Las 6 mejores herramientas de administración de seguridad de ITIL en 2020

ITIL es un marco relativamente extenso y muy completo para la gestión de servicios de TI. Originario del Reino Unido y diseñado para servir tanto al gobierno como a empresas privadas, es un conjunto de procesos, recomendaciones y prácticas altamente estructurados. Se divide en varias áreas específicas con la gestión de seguridad que no es más que uno de los muchos aspectos de la misma. Pero como la seguridad es un tema tan importante, especialmente cuando se considera la escena moderna de amenazas y cómo son las organizaciones constantemente atacado por hackers sin escrúpulos: hemos decidido echar un vistazo a algunas de las mejores administraciones de seguridad de ITIL herramienta.

Comenzaremos explicando en mayor detalle qué es ITIL antes de pasar al área específica de la administración de seguridad de ITIL. A continuación, presentaremos el concepto de información de seguridad y gestión de eventos, describiremos en qué consiste y explicaremos cómo puede relacionarse con la gestión de seguridad de ITIL. Finalmente llegaremos a la parte interesante y presentaremos una revisión rápida de algunas de las mejores herramientas de administración de seguridad de ITIL, describiendo las mejores características y funcionalidades de cada herramienta.

ITIL en pocas palabras

ITIL, que solía significar Biblioteca de Infraestructura de Tecnología de la Información, comenzó en los años 80 como un esfuerzo de la Computadora Central del Gobierno del Reino Unido y Agencia de Telecomunicaciones (CCTA) para desarrollar un conjunto de recomendaciones y prácticas estándar para la gestión de servicios de TI en el gobierno y el sector privado como bien. Se originó como una colección de libros, cada uno cubriendo una práctica específica dentro de la gestión de servicios de TI y se construyó alrededor de una vista basada en un modelo de proceso de control y gestión de operaciones.

Inicialmente compuesto por más de 30 volúmenes, luego se simplificó y se agruparon los servicios, reduciendo el número de volúmenes a 5. Todavía está en constante evolución y el último libro de la Fundación de la versión se publicó en febrero pasado, ITIL agrupa varios elementos de la gestión de servicios de TI en prácticas, con ITIL Security Management siendo solo uno de muchos.

Sobre ITIL Security Management

En cuanto al proceso ITIL de gestión de seguridad, “describe el ajuste estructurado de la seguridad de la información en la gestión organización." Se basa en gran medida en el código de prácticas para el sistema de gestión de seguridad de la información (SGSI) ahora conocido como ISO / IEC 27001.

El objetivo principal de la gestión de seguridad es, obviamente, garantizar la seguridad de la información adecuada. Y a su vez, el objetivo principal de la seguridad de la información es proteger los activos de información contra los riesgos, manteniendo así su valor para la organización. Por lo general, esto se expresa en términos de garantizar su confidencialidad, integridad y disponibilidad, pero también con propiedades u objetivos relacionados, como autenticidad, responsabilidad, no repudio y fiabilidad.

Hay dos aspectos principales de la gestión de seguridad. En primer lugar, los requisitos de seguridad que podrían definirse dentro del nivel de servicio. acuerdos (SLA) u otros requisitos especificados en contratos, legislación, así como internos o externos políticas El segundo aspecto es simplemente la seguridad básica que garantiza la gestión y la continuidad del servicio. Está algo relacionado con el primer aspecto, ya que es necesario lograr una gestión de nivel de servicio simplificada para la seguridad de la información.

Si bien la gestión de seguridad de ITIL es un concepto amplio, está algo más circunscrito en el contexto de las herramientas de software. Cuando se habla de herramientas de administración de seguridad, pueden venir a la mente varios tipos de herramientas. Sin embargo, un tipo parece ser más interesante que los demás: herramientas de información de seguridad y gestión de eventos (SIEM).

Presentación de la información de seguridad y gestión de eventos (SIEM)

En su forma más simple, la información de seguridad y la gestión de eventos es el proceso de gestión de información y eventos de seguridad. Concretamente, un sistema SIEM no proporciona ninguna protección real. Esto es diferente, por ejemplo, del software antivirus que impide activamente que los virus infecten los sistemas protegidos. El objetivo principal de SIEM es facilitar la vida de los administradores de redes y seguridad. Un sistema SIEM típico simplemente recopila información de varios sistemas, incluidos los dispositivos de red y otros sistemas de detección y protección. Luego correlaciona toda esta información, reuniendo eventos relacionados, y reacciona a eventos significativos de varias maneras. Los sistemas SIEM también incluyen algún tipo de informes y, lo que es más importante, paneles y subsistemas de alerta.

