Análisis de seguridad de la información de big data
Análisis de seguridad de la información de Big Data
Las empresas y otras organizaciones han estado operando en un entorno de seguridad de la información hostil, en el que los recursos informáticos y de almacenamiento se vuelven vulnerables a los atacantes que utilizan sistemas comprometidos. ataques maliciosos. Entre ellos, se roba información personal confidencial y luego se vende en el mercado clandestino, mientras que los ataques patrocinados por el Estado provocan filtraciones masivas de datos. En este caso, una empresa necesita implementar herramientas de análisis de seguridad de big data
para proteger los valiosos recursos de la empresa.
Gran parte de la seguridad de la información consiste en monitorear y analizar datos en servidores, redes y otros dispositivos. Los avances en el análisis de big data también se están aplicando a la vigilancia de la seguridad y pueden utilizarse para permitir un análisis más amplio y profundo. Son significativamente diferentes del análisis de seguridad de la información tradicional. Este artículo presentará las nuevas características del análisis de seguridad de big data desde dos aspectos, así como los factores clave que las empresas deben considerar al elegir la tecnología de análisis de big data.
Características del análisis de seguridad de big data
En muchos sentidos, el análisis de seguridad de big data es una extensión de la gestión de eventos e información de seguridad (SIEM) y tecnologías relacionadas. Si bien solo existe una diferencia cuantitativa en la cantidad y el tipo de datos analizados, da como resultado una diferencia cualitativa en el tipo de información extraída de los dispositivos y aplicaciones de seguridad.
Las herramientas de análisis de seguridad de big data normalmente incluyen dos categorías funcionales: SIEM y monitoreo de rendimiento y disponibilidad (PAM). Las herramientas SIEM suelen incluir gestión de registros, gestión de eventos y análisis de comportamiento, así como supervisión de bases de datos y aplicaciones. La herramienta PAM se centra en la gestión operativa. Sin embargo, las herramientas de análisis de big data son más capaces que simplemente combinar herramientas SIEM y PAM; su propósito es recopilar, integrar y analizar datos a gran escala en tiempo real, lo que requiere alguna funcionalidad adicional.
Al igual que SIEM, las herramientas de análisis de big data tienen la capacidad de descubrir con precisión dispositivos en la red. En algunos casos, una base de datos de gestión de configuración puede complementar y mejorar la calidad de los datos recopilados automáticamente. Además, las herramientas de análisis de big data deben poder integrarse con servidores LDAP o Active Directory, así como con otras herramientas de seguridad de terceros. Es posible que la compatibilidad con los flujos de trabajo de respuesta a incidentes no sea muy importante para las herramientas SIEM, pero cuando el volumen de datos de eventos de seguridad de los registros y otras fuentes es muy grande, esta característica es esencial.
La diferencia entre el análisis de seguridad de la información de big data y el análisis de seguridad en otros campos se refleja principalmente en cinco características principales.
Característica principal 1: Escalabilidad
Una de las principales características del análisis de big data es la escalabilidad. Estas plataformas deben tener capacidades de recopilación de datos en tiempo real o casi en tiempo real. El tráfico de red es un flujo ininterrumpido de paquetes de datos y el análisis de datos debe ser tan rápido como la adquisición de datos. No es posible que la herramienta de análisis detenga el tráfico de la red para ponerse al día con la acumulación de paquetes que deben analizarse.
El análisis de seguridad de big data no se trata solo de inspeccionar paquetes sin estado o realizar un análisis profundo de paquetes. Es muy importante comprender este problema. Aunque son muy importantes y necesarios, la capacidad de correlacionar eventos en el tiempo y el espacio es la clave para una plataforma de análisis de big data. Esto significa que después de un corto período de tiempo, un flujo de eventos registrados en un dispositivo (como un servidor web) puede corresponder claramente a eventos en un dispositivo de usuario final.
