Evaluar Conozca los pros y contras de las tecnologías, productos y proyectos que está considerando.

El impacto de Big Data a la seguridad de la información

Aún no se explota el poder de la visualización de la enorme cantidad de datos que arroja una infraestructura típica en una empresa. ¿Qué implica big data para la seguridad?

Big Data se refiere a sacar provecho de una enorme cantidad de datos generados por ejemplo por sistemas o (a veces inadvertidamente) por usuarios. En seguridad informática también existe el deseo de hacer sentido de una gran cantidad de bytes que diariamente se generan en cientos de miles de registros de bitácoras que por lo general nadie analiza o interpreta.

Todo ataque informático queda registrado en bitácoras. Si configuramos adecuadamente la auditoría de eventos en redes y sistemas, mi aseveración está prácticamente garantizada. Luego entonces viene la pregunta: ¿si toda intrusión genera una huella en las bitácoras de la infraestructura de TI, por qué muchas veces pasa desapercibida? O en el mejor de los casos nos percatamos del ataque hasta tiempo después sólo cuando se realiza un análisis post-mortem. La respuesta es simple: son demasiados datos para ser analizados en tiempo real. Los logs se guardan por un tiempo y luego simplemente se borran para dejar paso a los nuevos.

Para atender esta problemática necesitamos echar mano de una herramienta que de alguna manera recolecte todos estos datos, los pre-analice con algunas reglas que le hayamos proporcionado y nos los muestre para nuestra interpretación. Existen diversos productos que nos pueden auxiliar en esta labor y el primero que se me viene a la mente es un Correlacionador de Eventos. Sin embargo, no es de la correlación de la que deseo hablarles sino de un concepto llamado “visualización de la seguridad”.

La visualización de la seguridad se refiere a ver (sí, literalmente “ver”) datos de una forma diferente, es decir, gráficamente (claro, existen mejores definiciones). Todos conocemos aquel certero dicho de “una imagen vale más que mil palabras”. Y lo mismo aplica para generar modelos que representen infinidad de datos que resultarían incomprensibles, al menos a primera vista viéndolos en bruto.

Imaginen este escenario. Miles de conexiones a un directorio activo cada minuto. Todas ellas provenientes de computadoras dentro de una red interna. De pronto hay una sola conexión que inicia en el exterior y contacta al directorio activo. Dicha conexión quedó perdida en el mar de eventos. Pero aguarden. Una gráfica que modela estas sesiones en tiempo real nos muestra ese océano de conexiones y de pronto una aislada que resalta de inmediato de la masa de datos. No necesitamos horas para analizar el mar de eventos, hemos visto el comportamiento con nuestros ojos. Este ha sido un ejemplo burdo, lo sé. Pero existen ejemplos mucho más ricos y sobre todo reales que pueden ver en el sitio de SecViz.

El tema de visualización de seguridad no es reciente. Hay conferencias al respecto y libros. En BugCon 2013, Luis Guillermo Castañeda (@el_batracio) abordó este tema y libros como “Applied Security Visualization” de Raffael Marty o “Security Data Visualization: Graphical Techniques for Network Analysis” de Greg Conti tocan este concepto de una manera profunda.

Ahora bien. ¿De dónde podemos obtener fuentes de información para hacer visualizaciones de seguridad? Unos ejemplos:

  • Aplicaciones (que generen logs, claro).
  • Dispositivos de red (firewalls, ruteadores, switches).
  • Sistemas operativos.
  • Detectores de intrusos.
  • Honeypots.
  • Sniffers.

Todo lo anterior genera bitácoras por default y claro, si hacemos los ajustes correspondientes, nos entregarán las bitácoras adecuadas que deseamos obtener para las visualizaciones de seguridad.


A continuación enlisto algunos de los beneficios de la visualización:

  • Contesta preguntas de manera más clara y rápida. Lejos de explicar por incontables minutos una intrusión u otro ataque, podemos presentar una visualización que se auto-explique. Nuestras aclaraciones verbales serán mucho más breves.
  • Agiliza la toma de decisiones. Representar datos por medio de una visualización tiene la capacidad de mostrar mucha información de una manera muy rápida.
  • Presentar información. Siempre se puede elegir mostrar información por medio de una presentación utilizando palabras y una que otra típica y pobre gráfica de barras o columnas. O podemos impresionar a nuestro auditorio con poderosas imágenes que representen intrusiones, infecciones, intentos no autorizados por entrar a un servidor, entre otros ataques. Una nota: no elegí la palabra “impresionar” al azar.

Finalmente, quisiera comentar sobre algunos ejemplos de ataques que se pueden representar fácilmente por medio de una visualización de seguridad:

  • Un sistema hace cientos de peticiones vía red (ataque por fuerza bruta) para adivinar una contraseña en otra computadora.
  • Un equipo se conecta a las 2:00am al servidor corporativo para hacer un telnet.
  • Un administrador que en promedio intercambia 87 MegaBytes de información diarios con una base de datos, un buen día extrae 578 GigaBytes.
  • Miles de sistemas inician exponencialmente conexiones entre sí. Se trata de una infección del gusano Blaster.

Conclusiones.

Correlacionadores y detectores de intrusión son las herramientas que por excelencia identificamos como las que nos alertarán ante un ataque ya que hacen sentido de la enorme información generada en la infraestructura. La visualización de la seguridad es una herramienta que puede complementar esta labor.

En seguridad informática considero que aún no se explota el poder de la visualización de la enorme cantidad de datos que arroja una infraestructura típica en una empresa. Podemos considerar que hacer gráficas no es de “ingenieros” y que todo mundo prefiere leer bitácoras o asistir a una reunión donde se han efectuado numerosos copy-paste de los datos en bruto que vomitaron los sistemas. No es sorpresa encontrarnos en una presentación ejecutiva donde se exponen datos técnicos de un ataque y el Ingeniero acaba explicando una y otra vez y de una y mil maneras los datos del firewall y del detector de intrusos perimetral porque sus jefes no logran entender lo que esos dispositivos de red han arrojado.

 “A picture is worth a thousand log entries”.- Raffael Marty

 

Acerca del autor: Fausto Cepeda González es un profesional de seguridad de la información con más de diez años de experiencia. Es ingeniero en Sistemas Computacionales por el ITESM y Maestro de Seguridad de la Información por la Universidad de Londres (Royal Holloway). Cuenta con las certificaciones de seguridad CISSP, CISA, CISM y CEH, así como el Diplomado Seguridad en Empresas, por la Universidad Comillas en España.

Profundice más

Únase a la conversación

1 comentario

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

Muy interesante, hay mucho en que trabajar.
Cancelar

- ANUNCIOS POR GOOGLE

Close