Combinar la tecnología de IBM para gestionar mejor la ciberseguridad

Después de una exhaustiva evaluación del mercado en 2020, Data Action (DA), un proveedor de tecnología para bancos alternativos, adjudicó un contrato a Vectra, un especialista local en consultoría y servicios de seguridad, para un proyecto de actualización de la plataforma de gestión de eventos e información de seguridad (SIEM).

La solución SIEM elegida, IBM® Security QRadar, se desplegó como dispositivos virtualizados con VMware y almacenamiento IBM FlashSystem. Si bien el despliegue de QRadar en dispositivos virtualizados es común, el uso de controladores de almacenamiento FlashSystem de alto rendimiento para este tipo de carga de trabajo no lo es.

El uso de la tecnología IBM FlashCore Module (FCM), propiedad de IBM para almacenar datos de QRadar ha tenido un impacto significativo en la capacidad del centro de operaciones de seguridad (SOC) para analizar las amenazas de seguridad. El efecto general en los tiempos de respuesta ha sido notable, en algunos casos contribuyendo a una reducción en el tiempo de análisis de horas a minutos en comparación con la solución SIEM anterior.

Sin embargo, los insights inteligentes y los tiempos de respuesta rápidos solo son posibles cuando se proporcionan recursos informáticos y de almacenamiento adecuados. Las soluciones SIEM eficaces necesitan ingerir grandes cantidades de datos, a menudo de entornos operativos complejos que abarcan recursos on premises y en la nube. Los analytics necesarios para obtener mejores insights requieren acceder a grandes cantidades de datos. En estos entornos, los tiempos de respuesta rápidos solo son posibles mediante un almacenamiento de alto rendimiento y baja latencia.

Fue por estas razones que en 2020, luego de una evaluación exhaustiva del mercado, DA desplegó QRadar como la solución SIEM de la organización. La solución consistía en dispositivos virtuales dentro de un clúster VMware dedicado y el uso de almacenamiento FlashSystem para toda la retención de datos.

QRadar es una plataforma de gestión de seguridad de red que proporciona concientización situacional y soporte de cumplimiento. QRadar utiliza una combinación de conocimiento de red basado en flujos, correlación de eventos de seguridad y evaluación de vulnerabilidades basada en activos.

En su informe Magic Quadrant for Security Information and Event Management, Gartner enumera a IBM como líder en SIEM, y lo ha hecho durante 12 años consecutivos.

La cartera de FlashSystem es la gama de controladores de almacenamiento en bloques de IBM, con modelos adecuados para cargas de trabajo de nivel básico, de gama media y de gama alta. Todos los modelos utilizan el software IBM Spectrum Virtualize Software de IBM SAN Volume Controller para el software del sistema integrado. Como resultado del uso del mismo software, muchas características normalmente encontradas solo en soluciones de gama alta también están disponibles en los modelos básicos y de gama media.

En el centro de los modelos IBM FlashSystem 5200, 7200, 7300, 9200 y 9500 se encuentra la tecnología IBM FlashCore.

IBM FlashCore es exclusivo de IBM Storage, y a diferencia de las unidades de estado sólido (SSD) utilizadas en las matrices all flash de otros proveedores, el diseño del controlador utiliza una variedad de técnicas para proporcionar un rendimiento excepcional y una mayor resiliencia.

• Experimente E/S con latencia tan baja como 70 microsegundos, lo que ayuda a eliminar los cuellos de botella de rendimiento.
  
  
• Los FCM utilizan hardware integrado para la reducción de datos. La reducción de datos ocurre tan rápido como se pueden escribir datos en los módulos; no hay impacto en el rendimiento.

Los FCM están diseñados para ofrecer una resistencia flash hasta siete veces mayor que una SSD básica estándar de la industria, lo que se traduce en menos problemas para los clientes. También significa que no es necesario dedicar tiempo a lidiar con SSD defectuosas y reconstrucciones de unidades.

DA ha evolucionado hasta convertirse en un proveedor especializado de software y servicios para algunos de los principales bancos retadores propiedad de los clientes, agregadores y el sector religioso de Australia. La arquitectura de plataforma flexible de DA permite la opcionalidad a través de integraciones “plug and play”. La suite de productos de DA ha progresado de plataformas bancarias centrales a un ecosistema bancario completo que sustenta el propósito de la empresa: “impulsar la banca central y digital para los bancos retadores de Australia”.

