Seis puntos clave del análisis de seguridad de big data
Ahora, muchas industrias están comenzando a utilizar big data para aumentar las ventas, reducir costos y realizar marketing preciso. Sin embargo, de hecho, los big data también tienen grandes aplicaciones en la seguridad de redes y la seguridad de la información. En particular, los macrodatos se utilizan para identificar y descubrir riesgos y vulnerabilidades.
A través de big data, las personas pueden analizar una gran cantidad de posibles eventos de seguridad, descubrir las conexiones entre ellos y delinear una amenaza de seguridad completa. A través de big data, se pueden integrar datos dispersos, lo que permite al personal de seguridad tomar medidas de defensa de seguridad más proactivas.
Hoy en día, el entorno de red es extremadamente complejo. Los ataques APT y otros ciberataques pueden identificar amenazas a la seguridad mediante la búsqueda y el análisis de datos de diferentes fuentes de datos. Para hacer esto, es necesario monitorear una variedad de fuentes de datos, incluidos datos DNS, comando y control (C2), listas blancas y negras, y más. Para correlacionar estos datos y hacer juicios erróneos.
Los siguientes son algunos puntos clave para el análisis de big data empresarial con fines de seguridad:
Datos DNS
Los datos DNS pueden proporcionar una serie de nombres de dominio recién registrados, con frecuencia Nombres de dominio usados que envían spam, dominios recién creados, etc. Toda esta información se puede combinar con listas blancas y negras, y todos estos datos se recopilan para su posterior análisis.
Si tienes tu propio servidor DNS, puedes consultar esas consultas de nombres de dominio externos, por lo que es posible que encuentres algunos nombres de dominio sin resolver. Esto puede significar que ha detectado un "algoritmo de generación de nombres de dominio". Esta información ayuda a los equipos de seguridad a proteger las redes corporativas. Si analiza el registro de datos de tráfico LAN, es posible encontrar la máquina atacada correspondiente.
Sistema de comando y control (C2)
Combinado con datos de comando y control, se puede obtener una lista negra de direcciones IP y nombres de dominio. Para las redes empresariales, el tráfico de la red no debe fluir hacia esos sistemas de comando y control conocidos. Si el personal de ciberseguridad quiere investigar detenidamente un ciberataque, puede dirigir el tráfico desde el sistema C2 a una máquina "honeypot" instalada por la empresa.
Información sobre amenazas a la seguridad
Existen fuentes de datos similares a la reputación de la red que se pueden utilizar para determinar si una dirección es segura. Algunas fuentes de datos proporcionan decisiones de "sí" y "no", mientras que otras fuentes de datos también proporcionan información sobre los niveles de amenaza. El personal de ciberseguridad puede decidir si se debe acceder a una dirección en función del riesgo que pueden aceptar.
Registros de tráfico de red
Muchos proveedores proporcionan herramientas para registrar registros de tráfico de red. Cuando se utilizan registros de tráfico para analizar amenazas a la seguridad, es fácil quedar ahogado en la cantidad de datos de "ruido". Sin embargo, los registros de tráfico siguen siendo un requisito esencial para el análisis de seguridad. Existen algunos buenos algoritmos y software que pueden ayudar a proporcionar un análisis de calidad.
Datos de "Honeypot"
Los Honeypots pueden detectar eficazmente malware en una red específica. Además, el malware obtenido a través de honeypots se puede analizar para obtener sus firmas, lo que permite monitorear aún más la infección de otros dispositivos en la red. Este tipo de información es muy valiosa, especialmente porque muchos códigos maliciosos personalizados utilizados en ataques APT no pueden ser descubiertos por el software antivirus convencional. Consulte el artículo de este sitio web para conocer cinco razones por las que las empresas crean "honeypots".
La calidad de los datos es muy importante.
Por último, las empresas deben prestar atención a la calidad de los datos. Hay una gran cantidad de datos disponibles en el mercado, y la calidad y precisión de estos datos son las consideraciones más importantes para el personal de seguridad al realizar análisis de seguridad de big data. Por lo tanto, las empresas necesitan un equipo interno de evaluación de datos para hacer preguntas apropiadas sobre las fuentes de datos, como por ejemplo: ¿Cuándo se agregaron los últimos datos? ¿Existen datos de muestra para la evaluación? ¿Cuántos datos se pueden agregar cada día? ¿Cuál de estos datos es gratuito? ¿Durante cuánto tiempo se recopilaron los datos? Espera un momento.
Casi todos los días aparecen en los periódicos noticias sobre incidentes de seguridad y filtraciones de datos. Incluso si las empresas han comenzado a tomar medidas para defenderse de las APT, las medidas tradicionales de defensa de la seguridad parecen tener pocos métodos de ataque contra las APT. Con big data, las empresas pueden tomar medidas de defensa más proactivas, mejorando en gran medida la profundidad y amplitud de la defensa de la seguridad.