La ciberseguridad moderna ya no depende únicamente de detectar amenazas. Antes de responder a un ataque, las organizaciones necesitan saber exactamente qué activos poseen, quién los utiliza, cuál es su nivel de exposición y qué impacto tendría una posible brecha de seguridad.
En este contexto surge Cisco Splunk Asset and Risk Intelligence (ARI), una plataforma diseñada para proporcionar una visión centralizada de todos los activos digitales de una organización y permitir una evaluación continua del riesgo asociado a cada uno de ellos.
Tras la adquisición de Splunk por parte de Cisco en 2024, esta tecnología se ha convertido en una pieza estratégica dentro del ecosistema de seguridad empresarial de Cisco, reforzando las capacidades de detección, investigación y respuesta ante amenazas.
¿Qué es Splunk Asset and Risk Intelligence?
Splunk Asset and Risk Intelligence (ARI) es una solución especializada en el descubrimiento, clasificación y contextualización de activos tecnológicos dentro de una organización.
Su objetivo principal es crear una fuente única y de confianza de información sobre todos los activos presentes en la infraestructura corporativa, incluyendo:
– Servidores físicos y virtuales.
– Equipos de usuario.
– Dispositivos de red.
– Aplicaciones empresariales.
– Entornos cloud.
– Identidades y usuarios.
– Sistemas críticos para el negocio.
La plataforma recopila información procedente de múltiples herramientas de seguridad y gestión de TI para consolidarla en una visión unificada y actualizada en tiempo real.
El problema que intenta resolver
Uno de los mayores desafíos de los equipos de seguridad actuales es la falta de visibilidad.
En muchas organizaciones existen:
– Equipos que no están inventariados.
– Activos desplegados sin autorización.
– Sistemas obsoletos.
– Aplicaciones olvidadas.
– Recursos cloud que nadie supervisa.
Cuando ocurre un incidente de seguridad, los analistas suelen enfrentarse a preguntas fundamentales:
¿Quién es el propietario del activo afectado?
¿Es un sistema crítico?
¿Tiene vulnerabilidades conocidas?
¿Qué usuarios tienen acceso?
¿Está conectado con otros sistemas sensibles?
Sin esta información, incluso una alerta legítima puede tardar horas en investigarse correctamente.
Descubrimiento continuo de activos
Una de las capacidades más importantes de ARI es el descubrimiento continuo de activos.
La solución recopila información desde múltiples fuentes corporativas para identificar activos que pueden no estar registrados en las herramientas tradicionales de inventario.
Esto permite detectar:
– Shadow IT.
– Equipos no autorizados.
– Recursos cloud desconocidos.
– Activos huérfanos.
– Sistemas sin propietario definido.
Para los equipos de seguridad, esta capacidad resulta fundamental porque no es posible proteger aquello que no se conoce.
Contexto enriquecido para los analistas de seguridad
ARI no se limita a enseñar un listado de activos.
La plataforma genera contexto operativo y de seguridad alrededor de cada activo.
Por ejemplo, un analista puede conocer:
– Nivel crítico del sistema.
– Propietario responsable.
– Localización.
– Relación con otros activos.
– Vulnerabilidades detectadas.
– Historial de actividad.
– Dependencias tecnológicas.
Este contexto acelera significativamente las investigaciones realizadas por los centros de operaciones de seguridad (SOC).
Priorización basada en riesgo
Una vulnerabilidad crítica en un servidor financiero no representa el mismo riesgo que la misma vulnerabilidad en un entorno de pruebas.
Por esta razón, ARI incorpora capacidades avanzadas de evaluación y puntuación de riesgo.
La plataforma combina múltiples factores:
- Nivel crítico del activo.
- Exposición externa.
- Vulnerabilidades presentes.
- Configuraciones inseguras.
- Actividad sospechosa.
- Impacto potencial para el negocio.
Gracias a ello, los equipos de seguridad pueden concentrar recursos en los riesgos que realmente importan.
Mejor gestión de vulnerabilidades
La gestión moderna de vulnerabilidades requiere contexto.
No basta con conocer que existen miles de vulnerabilidades en una organización.
Es necesario comprender:
Cuáles afectan a activos críticos.
Cuáles son explotables.
Cuáles representan un riesgo inmediato.
