En este artículo compararemos el esquema de precios basado en eventos por segundo contra el esquema basado en ingesta de datos (GB/día) para contratar un SIEM.
Tipos de esquema de cobro de SIEM
Hay diferentes esquemas de precios disponibles en el mercado para las soluciones SIEM (Gestión de Información y Eventos de Seguridad). Estos esquemas de precios pueden variar dependiendo del proveedor, de las características y de las capacidades específicas ofrecidas, pero podemos resumirlos en cuatro:
Licencia Perpetua: En este modelo de precios, las organizaciones adquieren una licencia perpetua para el software SIEM, lo que les permite utilizarlo de forma indefinida. El costo suele ser un pago único por adelantado (pueden existir cargos opcionales de mantenimiento y soporte).
Basado en Suscripción: En un modelo de precios basado en suscripción, las organizaciones pagan una tarifa recurrente a intervalos regulares, como mensual o anual, para utilizar la solución SIEM. La tarifa de suscripción a menudo incluye acceso a actualizaciones de software, soporte técnico y otros servicios.
Híbrido: Algunos proveedores ofrecen un modelo de precios híbrido que combina elementos tanto de licencia perpetua como de precios basados en suscripción. Este modelo proporciona flexibilidad en cuanto a las opciones de licencia y puede ser adecuado para organizaciones con requisitos o preferencias específicas.
Basado en Consumo: Este modelo de precios se basa en la cantidad de datos procesados o la cantidad de eventos monitoreados por la solución SIEM. Las empresas pagan de acuerdo al volumen de datos enviados, almacenados o analizados por la plataforma. Este modelo permite a las organizaciones pagar por lo que utilizan, lo que lo hace adecuado para organizaciones con volúmenes de datos fluctuantes. Dentro de este esquema, a menudo se consideran dos métricas principales: eventos por segundo (EPS) e ingesta de datos (GB/día).
- Eventos por segundo (EPS): El EPS se refiere al número de eventos individuales que el SIEM puede procesar por segundo. Cada vez que ocurre un evento de seguridad, como un registro de acceso o una alerta, se registra y se envía al SIEM para su análisis. El esquema basado en consumo calcula el costo en función del número de eventos por segundo que se procesan. Este número está definido con antelación, lo que evita costos adicionales. En este esquema, a medida que aumenta la demanda de procesamiento, es posible que deban ajustarse los recursos y el costo asociado.
- Por ingesta de datos (GB/día): El otro factor clave en el esquema basado en consumo o ingesta de datos por día. Este enfoque considera la cantidad de datos que se ingresa, almacena y analiza por el SIEM en un período determinado de tiempo. El costo se basa en el volumen de datos transferidos (GB/día), lo que incluye el tráfico de red recibido por el sistema para su análisis y el tráfico generado por la entrega de alertas y notificaciones. Este esquema es más flexible pero conlleva a una factura variable.
Entonces, ¿cuál esquema es mejor?
Antes de entrar en materia, es importante tener en cuenta las características de las fuentes de datos que consume el SIEM ya que, dependiendo del tipo de fuente, el tamaño y el volumen de los eventos podrán variar.
- Tamaño de los eventos: Se refiere a la cantidad de datos que contiene cada evento.
- Volumen de eventos: Se refiere al número de eventos que se generan por segundo.
Por ejemplo, de acuerdo con Exabeam: El volumen de eventos por segundo (EPS) de un enrutador de Cisco en un día cualquiera podría ser de 0.6, pero durante momentos de mayor actividad, como en un ataque, podría generar hasta 154 EPS. Esto es +260 veces el volumen normal en un pico de carga.
Para poder cubrir estos picos analicemos dos alternativas:
- Contratar un servicio basado en EPS que esté holgado (deje espacio para los picos), como IBM QRoC.
- Contratar un servicio elástico en base a consumo, como Splunk o Sentinel, que envíe una factura variable cada mes.
Cada una de estas opciones tiene ventajas y desventajas, pero al final del día la decisión entre un esquema y el otro dependerá más de la política de la empresa. Aquellas empresas enfocadas al control del gasto preferirán la seguridad de una renta fija y aquellas enfocadas a la operación y que cuenten con controles estrictos, preferirán el pago variable.
Habiendo dicho lo anterior, comencemos un rápido análisis para llegar a una conclusión que nos pueda servir.