DA opera a nivel nacional con más de 200 empleados en Adelaida, Sídney, Melbourne y Brisbane y mejora la experiencia bancaria de más de 1.6 millones de australianos a través de sus plataformas bancarias centrales y digitales, impulsando 300 millones de transacciones de clientes en 2.6 millones de cuentas cada día.

La oferta de DA es única; configura, migra, aloja, soporta localmente, integra y mantiene servicios de tecnología en un entorno de nube privada y pública. Esto implica un modelo integral de eficacia probada, con un único responsable de la capacidad de servicios, la gobernanza y la comunicación. Esto elimina los problemas de integración y la posible responsabilidad por los problemas asociados a la creciente complejidad e interoperabilidad de un entorno de TI con múltiples proveedores.

El sólido enfoque de asociación de DA asegura que sus clientes conserven la capacidad de mejorar continuamente sus servicios a los miembros. En la actualidad, DA cuenta con más de 200 socios en su plataforma para garantizar las mejores soluciones del mercado y generar valor para sus miembros.

El enfoque de plataforma de mercado de DA permite flexibilidad y elección de socios para mantener la tensión competitiva y la velocidad de entrega, y proporciona asociaciones adecuadas para el propósito de sus clientes. El equipo de asociaciones de DA trabaja en estrecha colaboración con los equipos de productos, clientes y soluciones para garantizar que las soluciones brinden valor a los clientes y sus miembros.

DA gestiona directamente una gran parte de la superficie de Internet de sus clientes de servicios financieros. Como resultado, DA tiene un insight único y puede observar patrones de amenaza a medida que se mueven por el sector mutuo.

DA ofrece una capacidad de ciberseguridad sólida y multicapa para proteger sus servicios bancarios alojados. Los procesos de DA garantizan una operación rigurosa y confiable de los controles preventivos, así como capacidades ensayadas, estructuradas y a nivel organizacional para detectar, responder y recuperar si ocurre un incidente.

DA protege sus productos utilizando una gama completa de servicios y tecnologías de seguridad para mantener seguros los negocios de sus clientes. Estos incluyen cortafuegos de aplicaciones web, cortafuegos de próxima generación y protección de punto final, monitoreo integral de seguridad, gestión de vulnerabilidades y pruebas periódicas de penetración externa.

El SIEM es una plataforma fundamental para DA, que permite desarrollar capacidades de ciberseguridad a través de:

• Ingesta y procesamiento de un volumen muy alto de datos de actividad del entorno DA.
  
  
• Realizar analytics de seguridad en esos datos para tratar de identificar y alertar a DA sobre actividades potencialmente maliciosas en el entorno.
  
  
• Comparar la actividad en el entorno de DA con indicadores conocidos de compromiso para alertar a DA sobre una posible violación de seguridad.
  
  
• Permitir la clasificación de alertas de seguridad y la investigación forense.
  
  
• Almacenar datos de eventos de seguridad con alta resiliencia e integridad para cumplir con los requisitos de DA.
  
  
• Apoyar a varios equipos para analizar la actividad en todo el entorno para ayudar con la resolución de problemas operativos.

Sin una plataforma sólida, DA tendría una probabilidad reducida de detectar incidentes de seguridad y una eficacia reducida en responder a los incidentes de seguridad identificados. DA tampoco podría cumplir con los requisitos para el monitoreo y retención de datos relevantes para la seguridad.

La implementación del SIEM que reemplazó este proyecto era una solución basada en dispositivos de hardware que se acercaba al fin de la vida útil.

Las áreas de enfoque clave que DA quería mejorar con la actualización eran:

•  Reducir la sobrecarga en el mantenimiento de la ingesta de datos seleccionando una plataforma con una biblioteca sólida de analizadores listos para usar que coincidan con sus fuentes de datos.
  
  
• Mejorar los casos de uso de monitoreo de seguridad predeterminados para reducir la carga administrativa.
  
  
• Elegir una plataforma que haya demostrado I+D e inversión continuas.
  
  
• Mejorar la resiliencia general de la ingesta de datos.
  
  
• Eliminar el acoplamiento hardware para mejorar las restricciones en la expansión de la capacidad de almacenamiento. El costo de ampliar el almacenamiento en la plataforma heredada para obtener un rendimiento relativo era muy poco competitivo en comparación con la tecnología de almacenamiento actual.
  
  
• Mejorar el rendimiento de consultas complejas y de gran tamaño. Era común que una consulta tardara 12 horas, lo que podía dificultar el tiempo de respuesta durante una violación. Había diagnosticado la limitación del rendimiento del almacenamiento resultante de la ejecución de discos magnéticos.
  