ARI ayuda a establecer prioridades de subsanación más inteligentes, reduciendo la carga operativa de los equipos de seguridad y acelerando la reducción del riesgo empresarial.
Integración con Cisco y Splunk Enterprise Security
Uno de los mayores beneficios de ARI es su integración con el ecosistema de Cisco y Splunk.
La información de activos puede utilizarse para enriquecer:
- Alertas de seguridad.
- Casos de investigación.
- Sistemas SIEM.
- Procesos de respuesta ante incidentes.
- Herramientas de automatización SOAR.
Cuando una alerta llega al SOC, los analistas disponen inmediatamente del contexto necesario para tomar decisiones rápidas y precisas.
Esto reduce el tiempo medio de detección (MTTD) y el tiempo medio de respuesta (MTTR).
Beneficios para las organizaciones
La adopción de Asset and Risk Intelligence aporta ventajas claras:
– Mayor visibilidad.
– Permite conocer exactamente qué activos existen en la organización.
– Reducción del riesgo.
– Ayuda a identificar y priorizar los activos más expuestos.
– Investigaciones más rápidas
– Los analistas obtienen contexto inmediato sobre cualquier activo afectado.
– Mejor cumplimiento normativo
Facilita auditorías y controles relacionados con marcos como:
– ISO 27001.
– NIST.
– CIS Controls.
– PCI DSS.
– Optimización de recursos
Permite enfocar los esfuerzos de seguridad donde generan mayor impacto.
Comparativa con otras soluciones del mercado
Aunque ARI es una de las propuestas más avanzadas en gestión contextual de activos y riesgo, existen otras alternativas relevantes.
Cisco Splunk Asset and Risk Intelligence
Puntos fuertes
– Visibilidad unificada de activos.
– Excelente integración con Splunk.
– Contexto avanzado para SOC.
– Evaluación de riesgo basada en negocio.
Ideal para:
– Grandes organizaciones con operaciones de seguridad maduras.
Microsoft Sentinel
Puntos fuertes
– Integración nativa con Microsoft 365 y Azure.
– Menor complejidad de despliegue.
– Costes competitivos para clientes Microsoft.
Limitación:
– Su fortaleza está más orientada al SIEM que a la inteligencia avanzada de activos.
Google SecOps (Chronicle)
Puntos fuertes
– Escalabilidad masiva.
– Alto rendimiento en búsqueda y análisis.
– Excelente para entornos cloud.
Limitación:
– Menor enfoque específico en gestión contextual de activos.
IBM QRadar
Puntos fuertes
– Amplia presencia en grandes corporaciones.
– Capacidades maduras de correlación.
Limitación:
– Arquitectura más tradicional y menos flexible que las soluciones cloud modernas.
Elastic Security
Puntos fuertes
– Coste reducido.
– Gran capacidad de personalización.
– Comunidad técnica muy activa.
Limitación:
– Requiere más conocimiento técnico para alcanzar niveles avanzados de madurez.
¿Cuál es la mejor opción actualmente?
No existe una plataforma universalmente superior para todos los escenarios.
Sin embargo, para organizaciones que buscan una combinación de:
– Inventario inteligente de activos.
– Contexto avanzado.
– Gestión basada en riesgo.
– Integración profunda con operaciones de seguridad.
Cisco Splunk Asset and Risk Intelligence se posiciona como una de las soluciones más completas del mercado.
Para organizaciones altamente dependientes de Microsoft, Microsoft Sentinel suele ofrecer una excelente relación entre coste y capacidades.
Para entornos cloud a gran escala, Google SecOps es actualmente una de las alternativas más sólidas.
Mientras tanto, Elastic Security continúa siendo una de las opciones con mejor relación coste-rendimiento para organizaciones con equipos técnicos experimentados.
Conclusión
La evolución de la ciberseguridad empresarial exige pasar de un enfoque reactivo a uno basado en contexto y riesgo.
Cisco Splunk Asset and Risk Intelligence responde precisamente a esta necesidad, proporcionando una visión integral de los activos digitales y permitiendo que los equipos de seguridad comprendan no solo qué está ocurriendo, sino también qué sistemas son realmente importantes para el negocio.
En un entorno donde la superficie de ataque crece constantemente, disponer de una inteligencia de activos precisa puede marcar la diferencia entre una respuesta eficaz y una brecha de seguridad con consecuencias significativas.