Red de Respuestas Legales - Derecho de bienes - Análisis de seguridad de la información de big data

Análisis de seguridad de la información de big data

Análisis de seguridad de la información de Big Data

Las empresas y otras organizaciones han estado operando en un entorno de seguridad de la información hostil, donde los recursos informáticos y de almacenamiento se han convertido en el objetivo de los atacantes que utilizan sistemas comprometidos para realizar ataques maliciosos. Entre ellos, se roba información personal confidencial y luego se vende en el mercado clandestino, mientras que los ataques patrocinados por el Estado provocan filtraciones masivas de datos. En este caso, las empresas necesitan implementar herramientas de análisis de seguridad de big data.

Proteger los valiosos recursos de la empresa.

Gran parte de la seguridad de la información consiste en monitorear y analizar datos en servidores, redes y otros dispositivos. Hoy en día, los avances en el análisis de big data también se están aplicando al monitoreo de la seguridad y pueden aprovecharse para permitir un análisis más amplio y profundo. Son significativamente diferentes del análisis tradicional de seguridad de la información. Este artículo presentará las nuevas características del análisis de seguridad de big data desde dos aspectos, así como los factores clave que las empresas deben considerar al elegir la tecnología de análisis de big data.

Características del análisis de seguridad de big data

En muchos sentidos, el análisis de seguridad de big data es una extensión de SIEM y tecnologías relacionadas. Si bien solo existe una diferencia cuantitativa en la cantidad y el tipo de datos analizados, existe una diferencia cualitativa en el tipo de información extraída de los dispositivos y aplicaciones de seguridad.

Las herramientas de análisis de seguridad de big data normalmente incluyen dos categorías funcionales: SIEM y monitoreo de rendimiento y disponibilidad (PAM). Las herramientas SIEM suelen incluir gestión de registros, gestión de eventos y análisis de comportamiento, así como supervisión de bases de datos y aplicaciones. Las herramientas PAM se centran en la gestión de operaciones. Sin embargo, las herramientas de análisis de big data tienen más capacidades que simplemente combinar herramientas SIEM y PAM. Su propósito es recopilar, integrar y analizar datos a gran escala en tiempo real, lo que requiere alguna funcionalidad adicional.

Al igual que SIEM, las herramientas de análisis de big data pueden descubrir con precisión dispositivos en la red. En algunos casos, una base de datos de gestión de configuración puede complementar y mejorar la calidad de los datos recopilados automáticamente. Además, las herramientas de análisis de big data deben poder integrarse con servidores LDAP o Active Directory y otras herramientas de seguridad de terceros. El soporte del flujo de trabajo de respuesta a incidentes puede no ser muy importante para las herramientas SIEM, pero cuando el volumen de datos de los registros diarios y otras fuentes de datos de incidentes de seguridad es muy grande, esta característica es necesaria.

La diferencia entre el análisis de seguridad de la información de big data y el análisis de seguridad en otros campos se refleja principalmente en cinco características principales.

Característica principal 1: Escalabilidad

Una de las principales características del análisis de big data es la escalabilidad. Estas plataformas deben tener capacidades de recopilación de datos en tiempo real o casi en tiempo real. Los bucles de red son un flujo ininterrumpido de paquetes y el análisis de datos debe ser tan rápido como la recopilación de datos. No es posible que esta herramienta de análisis detenga el bucle de la red para ponerse al día con la acumulación de paquetes que deben analizarse.

El análisis de seguridad de big data no es solo una forma sin estado de inspeccionar paquetes o realizar análisis profundos de paquetes, sino que comprender este problema también es muy importante. Aunque son muy importantes y necesarios, la capacidad de correlacionar eventos en el tiempo y el espacio es la clave de la plataforma de análisis de big data. Esto significa que solo lleva poco tiempo y el flujo de eventos registrados en un dispositivo (por ejemplo, un servidor web) puede corresponder obviamente a eventos en el dispositivo del usuario final.