Qué hay en un sistema SIEM

Los sistemas SIEM varían mucho de un proveedor a otro. Sin embargo, hay un cierto número de componentes que parecen estar presentes en muchos de ellos. No todos incluirán todos esos componentes y, cuando lo hagan, podrían funcionar de manera diferente. Revisemos algunos de los componentes más importantes (y más comunes) de los sistemas SIEM con mayor detalle.

Log Collection and Management

La recopilación y gestión de registros es sin duda el componente más importante de un sistema SIEM. Sin ella, no hay SIEM. Lo primero que debe hacer un sistema SIEM es adquirir datos de registro de una variedad de fuentes diferentes. Puede extraerlo (utilizando, por ejemplo, un agente instalado localmente) o diferentes dispositivos y sistemas pueden llevarlo a la herramienta SIEM.

Dado que cada sistema tiene su propia forma de categorizar y registrar datos, la siguiente tarea de la herramienta SIEM es normalizar los datos y hacerlos uniformes, sin importar de dónde provengan. La forma en que se realiza ese paso varía principalmente según el formato original de los datos recibidos.

Una vez que se normaliza, los datos registrados a menudo se compararán con los patrones de ataque conocidos en un intento de reconocer el comportamiento malicioso lo antes posible. Los datos también se pueden comparar con los datos recopilados previamente, lo que ayuda a construir una línea de base que mejorará aún más la detección de actividad anormal.

Respuesta al evento

Una cosa es detectar eventos pero, una vez que se detecta un evento, se debe iniciar algún proceso de respuesta. De esto se trata el módulo de respuesta a eventos de la herramienta SIEM. La respuesta al evento puede tomar muchas formas. En su implementación más básica, se generará un mensaje de alerta en el tablero del sistema. Las alertas por correo electrónico o SMS también se pueden generar como respuesta principal.

Sin embargo, los mejores sistemas SIEM van un paso más allá y normalmente pueden iniciar algún tipo de proceso correctivo. Nuevamente, esto es algo que puede tomar muchas formas. Los mejores sistemas tienen un sistema de flujo de trabajo de respuesta a incidentes completo que se puede personalizar, proporcionando exactamente el tipo de respuesta que necesita. La respuesta al incidente no tiene que ser uniforme y diferentes eventos, o diferentes tipos de eventos, pueden desencadenar diferentes procesos. Las principales herramientas SIEM pueden brindarle un control completo sobre el flujo de trabajo de respuesta a incidentes.

Informes

Una cosa es tener una recopilación y gestión de registros y tener un sistema de respuesta a eventos, pero también necesita otro elemento importante: los informes. Aunque todavía no lo sepa, necesitará informes; Claro y simple. Los ejecutivos de su organización necesitarán que vean por sí mismos que su inversión en un sistema SIEM está dando sus frutos. Pero eso no es todo, es posible que también necesite informes para fines de conformidad. Cumplir con estándares como PCI DSS, HIPAA o SOX es mucho más fácil cuando su sistema SIEM puede generar informes de conformidad.

Los informes pueden no estar en el centro de todos los sistemas SIEM, pero siguen siendo uno de sus componentes esenciales. En realidad, la presentación de informes es uno de los principales factores diferenciadores entre los sistemas competidores. Los informes son como dulces, nunca puedes tener demasiados. Al evaluar los sistemas, observe qué informes están disponibles y cómo se ven y tenga en cuenta que los mejores sistemas le permitirán crear informes personalizados.

Tablero

El último componente importante de la mayoría de las herramientas SIEM es el panel de control. Es importante ya que es su ventana al estado de su sistema SIEM y, por extensión, a la seguridad de su entorno de TI. Podríamos haber dicho paneles, con una S, así como podría haber varios paneles disponibles en algunos sistemas. Diferentes personas tienen diferentes prioridades e intereses y el tablero perfecto para un administrador de red será diferente al de un administrador de seguridad. Del mismo modo, un ejecutivo también necesitará un tablero completamente diferente.

Si bien no podemos evaluar los sistemas SIEM solo por la cantidad de paneles que ofrecen, debe elegir uno que tenga los paneles que necesita. Definitivamente es algo que debe tener en cuenta al evaluar a los proveedores. Y al igual que sucede con los informes, las mejores herramientas le permiten crear paneles personalizados a su gusto.

Uso de SIEM como herramienta de administración de seguridad de ITIL

No importa cuán complejo sea el concepto de gestión de seguridad en el contexto del marco ITIL. Realmente resume un objetivo principal: garantizar que los datos estén seguros. Y aunque todo el paradigma de gestión de seguridad de TI tiene varios aspectos diferentes, cuando se trata de las herramientas de software que puede usar, no parece ser un software de administración de seguridad ITIL paquete. Por otro lado, hay innumerables ofertas de varios editores de software de herramientas destinadas a garantizar la seguridad de sus datos.