Característica principal 2: informes y visualización
Otra característica importante del análisis de big data son los informes y el soporte para el análisis. Los profesionales de la seguridad han respaldado durante mucho tiempo los informes comerciales y de cumplimiento con herramientas de generación de informes. También tienen un panel que proporciona una descripción general de alto nivel de los indicadores clave de rendimiento con indicadores de seguridad preconfigurados. Aunque estas dos herramientas existentes son necesarias, no son suficientes para satisfacer las necesidades del big data.
Para los analistas de seguridad, se requieren herramientas de visualización para presentar la información obtenida a partir de big data en un método de identificación estable y rápido. Por ejemplo, Sqrrl utiliza tecnología de visualización para ayudar a los analistas a comprender relaciones complejas en datos interconectados, como información de sitios web, usuarios y transacciones HTTP.
Característica principal 3: Almacenamiento persistente de Big Data
El origen del nombre de Big Data Security Analysis es que proporciona excelentes capacidades de almacenamiento y análisis que son diferentes de otras herramientas de seguridad. Las plataformas para el análisis de seguridad de big data suelen utilizar sistemas de almacenamiento de big data, como el sistema de archivos distribuido Hadoop (HDFS) y almacenamiento de archivos de mayor latencia, así como procesamiento back-end y MapReduce, un modelo de computación por lotes eficaz. Pero MapReduce no es necesariamente muy eficiente y requiere un gasto de E/S muy intensivo. Una herramienta popular que se puede utilizar como alternativa a MapReduce es Apache Spark, que es un modelo de procesamiento más amplio que utiliza la memoria de manera más eficiente que MapReduce.
Los sistemas de análisis de big data, como MapReduce y Spark, resuelven las necesidades informáticas del análisis de seguridad. Al mismo tiempo, el almacenamiento persistente a largo plazo también suele depender de bases de datos relacionales o NoSQL. Por ejemplo, la plataforma SplunkHunk admite análisis y visualización sobre bases de datos Hadoop y NoSQL. La plataforma se encuentra entre los almacenes de datos no relacionales de una organización y el resto del entorno de aplicaciones. Las aplicaciones Hunk integran el almacenamiento de datos directamente y no es necesario trasladarlas al almacenamiento de memoria secundaria. La plataforma Hunk incluye una gama de herramientas para analizar big data. Admite el desarrollo de aplicaciones Hunk y paneles personalizados, que se pueden crear directamente sobre un entorno HDFS, así como herramientas de visualización y búsqueda adaptativas.
Otra característica importante de la plataforma de análisis de seguridad de big data es la retroalimentación inteligente, donde se establecen bases de datos de vulnerabilidades, blogs de seguridad y otras fuentes de noticias, y la información potencialmente útil se puede actualizar continuamente. Las plataformas de seguridad de big data pueden extraer datos de múltiples fuentes, con la capacidad de replicar notificaciones de amenazas e información de correlación en sus métodos personalizados de recopilación de datos.
Característica principal 4: entorno de la información
Debido a que los incidentes de seguridad generan tantos datos, plantean enormes riesgos para los analistas y otros profesionales de la seguridad de la información, lo que limita su capacidad para identificar capacidades de incidentes críticos. Las útiles herramientas de análisis de seguridad de big data analizan los datos en el contexto de un usuario, dispositivo y momento específicos.
Los datos sin este contexto son de poca utilidad y dan como resultado una mayor tasa de falsos positivos. La información contextual también mejora la calidad del análisis de comportamiento y la detección de anomalías. La información de antecedentes puede incluir información relativamente estática, como un empleado específico que trabaja en un departamento específico. También puede incluir información más dinámica, como patrones de uso típicos que pueden cambiar con el tiempo. Por ejemplo, es normal tener una gran cantidad de accesos al almacén de datos el lunes por la mañana porque los gerentes necesitan realizar algunas consultas ad hoc para comprender mejor los eventos descritos en los informes semanales.
