• No results found

5. CHAPTER 5 METHODS OF ASSESSMENT

5.2 Risk assessment

5.4.2 Specific clinical observations

5.4.2.3 Observing the perineum

Conclusiones del trabajo.

A lo largo del presente TFM se ha logrado demostrar las ventajas que supone el tener implementado un sistema SIEM dentro de una organización. Además, se ha podido ver hacia donde van encaminados los esfuerzos de las empresas que desarrollan este tipo de sistemas, y qué ventajas nos van a proporcionar. Se ha podido ver también, que es factible por un coste reducido, el tener una solución SIEM con cierta madurez. Sí hay que indicar, que dada la madurez de estos sistemas, es imposible el crear una solución personalizada que se acerque en sus capacidades a las soluciones comerciales, con un coste en recursos humanos y monetarios que compensen el no contratar un servicio profesional.

También ha quedado demostrado que, el SIEM tiene que ser una herramienta que nos facilite nuestra labor dentro del campo de la seguridad, pero de momento no pueden sustituir la creación de la Inteligencia a nivel de seguridad corporativa. Gracias al machine learning, se van a conseguir detectar más fácilmente ciertos tipos de amenazas, al igual que gracias a los SOAR, se va a poder ser más rápidos en las respuestas ante incidentes en sus fases iniciales. Pero ninguna de las dos características hace que tengamos que excluir la importancia de las políticas de seguridad, del desarrollo de una arquitectura robusta, o del expertise de los analistas a la hora de detectar lo que cada día es más habitual, que son ataques más complejos y evolucionados.

Logros obtenidos.

Al final hemos podido lograr el objetivo principal que se buscaba con el presente trabajo. Por un lado, se ha conseguido transmitir la situación actual y futuro cercano de las soluciones SIEM. Por otro, se ha mostrado detalladamente la forma en que una organización puede aunar un Data Lake y un SIEM dentro de una organización a coste relativamente bajo.

Si es cierto que, este ahorro en costes siempre tiene un lado negativo. Y este es que el trabajo de creación e implementación se multiplica, sin llegar a cotas de funcionalidad que nos da una solución comercial de última generación. Esto último ha hecho que obviamente no se haya podido implementar un SIEM enteramente funcional. Pero esto en sí es obvio, dado que ya solo la implementación de la arquitectura del Elastic como de Splunk, llevaría mucho tiempo y recursos dedicados dentro de una organización. No hay que olvidar que, existen empresas en parte dedicadas a realizar estas funciones, y que se tardan muchas jornadas en poder implementarlo dentro de una organización. A esto hay que sumarle las horas de creación de la inteligencia a añadir al SIEM. La creación de los eventos notables, alertas, Dashboards, Playbooks, … deben de ser desarrollados por un equipo especializado y multidisciplinar dentro del

campo de la TI. Esto obviamente no puede quedar reflejado dentro de un TFM limitado a tan pocas horas.

A modo de resumen, por tanto se puede llegar a la conclusión de que se ha cumplido completamente con los objetivos iniciales que se buscaban con la realización del proyecto.

Planificación y seguimiento del trabajo.

A nivel de planificación, se ha conseguido respetar los tiempos que se habían marcado inicialmente. El tener claro lo que había que hacer, y la forma de hacerlo, ha ayudado en su consecución.

Sí es cierto que como se ha comentado antes, se cumplen correctamente con los tiempos si consideramos que el objetivo del proyecto es dejar constancia de una metodología un marco de trabajo futuro. Es obvio que, si se hubiera pretendido realizar un proyecto completo de una solución SIEM para ser puesta en producción, no hubiera sido ni realista ni factible el haberlo planteado dentro de un TFM.

Líneas de trabajo futuro.

Acabamos de ver que, la implementación de un sistema SIEM eficiente, es muy complejo.

Lo más importante a la hora de desarrollar un sistema SIEM es la aplicación de inteligencia. Inteligencia a nivel de determinar qué fuentes y con qué información deben de ser indexadas dentro del sistema. Inteligencia a la hora de determinar de entre todos los eventos, cuáles son realmente interesantes para ser considerados como eventos notables. E inteligencia a la hora de determinar qué alertas se pueden generar en base a estos últimos.

Todo el sistema es como un ente vivo, en el que la mejora continua y la evaluación debe de ser un objetivo constante a conseguir. Tanto los sistemas, como las amenazas evolucionan a lo largo del tiempo, y debemos adaptarnos a dichos cambios, intentando incluso anticiparnos en ciertos aspectos.

Sí es cierto, que la complejidad de los sistemas SIEM están alcanzado cotas tan altas, que sin apoyarnos en soluciones comerciales, va a ser muy difícil el poseer soluciones eficaces.

Esto último se ve perfectamente en el uso del machine learning, y de los sistemas SOAR. Sobre todo el primero, no es factible el poder adaptarlo a un solución open source debido a su complejidad, y a que en el fondo, el SIEM es una herramienta más del SOC, que nos facilita el objetivo último de securizar y proteger una organización. Pasa exactamente lo mismo a nivel de automatización de respuesta, si bien los SOAR se basan en programación a nivel del API, el trabajo que debería de desarrollarse a nivel de desarrollo e implementación dentro de una organización para crear algo parecido a esto

sería tan grande que debería de haber un único equipo dedicado en exclusividad. Esto no tiene sentido a nivel de costes-beneficio.

Por tanto, el planteamiento futuro del presente trabajo debe de estar destinado a fomentar y desarrollar los aspectos relacionados con la inteligencia, adaptándolos a aquellos lugares donde normalmente un SIEM genérico no llega. Es decir, adaptándolo a las propias necesidades de la organización donde se está implementando esta solución.

En base a todo esto, se deben abordar como acción primaria, la determinación de todos los eventos notables junto con sus alertas, que se pueden implementar en el sistema donde se desarrolle. Buscando en todo momento cubrir todas las posibles debilidades organizativas existentes, y centrándose en experiencias pasadas y posibles objetivos futuros, para proteger de forma proactiva la organización.

Y en base a lo anterior, se deberán crear nuevas alertas dentro de Splunk, desarrollando sus correspondientes procedimientos de actuación.

También se deberán desarrollar y profundizar todo lo relacionado con el enriquecimiento de las alertas a través de los knowledge objects de Splunk, y las posibilidades de automatización que nos dan el uso de ciertas Apps.

Esta implementación, junto con el ahorro en costes del planteamiento, más un equipo altamente cualificado, hará que la organización que implemente esta solución se acerque a niveles de madurez elevados, sin un gran coste económico. Siempre entendiendo, que será muy complicado llegar al nivel que se tendría con una solución SIEM comercial de tercera generación.