Tamaño y volumen de fuentes de alimentación del SIEM
Para comprender las ventajas y desventajas de los esquemas de cobro es importante entender la naturaleza de los datos que alimentan el SIEM.
La naturaleza de las fuentes de alimentación del SIEM puede variar en términos de la cantidad de datos que se generan en dos vertientes: el tamaño y el volumen. Por ejemplo, los dispositivos de red, como firewalls, routers y switches, pueden producir una cantidad grande de datos pequeños, comparada con el volumen y tamaño que produce un antivirus y antimalware, los cuales documentan detalladamente las amenazas detectadas y las acciones tomadas, generando logs más grandes que los ruteadores y switches.
Este comportamiento lo vemos en las calculadoras como la de LogPoint donde
- Un switch genera 1 EPS con 0.016Gbps al día, y
- Un Antivirus genera 5 EPS con 0.1Gbps al día
Esta diferencia en transferencia de datos consumidos se entiende fácilmente cuando comparamos los tamaños de los logs, que se muestran abajo. En la imagen podemos ver que mientras que un sólo Log del Antivirus en formato JSON es de 603 caracteres, el log de un equipo de red es de solo 73 caracteres.
Esta diferencia del tamaño de las fuentes de eventos/logs no es importante en el precio por EPS, pero tiene un impacto mayor en el esquema de Ingesta de datos (GB/día).
Cambios de EPS a lo largo del tiempo
Por otro lado el volumen de eventos por segundo (EPS) en un SIEM puede cambiar con el tiempo, ya sea durante la semana, o durante el año debido a diferentes factores, como:
- Cambios en la actividad del sistema: En momentos de alta actividad del sistema, como durante una actualización de software o un pico en la demanda de los usuarios, el volumen de eventos generados puede aumentar. Esto puede resultar en un aumento temporal en el volumen de EPS.
- Cambios estacionales: En ciertas épocas del año, como en navidad, puede haber una mayor actividad en línea. Esto puede resultar en un aumento en el volumen de eventos generados y, por lo tanto, en un aumento en el volumen de EPS.
Estos cambios en el volumen de eventos generan picos de carga en los que se generan una gran cantidad de eventos de seguridad en un corto período de tiempo. Si estos picos no se consideran al dimensionar el SIEM, existe el riesgo de que se supere el límite de eventos contratados, lo que puede resultar en un pobre desempeño o en costos adicionales inesperados para la organización.
De manera general podemos decir que:
Característica | Fuentes de datos pequeñas | Fuentes de datos grandes |
Tamaño de los eventos | Pequeños (pocos bytes) | Grandes (kilobytes o megabytes) |
Volumen de eventos | Bajo (decenas o cientos de EPS) | Alto (miles o millones de EPS) |
Ejemplos | Registros de auditoría de aplicaciones, registros de dispositivos de red | Registros de sistemas operativos, registros de aplicaciones personalizadas |
Impacto en el SIEM | Menor carga de procesamiento, más fácil de identificar eventos importantes | Mayor carga de procesamiento, más difícil de identificar eventos importantes |
Recomendaciones | Usar la correlación de eventos, filtrar eventos irrelevantes | Usar compresión de datos, optimizar la capacidad del SIEM |
Las fuentes de datos grandes generalmente generan eventos de gran tamaño y alto volumen. Esto puede sobrecargar el SIEM y dificultar la identificación de eventos importantes.
Las fuentes de datos pequeñas generalmente generan eventos de pequeño tamaño y bajo volumen. Esto facilita el procesamiento de los eventos por parte del SIEM y la identificación de eventos importantes.
Para los dos esquemas siempre es posible reducir los costos realizando una selección de los dispositivos y logs que alimentan al SIEM.
SIEM con EPS
El esquema de precios por eventos por segundo (EPS) para el SIEM es una forma común de establecer los costos. En este esquema, se paga según la cantidad de eventos procesados por segundo. Esto permite a las organizaciones ajustar sus gastos según sus necesidades y la carga de trabajo que enfrentan. Al utilizar este enfoque, las empresas pueden tener un mayor control sobre los costos de seguridad mientras aseguran que el SIEM pueda manejar eficientemente la cantidad de eventos generados. Esto ofrece flexibilidad y escalabilidad a medida que evolucionan las demandas de seguridad de la organización.