Característica principal 5: Amplia funcionalidad
La última característica distintiva del análisis de seguridad de big data es que sus funciones cubren una gama muy amplia de campos de seguridad. Por supuesto, el análisis de big data recopilará datos de dispositivos finales, que podrían ser cualquier dispositivo conectado a una red TCP o IP a través de Internet, incluidos ordenadores portátiles, teléfonos inteligentes o cualquier dispositivo IoT. Además de los dispositivos físicos y los servidores virtuales, el análisis de seguridad de big data debe incluir la seguridad relacionada con el software. Por ejemplo, las evaluaciones de vulnerabilidad se utilizan para identificar posibles vulnerabilidades de seguridad en un entorno determinado. La red es una rica fuente de información y estándares, como el protocolo de red NetFlow desarrollado por Cisco, que se puede utilizar para recopilar información de tráfico en una red determinada.
Las plataformas de análisis de big data también pueden utilizar productos de detección de intrusiones para analizar el comportamiento del sistema o del entorno y descubrir posibles actividades maliciosas.
El análisis de seguridad de big data es cualitativamente diferente de otras formas de análisis de seguridad. La necesidad de escalabilidad, la necesidad de herramientas para integrar y visualizar diferentes tipos de datos, la creciente importancia de la información contextual y la amplitud de las capacidades de seguridad están llevando a los proveedores a aplicar herramientas avanzadas de análisis y almacenamiento de datos a la seguridad de la información.
Cómo elegir una plataforma de análisis de seguridad de big data adecuada
La tecnología de análisis de seguridad de big data combina funciones avanzadas de análisis de eventos de seguridad y funciones del sistema de gestión de incidentes (SIEM) y es adecuada para muchas empresas. casos, pero no todos. Antes de invertir en una plataforma de análisis de big data, considere el nivel de capacidades organizativas de su empresa que utiliza sistemas de seguridad de big data. Hay varios factores a considerar aquí, desde la infraestructura de TI que debe protegerse hasta los costos y beneficios de implementar más controles de seguridad.
Escala de infraestructura
Las organizaciones con grandes infraestructuras de TI son los principales candidatos para el análisis de seguridad de big data. Las aplicaciones, los sistemas operativos y los dispositivos de red pueden capturar rastros de actividad maliciosa. Un tipo de datos por sí solo no proporciona evidencia suficiente para identificar una amenaza activa, y la combinación de múltiples fuentes de datos puede proporcionar una visión más completa del estado de un ataque.
La infraestructura existente y los controles de seguridad generan los datos sin procesar, pero las aplicaciones de análisis de big data no necesitan recopilar, capturar y analizar toda la información. En un entorno donde sólo hay unos pocos dispositivos y la estructura de la red no es muy compleja, el análisis de seguridad de big data puede no ser muy necesario. En este caso, el SEIM tradicional puede ser suficiente.
Monitoreo casi en tiempo real
Otro factor que impulsa la necesidad de un análisis de seguridad con big data es la necesidad de recopilar información sobre accidentes casi en tiempo real. El monitoreo en tiempo real es particularmente importante en entornos donde se almacenan datos de alto valor y son vulnerables a ataques graves, como servicios financieros, atención médica, agencias gubernamentales, etc.
Una investigación reciente de Verizon encontró que en el 60% de los incidentes, los atacantes pudieron comprometer el sistema en cuestión de minutos, pero la proporción de vulnerabilidades detectadas en cuestión de días también fue muy baja. Una forma de reducir el tiempo de detección es recopilar diversos datos de toda su infraestructura en tiempo real y filtrar inmediatamente los datos relevantes para los eventos de ataque. Este es un caso de uso clave para el análisis de big data.
Datos históricos detallados
A pesar de los mejores esfuerzos, es posible que los ataques no se detecten durante algún tiempo. En este caso, es importante tener acceso a registros históricos y otros datos de eventos. Siempre que haya suficientes datos disponibles, el análisis forense puede ayudar a identificar cómo ocurrió un ataque.
En algunos casos, no se requiere análisis forense para identificar vulnerabilidades o corregir debilidades de seguridad. Por ejemplo, si una pequeña empresa es atacada, la solución más rentable podría ser contratar a un consultor de seguridad para evaluar las configuraciones y prácticas actuales y recomendar cambios. En este caso, no es necesario realizar un análisis de seguridad de big data. Otras medidas de seguridad pueden ser efectivas y económicas.
