ArcSight, compañía propiedad de HP, es líder mundial en soluciones en seguridad informática y cumplimiento normativo protegiendo a las organizaciones de riesgos y amenazas corporativas. En base a la oferta SIEM líder en el mercado, la plataforma de gestión de riesgos y amenazas corporativos de ArcSight permite que las empresas y agencias gubernamentales protejan de manera proactiva sus activos digitales, cumplan con las políticas empresariales y normativas legales, controlando a la vez los riesgos internos y externos asociados con el robo, el fraude, las guerras electrónicas y el espionaje informático.
HP ArcSight tiene muchos puntos para ser la herramienta más potente y eficaz de gestión de logs y correlación de eventos de la industria. Permite analizar logs generados por cualquier dispositivo o sistema existente en la red, determinando la aparición de posibles incidentes de riesgo y notificando puntualmente para poder tomar las medidas adecuadas a tiempo. Sus características son numerosas y a la vez, prácticas; es una aplicación que elimina la necesidad de dedicar un concienzudo experto a tiempo completo que dé significado a los eventos colocándolos dentro del contexto de quién, qué, dónde, cuándo y por qué ocurre cada uno de ellos y su posible impacto en la organización.
Las tres funcionalidades clave que debe poseer una herramienta de estas características son: capacidad de recolección, capacidad de detección y capacidad de repuesta.
Capacidad de recolección
Las organizaciones actuales necesitan archivar y analizar datos de log por diferentes razones que van desde la monitorización de la seguridad, las operaciones IT, el cumplimiento de las normativas o la detección del fraude. Una recolección corporativa de eventos robusta y eficiente va mucho más allá de proporcionar una taxonomía común que facilite su análisis. Para cumplir las normativas legales, las organizaciones necesitan recolectar eventos desde muchas más fuentes de información dispersas, incluyendo dispositivos físicos, dispositivos de red y de seguridad, hosts, bases de datos y un gran abanico de aplicaciones comerciales, o incluso propietarias de cada organización.
Entre los múltiples beneficios inmediatos para las organizaciones cabe destacar:
– Implantaciones rápidas y de bajo coste; no es necesario desarrollar conectores.
– Los clientes pueden fácilmente adoptar tecnologías de vanguardia.
– La más extensa lista de fabricantes y productos soportados.
– Un único panel de gestión en la herramienta ArcSight.
Capacidad de Detección
Esta aplicación relaciona todo tipo de eventos aparentemente inconexos, utilizando las más avanzadas técnicas de correlación en tiempo real. Mediante esta correlación inteligente y efectiva de eventos dispersos provenientes de diferentes fuentes, consigue detectar a tiempo incluso los ataques más sutiles. En este entorno, ArcSight implementa modernas técnicas que incluyen reconocimiento de patrones y análisis de comportamiento para poder detectar las más sofisticadas amenazas que están dañando a las empresas cada día. Como resultado, es la herramienta más eficaz para realizar una selección inteligente entre millones de eventos, focalizándose en aquellos que potencialmente impliquen mayor criticidad para la organización.
Los beneficios obtenidos mediante la implantación de ArcSight son inmediatos: mayor seguridad, un mejor tiempo de respuesta y una utilización mucho menor de recursos.
Para una herramienta de tecnología SIEM, el entorno en el que se origina un evento, es un factor muy importante. En comercio electrónico basado en web, será un activo muy importante. En el contexto de cada usuario, mediante la integración con la gestión de identidades (IDM) y los directorios, como el Directorio Activo Microsoft, ArcSight es capaz de entender los atributos de los usuarios – sus roles, sus cuentas, su departamento, y sus estados, elevando el nivel de seguridad de forma sustancial.
Y, finalmente, fijémonos en las localizaciones, tanto físicas como lógicas. En estos casos la actividad depende de dónde viene y hacia dónde va ¿Existen conexiones dentro de la VPN corporativa desde países donde no hay empleados? Desde el punto de vista lógico, ¿no es más fácil ver un nombre legible que sólo una dirección IP?
Tampoco hay que olvidar que ArcSight ofrece soluciones pre-construidas para el cumplimiento de diversas regulaciones de la industria y marcos de control, incluyendo:
– PCI DSS
– ISO / IEC 27002:2005
– Gobierno de TI
– FISMA
– HIPAA
– JSOX
– NERC
– Sarbanes-Oxley
– SB 1386
Capacidad de Respuesta
En este aspecto, ArcSight Express asegura un acceso a la información vital de la empresa de forma rápida, conveniente e intuitiva. Así, cuadros de mando personalizados y ricos en gráficos proporcionan vistas técnicas y/o de negocio, específicas para cada rol de la organización.
ArcSightalerta y notifica de manera proactiva cuando se produce alguna actividad sospechosa o maliciosa. Las alertas y notificaciones pueden utilizar diferentes medios, según sean las necesidades. Por ejemplo, cuando hemos detectado un ataque distribuido de denegación de servicios (DDoS), puede enviarse un correo electrónico al administrador y a su equipo, y también enviar una notificación a través de su dispositivo móvil o PDA. De esta forma se consigue:
– Reducir el tiempo de respuesta de horas a segundos
– Simular las acciones de respuesta antes de aplicar los cambios
– Cortar las amenazas en los puntos más eficaces
– Automáticamente documentar todos los cambios para las auditorías.
En resumen, ArcSight proporciona todo el poder de una correlación de eventos de primera clase, realizando al mismo tiempo el trabajo pesado de un experto, que otorgará significado a los eventos en su propio contexto. Además, localiza el quién, el qué, dónde, cuándo y por qué se produjo cada evento y su impacto en la organización.