También hemos visto cómo las herramientas SIEM tienen un objetivo similar de preservar la seguridad de los datos. Es, en nuestra opinión, ese objetivo común que los convierte en uno de los mejores tipos de herramientas para la gestión de la seguridad de TI. Sin embargo, tenga en cuenta que la práctica de la administración de seguridad de ITIL va mucho más allá de SIEM y, aunque son un buen punto de partida, son solo una parte de la solución, aunque importante.

Las mejores herramientas de administración de seguridad de ITIL

Dado que hemos establecido que las mejores herramientas de administración de seguridad de ITIL eran de hecho herramientas SIEM, hemos buscado en el mercado buscando las mejores. Encontramos una gran variedad de herramientas de algunas de las organizaciones más conocidas. Todas las herramientas de nuestra lista tienen todas las características principales que esperaría de una herramienta de administración de seguridad. Elegir el mejor para su necesidad particular es a menudo una cuestión de gusto personal. O tal vez una de las herramientas tiene una característica única que te atrae.

Vientos solares es un nombre común en el mundo de monitoreo de redes. Su producto estrella, llamado Monitor de rendimiento de red es una de las mejores herramientas de monitoreo de SNMP disponibles. La compañía también es conocida por sus numerosas herramientas gratuitas como su Avanzado Calculadora de subred o su Gratis SFTP Server.

Cuando se trata de SIEM, Vientos solares"Oferta es la Seguridad SolarWinds Administrador de evento. Anteriormente llamado el Administrador de registro y eventos de SolarWinds, la herramienta se describe mejor como una herramienta SIEM de nivel de entrada. Sin embargo, es uno de los mejores sistemas de nivel de entrada en el mercado. La herramienta tiene casi todo lo que puede esperar de un sistema SIEM. Esto incluye una excelente gestión de registros y funciones de correlación, así como un motor de informes impresionante.

• PRUEBA GRATIS: Administrador de eventos de seguridad de SolarWinds
• Enlace de descarga oficial: https://www.solarwinds.com/security-event-manager/registration

La herramienta también cuenta con excelentes características de respuesta a eventos que no dejan nada que desear. Por ejemplo, el sistema de respuesta detallado en tiempo real reaccionará activamente a cada amenaza. Y dado que se basa en el comportamiento más que en la firma, está protegido contra amenazas desconocidas o futuras y ataques de día cero.

Además de su impresionante conjunto de características, el Administrador de eventos de seguridad de SolarWindsEl tablero de instrumentos es posiblemente su mejor activo. Con su diseño simple, no tendrá problemas para orientarse en la herramienta e identificar rápidamente las anomalías. A partir de alrededor de $ 4 500, la herramienta es más que asequible. Y si quieres probarlo y ver cómo funciona en tu entorno, un versión de prueba gratuita de 30 días completamente funcional está disponible para descargar.

2. Splunk Enterprise Security

Splunk Enterprise Security-o Splunk ES, como se le llama a menudo, es posiblemente uno de los sistemas SIEM más populares. Es particularmente famoso por sus capacidades analíticas. Splunk ES monitorea los datos de su sistema en tiempo real, buscando vulnerabilidades y signos de actividad anormal y / o maliciosa.

Además de una excelente supervisión, la respuesta de seguridad es otra de Splunk ES’Trajes fuertes. El sistema usa lo que Splunk llama Marco de respuesta adaptativa (ARF) que se integra con equipos de más de 55 proveedores de seguridad. los ARF Realizar respuestas automatizadas, agilizando las tareas manuales. Esto le permitirá ganar rápidamente la ventaja. Agregue a eso una interfaz de usuario simple y ordenada y tendrá una solución ganadora. Otras características interesantes incluyen el Notables función que muestra alertas personalizables por el usuario y la Investigador de activos para marcar actividades maliciosas y prevenir más problemas.

Splunk ES es realmente un producto de grado empresarial y eso significa que viene con un precio de tamaño empresarial. Lamentablemente, la información sobre precios no está disponible en SplunkSitio web Deberá ponerse en contacto con el departamento de ventas para obtener un presupuesto. Ponerse en contacto con Splunk también le permitirá aprovechar una prueba gratuita, en caso de que desee probar el producto.

3. RSA NetWitness

Desde 2016 NetWitness se ha centrado en productos que admiten "Profundo conocimiento de la situación de la red en tiempo real y respuesta ágil de la red”. Después de ser adquirido por EMC que luego se fusionó con Dell, la NebraskatWitness la marca ahora es parte de RSA sucursal de la corporación. Estas son buenas noticias ya que RSA es un nombre muy respetado en seguridad de TI.