Infraestructura local frente a infraestructura en la nube
Como sugiere el nombre, el análisis de seguridad de big data requiere la recopilación y el análisis de grandes cantidades de diversos tipos de datos. Cualquier limitación en la captura de información de eventos de seguridad, como la capacidad de capturar todo el tráfico en una red, puede tener un impacto grave en la calidad de la información obtenida de un sistema de análisis de seguridad de big data. Esto es especialmente cierto en entornos de nube.
Los proveedores de la nube restringen el acceso al tráfico de la red para mitigar el riesgo de ciberataques. Por ejemplo, los clientes de computación en la nube no pueden desarrollar segmentos de red para recopilar datos completos sobre paquetes de red. Los posibles usuarios de análisis de seguridad de big data deberían considerar cómo los proveedores de computación en la nube imponen restricciones que limitan el alcance de los análisis.
Sin embargo, hay situaciones en las que el análisis de seguridad de big data es útil para la infraestructura de la nube, especialmente los datos generados por los inicios de sesión en la nube. Por ejemplo, Amazon Web Services ofrece un servicio de monitoreo del rendimiento, llamado CloudWatch, y un registro de auditoría de llamadas API en la nube, llamado CloudTrail. Es posible que los datos operativos en la nube no sean tan granulares como los datos de otras fuentes de datos, pero pueden complementar otras fuentes de datos.
La capacidad de aprovechar los datos
Los análisis de seguridad de big data ingieren y correlacionan grandes cantidades de datos. Incluso cuando los datos se resumen y agregan, su interpretación puede resultar desafiante. La calidad de la información generada a partir del análisis de big data es, en parte, un indicador de la capacidad del analista para interpretar los datos. Cuando las organizaciones se ven involucradas en incidentes de seguridad, necesitan analistas de seguridad que puedan cortar las rutas de ataque y comprender el tráfico de la red y los eventos del sistema operativo.
Por ejemplo, un analista podría recibir una alerta sobre actividad sospechosa en un servidor de base de datos. Lo más probable es que este no sea el primer paso de un ataque. ¿Puede un analista activar una alerta y determinar si realmente se trata de un ataque navegando por datos históricos para encontrar eventos relacionados? Si no, entonces la organización no está aprovechando los beneficios de una plataforma de análisis de seguridad de big data.
Otros controles de seguridad
Las empresas deben considerar la madurez general de sus prácticas de seguridad antes de comprometerse con el análisis de seguridad de big data. Dicho esto, otros controles más baratos y sencillos deberían ser lo primero.
Se deben definir, aplicar y monitorear políticas claras de gestión de identidades y accesos. Por ejemplo, los sistemas operativos y las aplicaciones deben actualizarse periódicamente.
En el caso de entornos virtuales, las imágenes de las máquinas deben reconstruirse periódicamente para garantizar que se incorporen los parches más recientes. Se deben utilizar sistemas de alerta para monitorear eventos sospechosos o cambios ambientales significativos (como la adición de una cuenta de administrador en el servidor). Se deben implementar firewalls de aplicaciones web para reducir el riesgo de ataques de inyección y otras amenazas basadas en aplicaciones.
Los beneficios del análisis de seguridad de big data pueden ser enormes, especialmente cuando se implementan en una infraestructura que ya implementa una estrategia de defensa integral.
Caso de negocio de análisis de seguridad de big data
El análisis de seguridad de big data es una nueva tecnología de control de seguridad de la información. El objetivo principal de estos sistemas es fusionar datos de múltiples fuentes y reducir la necesidad de soluciones de integración manual. También aborda deficiencias en otros controles de seguridad, como la dificultad para realizar consultas en múltiples fuentes de datos. Al capturar flujos de datos de múltiples fuentes, los sistemas de análisis de big data mejoran las posibilidades de recopilar detalles importantes desde el punto de vista forense.