Seis puntos clave del análisis de seguridad de big data
Seis puntos clave del análisis de seguridad del big data
Ahora, muchas industrias han comenzado a utilizar el big data para aumentar las ventas, reducir costes, realizar marketing de precisión, etc. Sin embargo, de hecho, los big data también tienen grandes aplicaciones en la seguridad de redes y la seguridad de la información. En particular, los macrodatos se utilizan para detectar y descubrir riesgos y vulnerabilidades.
A través de big data, las personas pueden analizar una gran cantidad de posibles eventos de seguridad y descubrir las conexiones entre ellos para delinear una amenaza de seguridad completa. A través de big data, se pueden integrar datos dispersos, lo que permite al personal de seguridad adoptar métodos de defensa de seguridad más proactivos.
Hoy en día, el entorno de red es extremadamente complejo. Los ataques APT y otros ataques de red pueden identificar amenazas a la seguridad buscando y analizando datos de diferentes fuentes de datos. Para ello, necesitamos monitorear una variedad de fuentes de datos. incluyendo datos DNS, comando y control (C2), listas blancas y negras, etc. De esta manera, estos datos se pueden correlacionar para su análisis.
A continuación se detallan algunos puntos clave para el análisis de big data empresarial con fines de seguridad:
Datos DNS
Los datos DNS pueden proporcionar una serie de nombres de dominio recién registrados, que son Se utiliza a menudo para spam. El nombre de dominio desde el que se envió el mensaje, así como el nombre de dominio recién creado, etc. Toda esta información se puede combinar con las listas blanca y negra, y todos estos datos deben recopilarse para su posterior análisis.
Si tiene su propio servidor DNS, puede verificar esas consultas de nombres de dominio externos y es posible que encuentre algunos nombres de dominio que no se puedan resolver. Esta situación puede significar que has detectado un "algoritmo de generación de nombres de dominio". Esta información permite a los equipos de seguridad proteger las redes corporativas. Y si se analiza el registro de datos de tráfico LAN, es posible encontrar la máquina atacada correspondiente.
Sistema de comando y control (C2)
La combinación de datos de comando y control puede producir una lista negra de direcciones IP y nombres de dominio. Para las redes corporativas, el tráfico de la red nunca debe dirigirse a sistemas de comando y control conocidos. Si el personal de seguridad de la red quiere investigar cuidadosamente los ataques a la red, puede dirigir el tráfico desde el sistema C2 a las máquinas "honeypot" configuradas por la empresa.
Inteligencia sobre amenazas de seguridad
Existen fuentes de datos similares a la reputación de la red que se pueden utilizar para determinar si una dirección es segura. Algunas fuentes de datos proporcionan decisiones de "sí" y "no", y algunas también proporcionan información sobre el nivel de amenaza. El personal de ciberseguridad puede decidir si se debe acceder a una dirección en función del nivel de riesgo con el que se sienta cómodo.
Registros de tráfico de red
Muchos fabricantes proporcionan herramientas para registrar registros de tráfico de red. Cuando se utilizan registros de tráfico para analizar amenazas a la seguridad, es fácil quedar ahogado en una gran cantidad de datos de "ruido". Sin embargo, los registros de tráfico siguen siendo un requisito básico para el análisis de seguridad. Existen algunos buenos algoritmos y software que pueden ayudar a proporcionar un análisis de calidad.
Datos de Honeypot
Honeypots puede detectar eficazmente malware dirigido a una red específica. Además, el malware obtenido a través de "honeypots" se puede analizar para obtener sus firmas, lo que permite un mayor seguimiento de las infecciones en otros dispositivos de la red. Esta información es muy valiosa, especialmente porque el código malicioso personalizado utilizado en muchos ataques APT a menudo no es detectable por el software antivirus convencional. Vea las cinco razones por las que las empresas crean "honeypots" en el artículo de este sitio.
La calidad de los datos es importante
Finalmente, las empresas deben prestar atención a la calidad de los datos. Hay una gran cantidad de datos disponibles en el mercado, y la calidad y precisión de estos datos es una de las consideraciones más importantes para el personal de seguridad al realizar análisis de seguridad de big data. Por lo tanto, las empresas necesitan tener un equipo interno de evaluación de datos para hacer las preguntas correspondientes sobre las fuentes de datos, como: ¿Cuándo se agregaron los últimos datos? ¿Hay datos de muestra para la evaluación? ¿Cuántos datos se pueden agregar cada día? ¿Gratis? ¿Cuánto tiempo llevan recopilados los datos?
Las noticias sobre incidentes de seguridad y fugas de datos aparecen en los periódicos casi todos los días. Incluso si las empresas han comenzado a tomar medidas para defenderse contra las APT, los métodos tradicionales de defensa de la seguridad no tienen muchas soluciones para ataques como las APT. Al utilizar big data, las empresas pueden tomar medidas de defensa más proactivas, mejorando en gran medida la profundidad y amplitud de la defensa de la seguridad.