Evaluar Conozca los pros y contras de las tecnologías, productos y proyectos que está considerando.

Nuevos patrones de seguridad emergen para la analítica de grandes datos

La falta de intercambio de información entre las organizaciones y unidades de negocio, es un problema común. El análisis de big data, puede ayudar a resolver este dilema,

Los atentados del Maratón de Boston ofrecen un crudo recordatorio de los fracasos de los grandes volúmenes de datos (big data) y la seguridad, es decir, la falta de habilidad de las agencias de inteligencia para conectar los puntos, antes y después de los ataques del 15 de abril.

La falta de intercambio de información entre las organizaciones y unidades de negocio, o incluso la conciencia sobre la existencia de un conjunto determinado de datos, es un problema común. El análisis de grandes volúmenes de datos, o analítica de big data, puede ayudar a resolver este dilema, según sus defensores, y proporcionar la inteligencia de datos que detecta patrones sospechosos y amenazas potenciales mediante la ampliación de la definición de seguridad de los datos a todas las partes del negocio.

La seguridad guiada por la inteligencia e impulsada por la analítica de big data será una disrupción en varios segmentos de productos de seguridad informática en los próximos dos años, según los ejecutivos de RSA, la división de seguridad de EMC. "Con la capacidad de penetración de grandes volúmenes de datos que tocan todo lo que hacemos, nuestra superficie de ataque está a punto de ser alterada y ampliada y los riesgos serán aumentados de maneras que no podríamos haber imaginado", dijo Arthur Coviello, Jr., vicepresidente ejecutivo y presidente de RSA, división de seguridad de EMC, durante la conferencia de RSA en febrero pasado.

En tanto que las organizaciones y empleados operan cada vez más en ambientes móviles, de redes sociales y Web, aprovechando la información identificada por análisis o patrones en una amplia variedad de conjuntos de datos, incluyendo texto no estructurado y datos binarios –audio, imágenes y video– pueden ofrecer información valiosa sobre los riesgos de la empresa mucho más allá de la TI.

Pero incluso con el uso de modelos estadísticos avanzados y análisis predictivo, las amenazas de seguridad desconocidas aún no se detectan. ¿Los grandes volúmenes de datos y el análisis de alto rendimiento realmente mejorarán la seguridad? Tal vez, pero hoy en día el uso significativo de las tecnologías de big data en grandes volúmenes de datos para seguridad es raro y representa muchos retos, según Anton Chuvakin, director de investigación de seguridad y gestión de riesgos en Gartner, quien bromeó: "Las organizaciones que utilizan el análisis predictivo tradicional para seguridad, ¿Te refieres a 'ambas cosas’?"

Gartner define a los "grandes datos", con base en las tres “V” (3Vs) –volumen, variedad y velocidad. "Las organizaciones que han invertido tiempo (a menudo años) y recursos (a menudo millones de dólares) para construir su propia plataforma para el análisis de big data de seguridad han encontrado valor", dijo Chuvakin. "Por lo general, dicho valor se manifiesta a través de una mejor detección del fraude, una mayor y más profunda detección de incidentes de seguridad, e investigación de incidentes más eficaz."

Una de estas empresas es Visa, el gigante de procesamiento de tarjetas de crédito. La compañía provocó algunas olas a principios de año cuando dio a conocer a The Wall Street Journal que estaba utilizando un nuevo motor de análisis y 16 modelos diferentes, que podrían ser actualizados en menos de una hora, para detectar el fraude con tarjetas de crédito.

Steve Rosenbush, de The Journal, escribió en su blog sobre las mejoras detrás del motor de análisis de alto rendimiento, que de acuerdo con Visa, evalúa hasta 500 aspectos de una transacción, en comparación con la tecnología anterior, que sólo podía manejar 40. Las poderosas capacidades analíticas están habilitadas en parte por la adopción de Visa de la tecnología de bases de datos no relacionales en 2010 y el marco del software de código abierto Apache Hadoop, que está diseñado para el almacenamiento de bajo costo y el cálculo de los datos distribuidos a través de grupos de servidores básicos.

Prisa por la analítica de grandes volúmenes

A pesar de todo el alboroto sobre Hadoop –que utiliza el modelo de programación de MapReduce (derivado de la tecnología de Google) para "mapear" y "reducir" los datos, junto con un sistema de archivos distribuido (HDFS) con una función integrada de automatización para fallas y redundancia– el uso de Hadoop es poco común en las grandes y medianas empresas. Las herramientas para acceder al almacenamiento de Hadoop y sus capacidades computacionales siguen siendo difíciles de alcanzar, más allá de interfaces complejas y herramientas para los científicos de datos, o los accesos programados para desarrolladores cualificados con conocimientos de MapR Hive para las consultas de tipo SQL o Pig para un flujo de datos de alto nivel.

Eso podría cambiar pronto; sin embargo, al tiempo que los proveedores de tecnología de todos los frentes –empresas de infraestructura de grandes datos y proveedores de software empresarial– tratan de proporcionar herramientas de análisis de big data para los usuarios empresariales. Cloudera, que ofrece una distribución de Hadoop (CDH) y SAS anunciaron una asociación estratégica para integrar SAS High Performance Analytics y SAS Visual Analytics entre otras herramientas. InfoBright, Greenplum de EMC y MapR se mueven en el ámbito empresarial con herramientas de visualización y análisis que permiten a los analistas corporativos trabajar con grandes conjuntos de datos y desarrollar procesos analíticos, en algunos casos utilizando sandboxing y virtualización.