Ventajas:
- Costo predecible: El precio se fija por evento, lo que facilita la planificación del presupuesto.
- Escalabilidad: Se adapta al volumen de eventos, ideal para organizaciones con picos de actividad.
- Precisión: Cobra solo por los eventos que realmente se procesan.
Desventajas:
- Costo elevado para grandes volúmenes: Si se procesan muchos eventos, el precio puede ser alto.
- No se considera la complejidad del evento: No diferencia entre eventos simples y complejos.
- Incentiva la reducción de eventos: Puede llevar a la eliminación de eventos valiosos.
Qué sucede si excedes los EPS contratados en el SIEM
Cabe aclarar que los fabricantes NO son muy claros respecto a las repercusiones y flexibilidad para enfrentar los picos de demanda. Pero podemos decir que si excedes la cantidad de eventos (EPS) contratados, pueden ocurrir las siguientes situaciones, dependiendo del fabricante:
1. Degradación del rendimiento:
- El sistema puede tardar más tiempo en procesar los eventos.
- Se pueden perder algunos eventos.
- Se pueden generar alertas falsas.
2. Funcionalidad limitada:
- Es posible que no puedas acceder a todas las funciones.
- Es posible que no puedas agregar nuevas fuentes de datos.
- Es posible que no puedas crear nuevos informes o dashboards.
3. Costos adicionales:
- Es posible que debas pagar tarifas adicionales por exceder la licencia.
- Es posible que debas comprar una nueva licencia con una mayor capacidad.
- Para evitar estas situaciones, se recomienda:
SIEM por Ingesta de datos (GB/día)
En este modelo, el precio se basa en la cantidad de datos transferidos para el monitoreo y la protección de la red. A medida que aumenta el tráfico de datos para analizar y detectar posibles amenazas, el costo del servicio puede incrementarse. Este enfoque permite a las organizaciones pagar de manera proporcional al uso real de recursos de red, brindando flexibilidad y eficiencia en términos de costos. Al utilizar este esquema, las empresas pueden adaptar sus gastos según sus necesidades específicas, garantizando un enfoque rentable y escalable para la seguridad de la red.
Ventajas:
- Costo más bajo para grandes volúmenes: Ideal para organizaciones con un flujo constante de eventos.
- Considera la complejidad del evento: Puede aplicar tarifas diferentes según la complejidad del evento.
- No incentiva la eliminación de eventos: Permite el análisis de todos los eventos.
Desventajas:
- Costo impredecible: El precio puede variar según el volumen de eventos, dificultando la planificación del presupuesto.
- Menos escalable: Puede ser menos flexible para adaptarse a picos repentinos de actividad.
- Posible sobrecarga de costos: Si se procesan muchos eventos complejos, el precio puede ser elevado.
En resumen:
El esquema de precios por EPS es ideal para organizaciones con un volumen variable de eventos y que buscan un costo predecible. Esto significa que independientemente de la cantidad de eventos que se generen, el costo se mantendrá constante. Esto puede ser beneficioso para empresas que experimentan fluctuaciones en su actividad y desean tener un control más predecible sobre sus gastos. Además, si los eventos que se generan son en su mayoría simples y no requieren un análisis detallado, el esquema por EPS puede ser una buena opción. También puede ser más adecuado para organizaciones con presupuestos más limitados, ya que proporciona una tarifa fija y evita costos adicionales.
Por otro lado, el esquema basado en ingesta de datos (GB/día) es ideal para organizaciones con un flujo constante de eventos y que buscan un análisis más completo. En este esquema, el costo se basa en la cantidad de datos consumidos, lo que proporciona una mayor flexibilidad y personalización en términos de precios. Es especialmente útil para empresas que tienen una gran cantidad de eventos complejos que requieren un análisis en profundidad. Este enfoque permite una mayor visibilidad y capacidad de monitoreo en tiempo real de los eventos de seguridad. Sin embargo, este esquema puede resultar más costoso para organizaciones con presupuestos más ajustados, ya que los costos pueden variar según el volumen de tráfico de red.
Es importante tener en cuenta las necesidades específicas de cada organización. En última instancia, la elección dependerá de las necesidades y recursos de cada empresa.
Fuente:
- Cómo definir un presupuesto de ciberseguridad efectivo para 2023
- SIEM: Qué es, cómo funciona y cuáles son sus beneficios
- Splunk Pricing