Big Data y ciberseguridad: más allá de los SIEM tradicionales

Si has sido alguna vez víctima de un robo en tu vida (ojalá que no), conocerás en primera persona ese sentimiento de rabia e impotencia que se genera. Entre otras cosas, por no haber hecho (o podido hacer) algo para evitarlo. Este verano entraron a robar en la urbanización donde vivo. Usaron la impunidad de la noche para literalmente reventar 4 o 5 trasteros y llevarse algunos objetos de valor. El método no era demasiado sofisticado, pero sí eficaz: les bastó un papel convenientemente doblado en el hueco de pestillo para abrir la puerta de seguridad de acceso a los trasteros sin forzarla. Así de simple. Simple de hacer y de combatir. Ahora, cuando accedo a los trasteros, me aseguro de que no haya otro papel en la puerta. Sabemos que es una respuesta reactiva. Sabemos cómo nos atacan y nos defendemos ante ello. Pero el día en que “los malos” utilicen otro modus operandi, seremos incapaces de anticiparnos, y nos pueden volver a robar.

Los sistemas de vigilancia de eventos de seguridad, los denominados SIEM (Security Information and Event Management) en los que confían la mayoría de las empresas para salvaguardar sus sistemas y datos, tienen una aproximación reactiva similar. Dicho de otro modo, los SIEM se limitan a detectar eventos que impliquen un riesgo de seguridad (¿alguien navegando por la Internet profunda?) Volviendo a la analogía anterior, un SIEM tradicional vigilaría si hay un papel doblado en la puerta, porque alguien le ha dicho que eso compromete la seguridad. Para ello se basan en la experiencia pasada (propia o de otros), o poniéndose en la piel del atacante (¿cómo podría yo violar la seguridad de este entorno?).

Sin embargo, hay una tercera vía: un sistema inteligente sería capaz de detectar que una puerta con un papel doblado se sale de la norma y, siendo un elemento de seguridad representa un riesgo.

¿Podemos anticiparnos a nuevas formas de ataque sin esperar a haberlos sufrido en el pasado (con consecuencias, muchas veces, irreparables)? ¿Podemos, en definitiva,  tratar de anticipar ataques de ciberdelincuentes de manera proactiva? En el caso de la ciberseguridad, gracias al Big Data y los avances en Inteligencia Artificial, sí.

El Big Data al rescate

Los sistemas de seguridad IT generan un volumen de información que, hasta hace relativamente poco, no se podía explotar en tiempo real. Mucha de esa información se procesaba en investigaciones forenses para determinar las fuentes y causas de un ataque. Si bien es verdad que los fabricantes de SIEM han ido evolucionando sus productos para dar respuesta a una creciente sofisticación de los ataques, el Big Data va a suponer un cambio importante en el paradigma de los sistemas de vigilancia como los SIEM. Y todo gracias a las famosas Vs del Big Data:

  • Volumen: gran cantidad de datos, llegándose incluso a querer procesar a nivel de paquete de red.
  • Velocidad en el análisis de datos, al querer resultados en tiempo real, o con una latencia pequeña.
  • Variedad, usando diferentes fuentes de datos y formatos.

Cuando salirse de la norma es malo

En nuestras vidas odiamos la monotonía, el hacer siempre lo mismo, la uniformidad. En el mundo de la seguridad sucede todo lo contrario: los problemas vienen cuando algo se sale de la norma, del comportamiento habitual, esperado. Y es precisamente en eso, en el análisis de patrones, tendencias y desviaciones donde la analítica predictiva juega un papel fundamental.

La combinación de la analítica de datos junto con el Big Data, es decir, la abundante cantidad de datos (volumen) y heterogeneidad (variedad) de los mismos, junto con la necesidad de respuesta rápida (velocidad) los datos, está suponiendo un cambio radical, disruptivo, en los sistemas SIEM tradicionales.

guisantes

Pongamos por caso que somos capaces de caracterizar y clasificar automáticamente el comportamiento del personal de la empresa por su navegación en Internet. Sitios a los que se accede, volumen de datos, horario de actividad, …

  • Tiene sentido pensar que el personal de marketing y contenidos web tendrá un tráfico elevado en momentos puntuales (como por ejemplo, al subir un vídeo promocional) y determinados sitios (medios sociales, web / blogs corporativos, …)
  • El tráfico hacia Internet que genera un desarrollador software es sin duda más limitado, y no se esperaría subidas de grandes volúmenes de datos.
  • Un miembro del equipo de seguridad puede que tenga que visitar páginas “poco recomendables” en sus investigaciones, haciéndolo desde máquinas y direcciones “autorizadas”.

Es imposible vigilar a todos los usuarios de una organización con miles de empleados, salvo que haya sospechas sobre alguno de ellos. Pero clasifiquemos automáticamente a los usuarios por su navegación en redes y sistemas de información, en base a su actividad durante un tiempo determinado, y crucemos la información, por ejemplo, con bases de datos de RRHH (posición en la empresa, departamento, lugar de trabajo, …) o participación en proyectos. Entonces seremos capaces de determinar si realizan alguna actividad “anormal” en la red en un momento dado.

jirafa

Cruzar información con estas bases de datos aporta otras capacidades de detección. Se conocen situaciones de uso de cuentas de usuarios… que ya no pertenecen a la empresa (sospechosas, por tanto, de estar siendo usadas de manera fraudulenta o malintencionada).