  
• Mejorar la capacidad para realizar investigaciones forenses sobre conjuntos de datos antiguos. La capacidad de copia de seguridad y recuperación en la plataforma heredada era todo o nada, lo que hacía que restaurar datos fuera del periodo de retención actual fuera extremadamente complicado.

QRadar funciona principalmente en torno al concepto de recopilación, análisis y análisis de eventos y flujos.

Los eventos son datos que indican que ocurrió algo de interés, como que se permitan datos a través de un cortafuegos de red, que los usuarios se registren en sistemas y que se acceda a bases de datos. Los eventos son los datos fundamentales de los SIEM. Los eventos son generados por dispositivos, como enrutadores y servidores de red, así como por aplicaciones. Los registros son bases de datos que contienen información sobre eventos.

Los flujos son datos de paquetes de red que se obtienen conectándose directamente a los dispositivos de red y supervisando el tráfico que pasa por ellos. Los flujos contienen información como la dirección IP de origen y destino, la cantidad de datos transferidos e incluso la aplicación que se utiliza. Los flujos pueden ser cruciales para detectar ciertos tipos de ataques. Tenga en cuenta que el paquete de red real no se captura ni se almacena; solo sucede con el encabezado, o los primeros cientos de bytes de una transmisión de red.

Para comprender mejor cómo QRadar procesa los datos que recibe de los servidores y dispositivos de red, piense en la operación de IBM Security QRadar como segmentada en tres capas:

• Recopilación de datos
  La recopilación de datos es la capa que recopila datos de seguridad, como eventos y flujos, obtenidos de la red del cliente. Esta capa recopila, analiza y normaliza los datos antes de enviarlos a la siguiente capa para su posterior procesamiento y almacenamiento.

• Procesamiento de datos
  Una vez recopilados los datos, la capa de procesamiento lleva a cabo el procesamiento en tiempo real de los datos de eventos y flujos mediante el Custom Rules Engine (CRE) de QRadar. El CRE es responsable de generar delitos y alertas. Esta es también la capa en la que se escriben los datos en el almacenamiento.
  
  El procesamiento de datos de QRadar se realiza en paralelo, a través de múltiples procesadores. Una arquitectura que tiene un almacén de datos cerca del procesador, con búsquedas y correlaciones que se realizan en múltiples procesadores de manera altamente distribuida, es un contribuyente significativo al alto rendimiento general del sistema.

• Búsquedas de datos
  La capa superior es la consola y proporciona la interfaz de usuario de QRadar. El resultado de los datos que se recopilan y procesan se presenta a través de paneles, informes y búsquedas. La consola da a conocer la investigación de delitos y puede generar alertas. Los administradores utilizan la consola para gestionar QRadar.

Esta segmentación se aplica a cualquier estructura de despliegue de QRadar, independientemente del tamaño, la complejidad, el número o las fuentes de registro o módulos que tenga instalados o conectados.

Como se mencionó anteriormente, Gartner incluyó a QRadar como líder de SIEM en su informe Magic Quadrant for Security Information and Event Management. QRadar es reconocido como líder por muchas razones, pero la gestión avanzada de índices del producto es una de sus características destacadas.

El valor de la indexación se maximiza una vez que se entiende qué datos buscan los usuarios y luego se habilitan índices para las propiedades buscadas con frecuencia. La característica de gestión de índices proporciona estadísticas a los administradores sobre qué propiedades se están buscando y qué búsquedas utilizan índices. Los administradores pueden habilitar, ajustar o incluso deshabilitar los índices para mejorar el rendimiento general.

Además de los beneficios que ofrece habilitar la indexación para propiedades adicionales, también existen posibles inconvenientes. La indexación adicional afecta el rendimiento del sistema cuando se escriben los datos y requiere capacidad de almacenamiento adicional. Mediante el uso de IBM FCM, ambos inconvenientes se mitigan de manera efectiva. Diseñados para entornos empresariales de alto rendimiento, los FCM son capaces de ingerir volúmenes de datos constantemente altos mientras aplican compresión de datos en línea; al usar E/S acelerada por hardware, los FCM son únicos en su capacidad para lograr todo esto sin ninguna penalización en el rendimiento.

DA desplegó la solución QRadar SIEM dentro de un clúster VMware dedicado compuesto por dos servidores físicos dedicados. Los requisitos de almacenamiento para el entorno se aprovisionan desde un IBM FlashSystem 7200 dedicado conectado directamente a los hosts.

