultoría en gobierno, riesgo y cumplimiento (GRC), pruebas de penetración y evaluación de vulnerabilidades, seguridad de endpoints, seguridad de redes, seguridad de identidades, seguridad en la nube, SIEM gestionado y respuesta ante incidentes.