Función clave 2: Informes y visualización

Otra característica importante del análisis de big data es la generación de informes y el soporte del análisis. Los expertos en seguridad han respaldado durante mucho tiempo los informes comerciales y de cumplimiento con herramientas de generación de informes. También proporcionan una descripción general de alto nivel de los indicadores clave de rendimiento a través de paneles con indicadores de seguridad preconfigurados. Las dos herramientas existentes, aunque necesarias, no son suficientes para satisfacer las necesidades del big data.

Para los analistas de seguridad, se necesitan herramientas de visualización para presentar la información obtenida a partir de big data de forma estable y rápida. Por ejemplo, Sqrrl utiliza técnicas de visualización para ayudar a los analistas a comprender relaciones complejas en datos interconectados, como sitios web, usuarios e información de transacciones HTTP.

Característica principal 3: Almacenamiento persistente de Big Data

El nombre Análisis de seguridad de Big Data proviene del hecho de que proporciona capacidades excepcionales de almacenamiento y análisis, que lo diferencian de otras herramientas de seguridad. Las plataformas para análisis de seguridad de big data suelen emplear sistemas de almacenamiento de big data como Hadoop Distributed File System (HDFS) y almacenamiento de archivos con mayor latencia, así como procesamiento back-end y el eficiente modelo de computación por lotes MapReduce. Pero MapReduce no es necesariamente muy eficiente, requiere una sobrecarga de E/S muy intensiva. Apache Spark, una herramienta popular que se puede utilizar como alternativa a MapReduce. Es un modelo de procesamiento más general que puede usar la memoria de manera más eficiente que MapReduce.

Los sistemas de análisis de big data, como MapReduce y Spark, resuelven las necesidades informáticas del análisis de seguridad. Mientras tanto, el almacenamiento persistente a largo plazo a menudo depende de bases de datos relacionales o NoSQL. Por ejemplo, la plataforma SplunkHunk admite análisis y visualización en bases de datos Hadoop y NoSQL. La plataforma se encuentra entre los almacenes de datos no relacionales de la organización y el resto del entorno de aplicaciones. Las aplicaciones Hunk integran el almacenamiento de datos directamente y no requieren transferencia a un almacenamiento de memoria secundario. La plataforma Hunk incluye una gama de herramientas para analizar big data.

Admite el desarrollo de aplicaciones Hunk y paneles personalizados y se puede crear directamente en entornos HDFS y herramientas de visualización y búsqueda adaptativas.

Otra característica importante de la plataforma de análisis de seguridad de big data es la retroalimentación inteligente. Establece fuentes de noticias como bases de datos de vulnerabilidades y blogs de seguridad, y la información potencialmente útil se puede actualizar continuamente. Las plataformas de seguridad de big data pueden extraer datos de una variedad de fuentes y replicar notificaciones de amenazas e información relacionada utilizando métodos de recopilación de datos personalizados.

Característica clave 4: entorno de información

Debido a que los incidentes de seguridad generan tantos datos, esto plantea riesgos importantes para los analistas y otros profesionales de seguridad de la información, lo que limita su capacidad para identificar eventos críticos. Las útiles herramientas de análisis de seguridad de big data analizan datos en el contexto de usuarios, dispositivos y momentos específicos.

Los datos sin este contexto son inútiles y darán como resultado una mayor tasa de falsos positivos. La información contextual también puede mejorar la calidad del análisis de comportamiento y la detección de anomalías. La información de antecedentes puede incluir información relativamente estática, como empleados específicos que trabajan en un departamento específico. También puede contener información más dinámica, como patrones de uso típicos que pueden cambiar con el tiempo. Por ejemplo, es normal que una gran cantidad de datos llegue al almacén de datos el lunes por la mañana porque los gerentes necesitan realizar algunas consultas ad hoc para comprender mejor los eventos descritos en el informe semanal.