Es importante destacar la palabra automáticamente, puesto que es un algoritmo inteligente quien encuentra los grupos de clasificación y la pertenencia a los mismos, sin necesidad de intervención humana.

Conviene aquí destacar que el foco es la seguridad. Limitar el tráfico a páginas de periódicos online, prensa deportiva, redes sociales o servicios de streaming puede ser un problema de dedicación y eficiencia en el trabajo, y puede preocupar a departamentos como recursos humanos. Pero el interés de este tipo de herramientas reside en proteger la seguridad de la información y las infraestructuras de la empresa, de evitar que se comprometan las infraestructuras y datos críticos de las mismas. Aunque obviamente tienen también un efecto psicológico disuasorio.

Un SIEM de Nueva Generación: SIEM_NG

Aprovechando la enorme experiencia acumulada en materia de ciberseguridad y know-how en proyectos Big Data, GMV ha desarrollado el SIEM de Nueva Generación SIEM_NG. Dicho SIEM dota a la empresa de una capacidad predictiva de eventos que pueden comprometer la seguridad de una organización. No excluyen ni reemplazan los SIEM actualmente en el mercado (ArcSight SIEM de HP, QRadar, Splunk, LogRhythm, …) Los complementa con capacidades predictivas y analíticas avanzadas.

SIEM_NG permite:

  • Procesar y analizar grandes volúmenes de información de fuentes diversas y heterogéneas
  • Analizar casuísticas y comportamientos complejos más allá de las posibilidades que ofrece un SIEM tradicional
  • Agilidad en su adaptación y configuración al entorno, permitiendo la creación de nuevas reglas o modificación de las existentes en un tiempo reducido.
  • Disponer de una solución escalable basada en tecnologías Open Source
  • Un coste de implementación asequible y una curva de aprendizaje muy rápida, al implementar una arquitectura flexible basada en tecnologías estándar.

Conclusiones

Como en el experimento del gorila invisible, al concentrarnos exclusivamente en aquello que se nos dice que vigilemos, corremos el riesgo de perdernos eventos no esperados. Eventos que pueden ser fatales para la seguridad de nuestros sistemas.

Los avances de las tecnologías de procesado de datos (Big Data e Inteligencia Artificial) permiten disponer de SIEM con capacidades analíticas y predictivas “a la carta”, adaptadas a las necesidades del entorno y realidad de la empresa. Características como la clasificación automática de usuarios supone ya un salto cuantitativo y cualitativo en las capacidades de detección y prevención en materia de ciberseguridad. Pero hay más:

  • Detección de servicios y usuarios activos que no deberían estar operativos
  • Procesamiento de eventos complejos (CPE) para la detección de fraude por reseteo de password (por citar un ejemplo)
  • Prevención de la exfiltración de información

SIEM_NG, la solución propuesta por GMV, está ya aportando un enorme valor allí donde está desplegado. Se trata de pasar de una aproximación reactiva a otra proactiva. En cualquier caso, pese al enorme avance que supone la automatización e inteligencia en la detección de posibles eventos, todo SIEM necesita la operación por parte de personal experimentado. Las alertas generadas deben ser analizadas, descartando falsos positivos. El sistema debe realimentarse de esta información para mejorar sus previsiones. Como cualquier SIEM, no basta con tener al sistema detectando eventos y dejando que se acumulen. En materia de ciberseguridad, la inteligencia de las máquinas debe ir acompañada de la inteligencia de los expertos.

Autor: Ángel Gavín Alarcón

Las opiniones vertidas por el autor son enteramente suyas y no siempre representan la opinión de GMV
The author’s views are entirely his own and may not reflect the views of GMV
Share

    2 opiniones en “Big Data y ciberseguridad: más allá de los SIEM tradicionales

      1. Ángel Gavín

        ¡Muchas gracias por el comentario!

        Lo has definido perfectamente: es un nuevo horizonte por descubrir.

        Gracias al Big Data y el Machine Learning, la tecnología ya no es un problema a la hora de abordar muchos análisis de datos. Las limitaciones pueden venir (cómo sucede en cualquier proyecto de Big Data) por la disponibilidad de los datos, y la fiabilidad (integridad, si se quiere) de los mismos. Pero es la pescadilla que se muerde la cola. Si se tiene el dato, se puede explotar. Si no, y se considera importante, tendrán que recogerlo.

        Muchas gracias de nuevo por comentar. Leeré con interés tu artículo.

        Ángel Gavín / GMV

    Deja un comentario

    Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

      I accept the privacy policy Acepto la Política de Privacidad

    Basic Data-Protection information:

    Data-protection supervisor: GMV Innovating Solutions SL
    Purpose: Answer questions, respond to user complaints and recommendations, receive job applicants resumes and career information.
    Legitimation: Consent of data subject
    Addresses: Grupo GMV companies
    Rights: Access, rectify and cancel data plus other rights, as explained in additional information
    Additional information: You can check out the additional and detailed data-protection information on our website:Privacy Policy

    Puedes usar las siguientes etiquetas y atributos HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

    WP-SpamFree by Pole Position Marketing

    6.175 Total Views