"Este tipo de análisis ha sido una necesidad desde hace mucho tiempo, y apenas está disponible la tecnología que en realidad puede llevar a cabo este tipo de análisis a gran escala", dijo Mark Seward, director senior de seguridad y el cumplimiento de Splunk. La tecnología de seguridad de la información y gestión de eventos (SIEM) de la empresa es utilizado por alrededor de 2,000 empresas para analizar los datos de las máquinas, lo que incluye todos los datos de los sistemas, la "Internet de las cosas" y los dispositivos conectados.

Cualquier texto ASCII puede ser indexado por Splunk, el cual puede utilizar hasta 150 comandos en los datos de retorno establecidos para llevar a cabo el análisis estadístico y hacer visualizaciones. Según Seward, Splunk puede escalar a petabytes de datos. No maneja nativamente datos binarios pero Hadoop y otros convertidores están disponibles. Para utilizar Splunk, los profesionales de TI enfocados en la seguridad esencialmente necesitan entender los comandos de scripting del Shell de Linux, SQL y tener acceso a la documentación sobre el tipo de campos que tienen en los datos.

"Con la llegada de las tecnologías de indexación para Hadoop como Splunk, ahora las tecnologías están disponibles para echar un vistazo con más detalle en torno a los datos generados por las máquinas y los datos generados por los usuarios para entender lo que está sucediendo en el interior de una organización, o lo que está sucediendo en el interior de una línea de fabricación, por ejemplo", dijo Seward. Cuando se piensa en los riesgos en toda la organización, no sólo se piensa en la seguridad en el sentido tradicional, sino que también se piensa en lo que la gente hace con los datos diariamente –o tanto como se pueda conseguir– eso sería un riesgo para su negocio particular. "Tal vez deba revisar los datos de calefacción y ventilación para entender si alguien entró en la planta de fabricación y subió la temperatura un par de grados, lo que podría poner en peligro toda la producción de un producto", dijo.

Servicios de analítica de Big Data

Las empresas que no quieren hacerlo internamente pueden buscar servicios de analítica de grandes datos. Opera Solutions, especializada en análisis predictivo, utiliza el aprendizaje de las máquinas para reconocer patrones en los datos de código abierto, como por ejemplo las páginas vistas y los feeds de Twitter, para abstraer inteligencia predictiva a partir de los flujos de big data. La ontología de amenazas de 80 millones de palabras de la compañía extrae frases multilingües (en 15 idiomas). Se da prioridad a las frases por niveles de amenaza, sobre la base de unos 450 millones de relaciones entre esas palabras. "Se ha construido de una manera única", según un portavoz de la compañía, "no por máquinas que tratan de entender qué son esas relaciones –pero básicamente, a través del outsourcing en toda la Web todas las relaciones humanas que la gente ha construido."

Los servicios de análisis de grandes datos de la compañía se utilizan sobre todo en los sectores gubernamentales y comerciales para advertir a los clientes acerca de las amenazas externas con antelación, incluyendo potenciales manifestaciones violentas o terroristas. Recientemente, por ejemplo, Opera Solutions utilizó su inteligencia predictiva para advertir a un cliente con antelación sobre una manifestación prevista fuera de sus oficinas, lo que permitió a los ejecutivos reprogramar una reunión importante y evitar a los manifestantes.

"Muchas organizaciones tienen expertos de seguridad o grupos de productos, y podrían hacer el trabajo si tan sólo hubiera uno o dos documentos que tuvieran que revisar", dijo Herb Kelsey, vicepresidente de análisis en Opera Solutions. "Pero estamos viendo cientos de millones de documentos y piezas de información al día, superando con mucho la capacidad que tiene un ser humano, ya se trate de un analista de negocios o un CSO." La máquina de aprendizaje imita su comportamiento y ofrece un refinado conjunto de información que es mucho más pequeño y más manejable. "Involucramos a los seres humanos en múltiples pasos en el proceso para que entiendan cómo pueden resolver un problema... y entonces le enseñamos a la máquina a imitar ese comportamiento", dijo.

Opera Solutions emplea cerca de 230 científicos de datos que son especialistas en máquinas de aprendizaje, así como expertos en dominios y personal de TI. Al igual que otras empresas de análisis de big data, Opera Solutions tiene previsto ofrecer una herramienta de análisis de grandes datos basado en su tecnología para la empresa. Kelsey también está desarrollando la solución Secure Community of Interest (SCoI) para la subsidiaria propiedad de la compañía, Opera Solutions Government Services. SCoI está diseñado para proteger los documentos para su distribución mediante el cifrado y almacenamiento en la nube pública y la limitación de acceso a través de la autenticación para proteger los datos sensibles contra el uso interno no autorizado y las amenazas externas.

Los proveedores de servicios de análisis de datos, o las empresas de procesamiento de pago como Visa pueden beneficiarse de examinar millones de piezas de datos no estructurados, o miles de millones de transacciones; sin embargo, los profesionales de la seguridad de analítica de grandes datos aconsejan a las organizaciones iniciar pequeños proyectos con un proceso ágil y flexible.

"He hablado con algunas organizaciones que han superado realmente su SIEM basado en SQL y se trasladaron a sistemas basados en Hadoop –que construyeron ellos mismos", dijo Chuvakin. "Su experiencia en el análisis de datos utilizando su SIEM definitivamente les ha ayudado a reactivar su proyecto de análisis de big data. Es una muy buena comenzar su proyecto de análisis de datos con pequeños datos –así como con los datos estructurados".

La gama de algoritmos que utilizan las empresas para el análisis de seguridad de datos es bastante amplio, de acuerdo con Chuvakin. Va desde un "simple resumen hasta el aprendizaje automático, clustering, perfiles, y todo tipo de valores atípicos y detección de anomalías."

 

Sobre el autor: Kathleen Richards es editor de informes de la revista Information Security. Puede contactarla en atkrichards@techtarget.com.

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close