Característica principal 5: Versatilidad

La última característica destacable del análisis de seguridad de big data es que sus funciones cubren una gama muy amplia de campos de seguridad. Por supuesto, el análisis de big data recopila datos de dispositivos finales, que podrían ser cualquier dispositivo conectado a una red TCP o IP a través de Internet, incluidos ordenadores portátiles, teléfonos inteligentes o cualquier dispositivo IoT. Además de los dispositivos físicos y los servidores virtuales, el análisis de seguridad de big data debe agregar seguridad relacionada con el software. Por ejemplo, una evaluación de vulnerabilidad se utiliza para identificar posibles vulnerabilidades de seguridad en un entorno determinado. Las redes son una rica fuente de información y estándares, como el protocolo de red NetFlow desarrollado por Cisco, que se puede utilizar para recopilar información de tráfico en una red determinada.

Las plataformas de análisis de big data también pueden utilizar productos de detección de intrusiones para analizar el comportamiento del sistema o del entorno y descubrir posibles actividades maliciosas.

El análisis de seguridad de big data es cualitativamente diferente de otras formas de análisis de seguridad. La necesidad de escalabilidad, la necesidad de herramientas para integrar y visualizar diferentes tipos de datos, la creciente importancia de la información contextual y la ubicuidad de las capacidades de seguridad han llevado a los proveedores a aplicar herramientas avanzadas de análisis y almacenamiento de datos a la seguridad de la información.

Cómo elegir una plataforma de análisis de seguridad de big data adecuada

La tecnología de análisis de seguridad de big data combina funciones avanzadas de análisis de eventos de seguridad y funciones del sistema de gestión de incidentes (SIEM) y es adecuada para muchas empresas. casos, pero no todos. Antes de invertir en una plataforma de análisis de big data, considere el nivel de capacidades de la organización que utiliza el sistema de seguridad de big data. Hay varios factores a considerar aquí, desde la infraestructura de TI que debe protegerse hasta los costos y beneficios de implementar más controles de seguridad.

Tamaño de la infraestructura

Las organizaciones con grandes infraestructuras de TI son los principales candidatos para el análisis de seguridad de big data. Las aplicaciones, los sistemas operativos y los dispositivos de red pueden capturar rastros de actividad maliciosa. Un solo tipo de datos no proporciona evidencia suficiente para identificar amenazas activas, y una combinación de múltiples fuentes de datos puede proporcionar una visión más completa del estado de un ataque.

La infraestructura y los controles de seguridad existentes generan datos sin procesar, pero las aplicaciones de análisis de big data no necesitan recopilar, recopilar y analizar toda la información. En un entorno donde sólo hay unos pocos dispositivos y la estructura de la red no es muy compleja, es posible que no sea necesario un análisis de seguridad de big data. En este caso, el SEIM tradicional puede ser suficiente.

Monitoreo casi en tiempo real

Otro factor que impulsa la necesidad de análisis de seguridad de big data es la necesidad de recopilar información sobre incidentes casi en tiempo real. El monitoreo en tiempo real es particularmente importante en algunos entornos donde se almacenan datos de alto valor y son vulnerables a ataques graves, como servicios financieros, médicos, agencias gubernamentales, etc.

Un estudio reciente de Verizon encontró que en el 60% de los incidentes, los atacantes pudieron conquistar un sistema en cuestión de minutos, pero el porcentaje de vulnerabilidades detectadas en cuestión de días también fue muy bajo. Una forma de reducir el tiempo de detección es recopilar una variedad de datos de toda la infraestructura en tiempo real y filtrar inmediatamente los datos relacionados con los eventos de ataque. Este es un caso de uso clave para el análisis de big data.

Datos históricos detallados

A pesar de sus mejores esfuerzos, un ataque puede pasar desapercibido durante algún tiempo. En este caso, es importante poder acceder a registros históricos y otros datos de eventos. Siempre que haya suficientes datos disponibles, el análisis forense puede ayudar a determinar cómo ocurrió un ataque.

En algunos casos, no se requiere análisis forense para identificar vulnerabilidades o corregir debilidades de seguridad. Por ejemplo, si una pequeña empresa es atacada, la solución más rentable puede ser contratar a un consultor de seguridad para evaluar las configuraciones y prácticas actuales y recomendar cambios. En este caso, no es necesario un análisis de seguridad de big data. Otras medidas de seguridad pueden ser efectivas y económicas.