Si bien es capaz de desplegarse en una arquitectura totalmente tolerante a fallas, la solución SIEM tal como se despliega actualmente solo tiene recopilación y recuperación de registros de alta disponibilidad. Los dispositivos QRadar Processor y QRadar Console no tienen redundancia, pero como dispositivos virtuales tendrán la flexibilidad de poder migrar entre hosts ESXi.

La evaluación del proyecto de actualización de SIEM de DA incluyó pruebas que tomaron como punto de referencia los tiempos de respuesta de las acciones que normalmente se realizan al investigar casos. Con la solución QRadar ahora en pleno funcionamiento, se registraron las acciones emprendidas durante una reciente investigación de alta prioridad. Con cada acción, se anotaban los siguientes datos:

• El periodo histórico durante el que se ejecutó la consulta de cada acción
  
  
• El tamaño de los conjuntos de datos analizados (cuando corresponda)
  
  
• El tiempo que tarda en completar las acciones

El periodo histórico y los tamaños de los conjuntos de datos se publican para contextualizar la complejidad y escala del análisis que se está realizando.

A efectos comparativos, el equipo de ciberseguridad de DA proporcionó tiempos de finalización relativos para los que hubo una acción equivalente dentro del SIEM anterior. Si bien comparar los resultados en ambos sistemas SIEM mediante la ejecución de pruebas en paralelo hubiera sido ideal, esto no fue posible ya que la solución SIEM anterior se desmanteló una vez que QRadar estuvo operativo.

Si bien reconocer que los tiempos de finalización citados para la solución SIEM anterior son estimaciones, siguen siendo relevantes por varias razones:

• Los tiempos estimados de finalización se basan en la valoración de miembros del equipo altamente cualificados que conocían muy bien ambos sistemas.
  
  
• Como parte del proyecto de actualización de SIEM de DA, se probó el rendimiento relativo de QRadar frente al sistema existente: la mejora significativa en el rendimiento general fue un factor importante en la elección final de ese producto sobre otras soluciones potenciales.
  
  
• Los registros y datos de la solución SIEM anterior se han conservado y se pueden utilizar para verificar el rendimiento en acciones equivalentes.

Sin embargo, lo más relevante es que los tiempos de finalización de todas las acciones comparables en QRadar son órdenes de magnitud más rápidos que los del sistema SIEM anterior. Es razonable argumentar que incluso si se agrega un gran margen de error a los tiempos de finalización estimados enumerados para la solución SIEM anterior, las acciones de QRadar se completan en un tiempo significativamente menor. Lo que antes tardaba horas en completarse ahora lleva minutos. Del mismo modo, los informes que tardaban minutos en ejecutarse ahora se completan en segundos.

En 2020, DA llevó a cabo un proyecto para reemplazar su solución SIEM anterior. Si bien la planificación comercial de cada organización necesita una estrategia sólida de ciberseguridad, no se puede subestimar la importancia para una organización que brinda servicios bancarios centrales para cooperativas de crédito, bancos y otras instituciones financieras. Tras un exhaustivo proceso de evaluación, DA adjudicó un contrato a Vectra para sustituir su solución SIEM actual por QRadar, que se ejecuta en un entorno virtualizado y utiliza almacenamiento FlashSystem.

Tanto en las pruebas iniciales de evaluación comparativa como en el uso en vivo, el despliegue de QRadar ha demostrado ser una herramienta extremadamente eficaz y poderosa para investigar eventos relacionados con la seguridad. El despliegue de los componentes de QRadar dentro de un clúster de VMware ofrece muchos beneficios: una huella física más pequeña y menores costos de energía con mayor flexibilidad y escalabilidad futura. Al incorporar el almacenamiento FlashSystems con tecnología IBM FCM, DA se beneficia de soluciones diseñadas para un alto rendimiento y confiabilidad.

Mediante una combinación de capacidades de optimización de índices de QRadar y una plataforma de almacenamiento de alto rendimiento, DA ha podido reducir significativamente los tiempos de ejecución de consultas comunes de minutos a segundos. Esto ha dado lugar a mejoras demostrables en todos los tipos de casos de uso de SIEM en DA, incluida la respuesta a incidentes, las revisiones periódicas del entorno y la elaboración de informes. Un análisis de eventos de seguridad más rápido da como resultado una mejor clasificación y respuesta a incidentes, lo que se sabe que reduce el impacto general. Las revisiones más rápidas del entorno reducen el tiempo y la frustración de los analistas de seguridad, creando más tiempo para trabajo productivo.