RSA NetWitness es ideal para organizaciones que buscan una solución de análisis de red completa. La herramienta integra información sobre su organización que utiliza para ayudar a priorizar alertas. De acuerdo a RSA, el sistema "recopila datos en más puntos de captura, plataformas informáticas y fuentes de inteligencia de amenazas que otras soluciones SIEM”. La herramienta también presenta detección avanzada de amenazas que combina análisis de comportamiento, técnicas de ciencia de datos e inteligencia de amenazas. Y finalmente, el sistema de respuesta avanzado cuenta con capacidades de orquestación y automatización para ayudar a deshacerse de las amenazas antes de que afecten a su negocio.

Uno de los principales inconvenientes de RSA NetWitness según lo informado por su comunidad de usuarios es que no es el más fácil de configurar y usar. Sin embargo, existe una documentación completa disponible que puede ayudarlo a configurar y utilizar el producto. Este es otro producto de nivel empresarial y, como suele ser el caso, deberá ponerse en contacto con el departamento de ventas para obtener información sobre precios.

4. ArcSight Enterprise Security Manager

ArcSight Enterprise Security Manager ayuda a identificar y priorizar las amenazas de seguridad, organizar y rastrear las actividades de respuesta a incidentes, y simplificar las actividades de auditoría y cumplimiento. Solía ​​venderse bajo el HP marca pero ArcSight ahora se ha fusionado en Micro Focusotro HP subsidiario.

Después de haber existido por más de quince años, el ArcSight Gerente de seguridad empresarial es otra herramienta SIEM inmensamente popular. Recopila datos de registro de varias fuentes y realiza un análisis exhaustivo de datos, buscando signos de actividad maliciosa. Para facilitar la identificación rápida de amenazas, la herramienta le permite ver los resultados del análisis en tiempo real.

En cuanto a las características del producto, no deja nada que desear. Tiene una potente correlación de datos distribuidos en tiempo real, automatización de flujo de trabajo, orquestación de seguridad y contenido de seguridad impulsado por la comunidad. los ArcSight Gerente de seguridad empresarial también se integra con otros ArcSight productos como el ArcSight Data Platform y Event Broker o ArcSight Investigate. Este es otro producto de grado empresarial y, como tal, la información de precios no está disponible fácilmente. Será necesario que se comunique con el ArcSight equipo de ventas para obtener un presupuesto personalizado.

5. McAfee Enterprise Security Manager

McAfee es definitivamente otro nombre familiar en la industria de la seguridad. Sin embargo, es mejor conocido por su línea de productos de protección contra virus. A diferencia de otros productos en esta lista, el McAfee Empresa Sseguridad METROenojado no es solo software, es un dispositivo que puede obtener como una pieza de hardware o en forma virtual.

En términos de sus capacidades analíticas, el McAfee Enterprise Security Manager Es considerado como una de las mejores herramientas SIEM por muchos. El sistema recopila registros en una amplia gama de dispositivos y sus capacidades de normalización son insuperables. El motor de correlación compila fácilmente fuentes de datos dispares, lo que facilita la detección de eventos de seguridad a medida que ocurren.

Pero para ser verdad, hay más en esto McAfee solución que solo su Gerente de seguridad empresarial. Para obtener una solución SIEM completa, también necesita el Administrador de registro de empresa y Receptor de eventos. Afortunadamente, todos los productos se pueden empaquetar en un solo dispositivo. Y para aquellos de ustedes que quieran probar el producto antes de comprarlo, hay disponible una versión de prueba gratuita.

6. IBM QRadar

IBM es sin duda uno de los nombres más conocidos en la industria de TI. No sorprende entonces que la compañía haya logrado establecer su solución SIEM, IBM QRadar como uno de los mejores productos del mercado. La herramienta permite a los analistas de seguridad detectar anomalías, descubrir amenazas avanzadas y eliminar falsos positivos en tiempo real.

IBM QRadar Cuenta con un conjunto de funciones de gestión de registros, recopilación de datos, análisis y detección de intrusos. Juntos, ayudan a mantener su infraestructura de red en funcionamiento. También hay análisis de modelado de riesgos que pueden simular posibles ataques.

Algunos de IBM QRadarLas características clave incluyen la capacidad de implementar la solución en las instalaciones o en un entorno en la nube. Es una solución modular y se puede agregar de forma rápida y económica más capacidad de almacenamiento o procesamiento a medida que crecen sus necesidades. El sistema utiliza experiencia en inteligencia de IBM X-Force e integra a la perfección con cientos de IBM y noIBM productos

IBM siendo IBMSin embargo, puede esperar pagar un precio superior por su solución SIEM. Pero si necesita una de las mejores herramientas SIEM en el mercado y una herramienta respaldada por una organización sólida, IBM QRadar bien podría valer la pena la inversión.