everythingpossible - Fotolia

Lo básico Póngase al día con nuestro contenido introductorio.

Cómo probar el análisis de datos en ambientes virtuales

Los equipos de seguridad necesitan practicar y probar el análisis de datos, pero esto puede ser difícil en entornos pequeños. Frank Siemons explica maneras de hacer que esto funcione de todos modos.

El mundo de la seguridad de TI gira en torno a los datos. Generar, recopilar, almacenar y analizar los datos está en el corazón de los registros de seguridad. Sin embargo, estos conjuntos de datos masivos ponen mucho estrés en los recursos de almacenamiento y de procesamiento.

En un entorno de producción profesional, la infraestructura de recolección de datos y análisis debe estar bien organizada y debe haber suficientes recursos para permitir una configuración fiable y de buen rendimiento.

Sin embargo, un profesional de seguridad tendrá que practicar y probar el análisis y manipulación de datos dentro de un entorno mucho más pequeño, debido a las limitaciones presupuestarias y la necesidad de una mayor flexibilidad. Afortunadamente, esto sigue siendo posible con un presupuesto bajo y una cantidad limitada de tiempo. Veamos algunas maneras de probar el análisis de datos en entornos pequeños, con un presupuesto pequeño.

Un profesional de la seguridad debe establecer un laboratorio de prueba para análisis de datos y ejecutar las pruebas de seguridad incluso si la empresa es pequeña y con un presupuesto limitado. Veamos algunas formas de ejecutar eficientemente un procedimiento de análisis de datos de prueba para un entorno pequeño.

Virtualización

Para mantener los costos bajos y la flexibilidad de configuración al máximo, utilice tanto hardware virtualizado como sea posible. VMware ESXi es un buen candidato para un laboratorio de pruebas de análisis de datos, pero otros productos como Parallels, VirtualBox o Hyper-V también funcionarían. Para este ejemplo, vamos a usar VMware. Después de registrarse para una licencia gratuita, el hipervisor puede ser instalado en un hardware relativamente barato, solo sea consciente de los requisitos de CPU soportados, o podría volverse caro. Sobre el hipervisor, se puede instalar muchos hosts virtuales diferentes, y se les puede unir entre sí a través de redes virtuales. Esto incluye, por ejemplo, servidores proxy Linux y basados ​​en Unix, aparatos IDS y firewalls, y servidores Splunk y Syslog.

Servidores proxy

Un servidor proxy proporciona una gran visibilidad del tráfico de red y controla el tráfico hasta la capa de aplicación del modelo ISO. Muestra la comunicación específica de HTTP y FTP, por ejemplo. Hay muchos servidores proxy gratuitos y de código abierto disponibles, como ClearOS, CacheGuard y pfSense, por ejemplo. PfSense, que se basa en FreeBSD, es uno de los más fáciles de manejar y tiene muchas características avanzadas incorporadas, tales como Squid Proxy, inspección SSL, antivirus y VPN. Remote Syslog es una opción seleccionable para los registros del firewall, pero con el fin de exportar también los registros de proxy, se debe añadir la siguiente línea al campo Opciones Personalizadas dentro de los ajustes de "servidor proxy": access_log syslog:LOG_LOCAL4. Esto debe ser seguido por un reinicio. Para la inspección de SSL, que puede proporcionar el registro proxy HTTPS, se debe instalar el paquete Squid 3 Proxy a través de la interfaz web de usuario.

Splunk

Un buen punto de partida para el registro centralizado y para ejecutar un procedimiento de análisis de datos de prueba para seguridad es Splunk Light. Es gratuito después de registrarse y puede ser fácilmente instalado en un servidor Ubuntu, por ejemplo. Teniendo en cuenta que el propio host está virtualizado, el servidor entero viene sin costo alguno. Otra opción disponible es Splunk Enterprise Free. Este empieza como una prueba de 60 días, que permite indexar hasta 500 MB de datos por día, pero proporcionará la opción de cambiar a una licencia perpetua de Splunk Enterprise Free después de esos 60 días.

Se necesita un expedidor universal de Splunk para recoger los registros –en este caso pfSense Remote Syslog– y enviarlos hacia adelante a un índice de Splunk. Este expedidor se puede instalar en el mismo host que Splunk Light Search Head (la interfaz de usuario web) o en un equipo diferente. La configuración y personalización de las fuentes de datos y los puertos de escucha de los expedidores universales Splunk se puede hacer a través de la interfaz web Splunk.

Hadoop

La minería de datos y la ciencia de datos es un tema candente en este momento. Para cualquiera que quiera profundizar en este tema, existe la opción de ejecutar un servidor de prueba Hadoop. Normalmente, Hadoop se ejecuta en una configuración de clúster, pero esto se puede reducir a un seudo clúster de un solo nodo también. Este único servidor contendrá entonces tanto el datanode como el namenode. Con el fin de intercambiar datos entre los servidores Splunk y Hadoop, se puede descargar e instalar Hadoop Connect. Esto requiere que Splunk Enterprise Free sea instalado y no funcionará en Splunk Light debido a la necesidad de soporte de aplicaciones dentro de Splunk. Los manuales de instalación y videos están disponibles en el sitio de Splunk.

Conclusión

Al final, la seguridad tiene que ver con los datos. Una vez que este laboratorio de pruebas haya sido configurado, los datos utilizables necesitan ser generados. Esto requiere un poco de actividad dentro de la red virtual. Esa actividad podría ser una cuestión de ejecutar la LAN doméstica a través del servidor proxy, crear un Honeypot en el perímetro o correr ataques simulados dentro de la red. Debido al uso de componentes virtuales, el laboratorio de pruebas será lo suficientemente flexible para adaptarse a los escenarios requeridos y será capaz de generar muchos tipos de datos listos para su análisis.

Próximos pasos

No olvide revisar también:

Domine las pruebas de interrupción en los dispositivos móviles

Amamos odiar las métricas de pruebas de calidad, pero aún las necesitamos

Entender la importancia de una estrategia de pruebas móviles

Investigue más sobre Gestión de la seguridad de la información

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close