Mediante la adopción de la tecnología QRadar e IBM FlashCore, DA ahora ejecuta análisis e informes de incidentes en fracciones del tiempo que la solución SIEM anterior era capaz de hacer. Cuando el costo promedio de una filtración de datos es de millones de dólares, el valor para el negocio de cualquier solución que ayude a ofrecer tasas de detección más rápidas es evidente, lo que brinda ahorros potenciales en términos de tiempo y dinero.

Si bien el despliegue de controladores de almacenamiento FlashSystem equipados con FCM es un factor importante, es demasiado simplista afirmar que esa es la única razón de las mejoras de rendimiento. Las ganancias de rendimiento también pueden atribuirse al propio producto QRadar, especialmente con respecto a sus capacidades de gestión de índices. Independientemente de las causas de los niveles de mejora del rendimiento, la combinación de tecnologías de IBM ha demostrado en el caso de DA ser muy eficaz para cumplir con las metas y objetivos de seguridad de la organización.

Exdirector de ciberseguridad, Data Action

Simeon Finch (BCompSc, MCSE, VCAP) es exdirector de ciberseguridad en DA, con responsabilidad de extremo a extremo para el equipo de ciberseguridad, las tecnologías, los procesos de cumplimiento y la estrategia.

Simeon tiene más de 20 años de experiencia en una variedad de funciones de TI, incluido el liderazgo técnico, la arquitectura y el liderazgo en ciberseguridad. Simeon está certificado por TOGAF y es arquitecto de seguridad colegiado por SABSA, y contribuyó a proyectos a gran escala como el Centro de Infraestructura Crítica del Gobierno Federal sobre legislación de ciberseguridad en el sector energético y la banca abierta en servicios financieros.

Analista líder de ciberseguridad, DA

Lucien Dabrowski es el analista líder de ciberseguridad en DA, responsable del monitoreo de seguridad y el manejo de incidentes, así como de garantizar el cumplimiento de los requisitos regulatorios y cibernéticos, y de la mejora continua de la madurez de ciberseguridad de DA para permitir la prevención, detección, respuesta y recuperación efectivas de las amenazas cibernéticas.

Lucien tiene más de 8 años de experiencia en ciberseguridad con experiencia en infraestructura ICT. Es evangelista del SIEM, ya que diseñó, implementó y operó múltiples plataformas SIEM a gran escala. Lucien ofrece activamente mentoría y orientación tecnológica tanto en DA como en la comunidad en general.

Especialista técnico de productos, IBM

Brendan Scott (MIT, BEng) es especialista técnico de productos en IBM, con un enfoque principal en apoyar a clientes y socios en A/NZ con la cartera de IBM Systems Storage.

Brendan tiene más de 25 años de experiencia en diversos roles e industrias de TI. A lo largo de sus 10 años de trayectoria en IBM, Brendan ha contribuido a maximizar el valor que obtienen los clientes y socios de las soluciones de hardware y software de IBM, brindándoles asesoramiento y orientación técnica.

Gerente de soluciones de ciberseguridad, Vectra

Jesse es responsable de la adopción general, el asesoramiento, la implementación y el soporte continuo de soluciones de seguridad y servicios de seguridad gestionados relevantes. Trabaja en estrecha colaboración con los equipos de consultoría de seguridad, pruebas de penetración, centro de operaciones de seguridad (SOC) y respuesta a incidentes de Vectra para apoyar a la base de clientes de Vectra en la región de ANZ.

DA es una empresa de tecnología fundada como cooperativa en 1986 por un conjunto de cooperativas de crédito y bancos mutualistas locales en Australia para albergar servicios bancarios centrales. Esta orgullosa tradición (la de haber sido fundada por las mutuas y para las mutuas) sigue siendo hoy en día el núcleo de la actividad de DA.

Vectra es una empresa líder australiana de ciberseguridad. Brinda servicios de consultoría especializada, servicios de seguridad gestionados y soluciones de seguridad en toda Asia Pacífico desde 2001. El equipo de Vectra ofrece una amplia gama de experiencia y capacidades, que incluyen, entre otras, consultoría de gobernanza, riesgo y cumplimiento (GRC), pruebas de penetración y evaluación de vulnerabilidades, seguridad endpoint, seguridad de red, seguridad de identidad, seguridad en la nube, SIEM gestionado y respuesta a incidentes.