Obtenga la opinión de dos expertos sobre el análisis de seguridad de Big Data, así como detalles del informe de investigación de su grupo de trabajo sobre el tema.
Edimburgo, Escocia, una ciudad preciosa y llena de historia, acogió el Congreso de la EMEA de la Cloud Security Alliance (CSA) en septiembre de 2013. El Big Data Working Group de CSA publicó su informe Big Data 2013 para Security Intelligence en esta reunión. La oferta de newresearch describe «cómo está cambiando el panorama de la analítica de seguridad con la introducción» de las herramientas de Big Data, así como las diferencias con respecto a la analítica de seguridad tradicional.
«El objetivo de la analítica de Big Data para la seguridad es obtener inteligencia procesable en tiempo real», dijo Álvaro Cárdenas, autor principal del informe en el comunicado de prensa de CSA. «Aunque la analítica de Big Data es muy prometedora, hay una serie de retos que deben ser superados para darse cuenta de su verdadero potencial. Apenas hemos comenzado, pero estamos ansiosos por avanzar en ayudar a la industria a entender su potencial con nuevas direcciones de investigación en Big Datasecurity».
ConsejoTecnologico.com habló recientemente con Álvaro Cárdenas y Wilco van Ginkel, copresidente del Grupo de Trabajo, sobre el informe, cómo Big Data está cambiando el panorama de la seguridad, y lo que los profesionales de TI necesitan saber para mantenerse al tanto de los nuevos enfoques.
ConsejoTecnologico.com: ¿Cuáles son los principales objetivos del subgrupo Big DataAnalytics de CSA?
Álvaro Cárdenas: Uno de los objetivos que queríamos alcanzar es comprender en qué se diferencia Big Data de los datos tradicionales en las herramientas que nos proporciona. Big Data es ahora un tema candente desde una perspectiva de negocio, pero es difícil para un consumidor identificar lo que es específicamente único acerca de Big Data. Uno de nuestros principales objetivos era entonces diferenciar a Big Data, y luego ejemplificar cómo BigData está ayudando a la seguridad en formas que otras tecnologías no eran capaces de dopar previamente, cosas que antes no podíamos resolver.
Análisis tradicional frente a análisis de grandes cantidades de datos
ConsejoTecnologico.com: ¿Cuáles son las diferencias entre la analítica tradicional y la analítica de Big Data?
Álvaro Cárdenas: Las diferencias están impulsadas por la tecnología, como el marco de Hadoopframework y el ecosistema que lo rodea para el procesamiento por lotes, el procesamiento de secuencias, el procesamiento de datos en movimiento para la computación por secuencias. Estos frameworks y la comoditización de los data warehouses pueden producir un gran cluster de ordenadores, gestionados de forma eficiente y barata. Esta es la forma en que podemos abordar este problema. Antes sólo las compañías de tarjetas de crédito o telefónicas podían invertir lo suficiente para tener estos grandes almacenes de datos y recopilar y analizar las tendencias y correlaciones históricas a largo plazo. Pero hoy en día estas tecnologías están al alcance de todos los interesados en desplegarlas. Por lo tanto, los grandes cambios están siendo impulsados por la tecnología y el acceso tanto al software como al hardware para gestionar estas tareas de procesamiento de información a gran escala.
En la sección 3.0 del informe se propone la siguiente evolución para el análisis de la seguridad de los datos:
- 1ª Generación: Sistemas de detección de intrusos
- 2ª Generación: Gestión de Información de Seguridad y Eventos (SIEM. También llamado «SIEM de primera generación».
- 3ª Generación: Análisis de grandes datos en seguridad. También llamado «SIEM de segunda generación»
La progresión de la analítica de seguridad de datos
ConsejoTecnologico.com: La tercera sección de su informe proporciona la progresión de los análisis de seguridad de datos desde el enfoque de perímetro heredado hasta las capacidades de BigData. ¿Cómo describiría estos desarrollos?
Álvaro Cárdenas: La primera generación (sistemas de detección de intrusos) llegó a su fin cuando la gente se dio cuenta de que no era posible proteger completamente un sistema. No hay manera de proteger perfectamente un sistema o de protegerlo de ataques. La gente ha estado trabajando en sistemas de detección de intrusos durante casi tres décadas. Las primeras fueron muy específicas, muy específicas, como extensiones de su cortafuegos de alguna manera. Se creaban firmas y se buscaba específicamente algo malicioso que pudiera estar sucediendo.
Eran firmas muy específicas, y se mantenía un registro de las infecciones y se detectaban las intrusiones. Un problema que nos dimos cuenta (con la detección de intrusos de primera generación) fue que estábamos generando muchas falsas alarmas.