Infraestructura local frente a infraestructura en la nube

Como sugiere el nombre, el análisis de seguridad de big data requiere la recopilación y el análisis de grandes cantidades de diversos tipos de datos. Cualquier limitación en la captura de información de eventos de seguridad, como la capacidad de capturar todo el tráfico en una red, puede tener un impacto grave en la calidad de la información obtenida de un sistema de análisis de seguridad de big data. Esto es especialmente cierto en entornos de nube.

Los proveedores de la nube restringen el acceso al tráfico de la red para reducir el riesgo de ciberataques. Por ejemplo, los clientes de computación en la nube no pueden desarrollar segmentos de red para recopilar datos completos sobre paquetes de red. Los usuarios potenciales de análisis de seguridad de big data deberían considerar cómo los proveedores de la nube imponen restricciones que limitan el alcance de sus análisis.

Los análisis de seguridad de big data son útiles para la infraestructura de la nube en algunos casos, pero son especialmente útiles para los datos generados al iniciar sesión en la nube. Por ejemplo, Amazon Web Services proporciona un servicio de monitoreo del rendimiento llamado CloudWatch y un registro de auditoría de llamadas API en la nube llamado CloudTrail. Es posible que los datos operativos en la nube no sean tan detallados como los datos de otras fuentes de datos, pero pueden complementar otras fuentes de datos.

La capacidad de utilizar datos

Los análisis de seguridad de big data absorben y correlacionan grandes cantidades de datos. Incluso cuando los datos se agregan y agregan, la interpretación de los datos puede resultar desafiante. La calidad de la información generada a partir del análisis de big data es en parte un indicador de la capacidad de un analista para interpretar los datos. Cuando las empresas se ven involucradas en incidentes de seguridad, necesitan analistas de seguridad que puedan cortar el vínculo con el ataque y comprender el tráfico de la red y los eventos del sistema operativo.

Por ejemplo, un analista podría recibir una alerta sobre actividad sospechosa en un servidor de base de datos. Puede que este no sea el primer paso de un ataque. ¿Puede un analista generar una alerta y explorar datos históricos para encontrar eventos relevantes y determinar si se trata realmente de un ataque? De lo contrario, las organizaciones no se están dando cuenta de los beneficios de una plataforma de análisis de seguridad de big data.

Controles de seguridad adicionales

Antes de realizar un análisis de seguridad de big data, las empresas deben considerar la madurez general de sus prácticas de seguridad. En otras palabras, lo primero deberían ser otros controles más baratos y sencillos.

Se deben definir, implementar y monitorear políticas claras de gestión de identidades y accesos. Por ejemplo, los sistemas operativos y las aplicaciones deben actualizarse periódicamente. Para entornos virtuales, las imágenes de las máquinas deben volver a crearse periódicamente para garantizar que se incorporen los parches más recientes. Se debe utilizar un sistema de alerta para monitorear eventos sospechosos o cambios ambientales significativos (por ejemplo, la adición de una cuenta de administrador al servidor). Se deben implementar firewalls de aplicaciones web para reducir el riesgo de ataques de inyección y otras amenazas basadas en aplicaciones.

Los beneficios del análisis de seguridad de big data son enormes, especialmente cuando se implementan en una infraestructura que ya implementa una estrategia de defensa integral.

Caso de negocio del análisis de seguridad de big data

El análisis de seguridad de big data es una nueva tecnología de control de seguridad de la información. El objetivo principal de estos sistemas es combinar datos de múltiples fuentes y reducir la necesidad de integración manual de soluciones. También resuelve las deficiencias de otros controles de seguridad, como la dificultad de realizar consultas en múltiples fuentes de datos. Al capturar flujos de datos de múltiples fuentes, los sistemas de análisis de big data aumentan las posibilidades de recopilar detalles forenses importantes.