Así que hay una variedad de información que necesita ser agregada y correlacionada, y eso es lo que hace la segunda generación (SIEM), que se ocupa de la correlación de datos y las falsas alarmas. Eventualmente lo que estaban haciendo era permitir un centro de operaciones de seguridad centralizado donde la gente vería en un tablero todos los indicadores de seguridad de su red. Permitiría a los usuarios recopilar análisis y datos sobre las tendencias, por ejemplo, todos los análisis de datos que se crearon con esta información.
Estamos en el nacimiento de esta tercera generación, lo que algunos llaman SIEM de «segunda generación». El problema con la primera generación deSIEM es que no se puede escalar muy bien. A veces hay que borrar datos o mantener los datos en diferentes esquemas para permitirles entrar en las bases de datos. Así que no escalan muy bien, y no permiten incorporar varios flujos de datos, cosas que no creían que tuvieran que usar cuando diseñaron el sistema. Ahora estamos, por ejemplo, monitoreando sitios web y tweets basados en texto o el mensaje de correo electrónico. Los datos no estructurados son muy difíciles de capturar con las tecnologías SIEM de primera generación. Una de las ventajas de Big Data y NoSQLdatabases es que pueden almacenar estos datos en un formato escalable y al mismo tiempo le permiten crear consultas para entender mejor los datos.
Análisis de seguridad de Big Data: lo que necesita saber
ConsejoTecnologico.com: ¿Qué es lo más importante que necesito saber sobre el análisis de seguridad de Big Data para mantenerme al día con la tecnología?
Álvaro Cárdenas: Big Data permite diversas capacidades, por ejemplo, forense y análisis de tendencias históricas a largo plazo. Al recopilar datos a gran escala y analizar las tendencias históricas, sería posible identificar cuándo comenzó un ataque y cuáles fueron los pasos que el ataque tomó para controlar sus sistemas. Incluso si no detectó el ataque original en sus sistemas, puede volver atrás y hacer una correlación histórica en su base de datos y sistemas para identificar el ataque. Así que el análisis histórico a largo plazo es una ventaja.
Otra es la eficiencia de las consultas. Así que cuando quiera entender sus datos, Big Data le permite llevar a cabo consultas complejas y recibir resultados de manera oportuna.
Por último, creo que es la diferencia en tecnología entre el procesamiento por lotes y la transmisión de datos. La transmisión de datos es simplemente analizar los datos en línea sin hacer estas correlaciones históricas, simplemente transmitiendo el tráfico. Así que esto sería una herramienta para identificar ataques más apremiantes que aparecen repentinamente, mientras que el procesamiento por lotes es mejor para analizar las tendencias a largo plazo. Así que esos son algunos de los conceptos que creo que son importantes.
Wilco van Ginkel: Si puedo añadir algo. Esta es una gran discusión, pero hay una pregunta que hay que hacer primero, que es lo que haría si un CISO se me acercara. Eso es: ¿Cuál es la preocupación de la CISO en este momento, y cómo puede ayudarle la analítica de Big Data? No es tanto lo que necesitamos para subirnos al carro de la analítica de Big Data, ¿sí o no? La pregunta es: ¿Por qué debería hacerlo? Entonces, ¿hay algo en el perfil de riesgo o en el estado de seguridad de la compañía que le moleste? Si es así, entonces tenemos la discusión. Se habla mucho de Big Data, pero es una etapa tan embrionaria que muchas empresas, al igual que hace cinco años con la nube, se suben a ella sin entender por qué lo hacen en primer lugar, y cuál es el beneficio. Esa sería mi primera conversación con un CISO.
Muchas empresas están rascando la superficie de la analítica de Big Data. Están haciendo pequeñas pruebas de concepto. Están tratando de saltar de, digamos, la analítica descriptiva, que se trata de lo que»pasó en el pasado, a la analítica prescriptiva, lo que va a venir». Pero todo es a muy pequeña escala – sólo están tratando de entenderlo y los datos. Así que realmente está en sus etapas iniciales, no hay cambios en la industria. Proviene de inicios analíticos especialmente enfocados en la analítica de seguridad. Desde el mercado inicial, se les ve tratando de abordar la analítica de seguridad desde un ángulo diferente. En el mercado empresarial, muchas empresas están pensando en ello, pero no tienen una idea real al respecto, con algunas excepciones. Una vez más, sólo están tratando de averiguar si realmente es algo para ellos y cuál es el valor añadido.
Gracias a Álvaro Cárdenas y Wilco van Ginkel por hacer tiempo para esta entrevista.