• No se han encontrado resultados

ADMINISTRACIÓN DE SEGURIDAD Y BIG DATA EN LA PRÁCTICA

N/A
N/A
Info
Descargar
Protected

Academic year: 2021

Share "ADMINISTRACIÓN DE SEGURIDAD Y BIG DATA EN LA PRÁCTICA"

Copied!
8
0
0

Cargando.... (Ver texto completo ahora)

Descargar ahora ( 8 página )

Texto completo

(1)

ADMINISTRACIÓN DE SEGURIDAD

Y “BIG DATA” EN LA PRÁCTICA

Un plan de trabajo de “big data” en la analítica

de la seguridad

ASPECTOS

FUNDAMENTALES

Este informe técnico tratará sobre:

• La creciente complejidad del ambiente de administración de seguridad, desde amenazas para los ambientes de TI hasta los mandatos de cumplimiento de normas

• Cómo obtener más información de los datos que ya se han recopilado al “eliminar la paja del pajar” en lugar de “buscar las agujas”

• La combinación de infraestructura, herramientas de análisis y la inteligencia de amenazas necesarias para impulsar el valor del negocio a partir de big data

Son tiempos emocionantes, pero abrumadores para ser un profesional de la seguridad. Las amenazas de seguridad están siendo cada vez más agresivas y voraces. Los organismos gubernamentales y del sector industrial se están volviendo más prescriptivos acerca del cumplimiento de normas. En conjunto con los ambientes de TI cuya complejidad aumenta cada vez más rápido, la administración de seguridad es cada vez más desafiante. Además, las nuevas tecnologías con “big data” pretenden acercar técnicas de análisis avanzadas, como análisis predictivos y técnicas estadísticas avanzadas, al profesional de seguridad.

Si se tienen en cuenta los sistemas de seguridad actuales, la mayoría de las organizaciones están lejos de utilizar estos tipos de tecnología avanzada para administrar la seguridad. Los profesionales de seguridad deben obtener más valor de los datos que ya se han recopilado y analizado. Además, deben obtener un mejor entendimiento de los problemas actuales y evitar los retos relacionados a los datos. Comenzar con la administración de un conjunto de datos y las capacidades de análisis esenciales permite a las organizaciones crear y escalar eficientemente una administración de seguridad en la mediada que la empresa evoluciona para enfrentar los retos de big data.

EL PANORAMA DE SEGURIDAD ACTUAL NO DEJA

ESPACIO PARA UNA SEGURIDAD AD HOC

Cuando se trata de “big data”, el volumen y tipos de datos sobre la TI y el negocio es demasiado grande para procesarlo de manera ad hoc. Además, se ha vuelto cada vez más difícil proteger la información importante de los datos que se han recopilado. A pesar de las significativas inversiones en la seguridad de la información, aparentemente los atacantes llevan la delantera. Según el informe de investigaciones sobre vulneración de datos de Verizon (2012), el 91 % de las infracciones pusieron los datos en riesgo en cosa de “días” o menos, en tanto que un 79 % de las infracciones tardaron “semanas” o más en ser descubiertas.

Existe una serie de factores que explica esto:

• Los atacantes están siendo más organizados y mejor financiados. Sin embargo, a medida que los ataques se vuelven más dinámicos, los métodos de defensa permanecen estáticos. Los ataques de hoy en día están diseñados para aprovechar las debilidades de nuestras infraestructuras hiperconectadas centradas en

el usuario.

• Las organizaciones habilitadas para TI siguen creciendo de manera más compleja. Actualmente, las organizaciones exigen sistemas mucho más abiertos y ágiles, lo que crea nuevas e increíbles oportunidades para la colaboración, la

comunicación y la innovación. Además, esto produce nuevas vulnerabilidades que los cibercriminales, grupos “hacktivistas” y los estados nación han aprendido a aprovechar.

(2)

• El cumplimiento de normas es aun más difícil de lograr. Los reguladores y legisladores se están volviendo más prescriptivos. Para las empresas, en especial las que poseen múltiples líneas de negocios u operaciones internacionales, les es cada vez más difícil mantener un rastreo de los controles actuales que se implementan, controles que son necesarios y encontrar un método para garantizar que los controles se estén administrando apropiadamente.

El efecto combinado de estos factores en los ambientes de TI conlleva a una administración de seguridad mucho más compleja, con muchas más interdependencias y un alcance más amplío de responsabilidad. En la medida que más procesos del negocio se digitalizan, los equipos de seguridad tienen la oportunidad y el reto de recopilar y administrar más datos. Se realizan cada vez más inversiones en herramientas de administración de logs, administración de vulnerabilidades, administración de identidades y administración de configuraciones. Sin embargo, las infracciones de seguridad siguen ocurriendo, lo que produce más interrupciones y gastos que antes.

LOS TRES CONCEPTOS BÁSICOS DE BIG DATA

EN LA ADMINISTRACIÓN DE SEGURIDAD

Una verdadera estrategia de “big data” para la administración de seguridad debe incluir estos tres aspectos: la infraestructura, las herramientas de análisis y la inteligencia, para abordar adecuadamente los problemas inmediatos.

Figura 1. Los pilares de big data en la administración de seguridad

Para obtener el valor de los datos que se están recopilando, impulsar la eficiencia hacia las actividades de administración de amenazas y utilizar las actividades de cumplimiento de normas para impulsar el proceso de toma de decisiones, el equipo debe adoptar el enfoque de “big data” para administrar la seguridad. Esto significa que se debe contar con:

(3)

• Una infraestructura ágil de “escalamiento horizontal” que responda a un ambiente cambiante de TI y a las amenazas en evolución. La administración de seguridad debe admitir las nuevas iniciativas del negocio que afectan la TI, desde

aplicaciones nuevas a nuevos modelos de entrega como la movilidad, la virtualización, el cómputo en la nube y la externalización. La infraestructura de administración de seguridad debe ser capaz de recopilar y administrar los datos de seguridad a escala empresarial, una escala de lo que las empresas actuales exigen de manera física y económica. Esto significa un “escalamiento horizontal” en lugar de un “escalamiento vertical”, dado que centralizar todos estos datos será prácticamente imposible. Además, la infraestructura se debe extender fácilmente para adaptarse a los ambientes nuevos y estar lista para evolucionar, a fin de admitir el análisis de las amenazas en evolución.

• Herramientas analíticas y de visualización compatibles con las especialidades de analistas de seguridad. Los profesionales de seguridad necesitan herramientas de análisis especializadas para brindar soporte a su trabajo. Algunos analistas necesitan herramientas que facilitan la identificación de eventos básica con algunos detalles de soporte. Es posible que los administradores necesiten solamente una visualización general y las tendencias de las métricas clave. Los analistas de malware necesitan los archivos sospechosos reconstruidos y las herramientas para automatizar las pruebas de dichos archivos. Los analistas forenses de red necesitan la reconstrucción completa de toda la información del log y de la red sobre una sesión para determinar precisamente lo que sucedió. • Inteligencia de amenazas para aplicar las técnicas de análisis de datos a la

información recopilada. Las organizaciones necesitan una visión del ambiente de amenazas externas actual para correlacionarla con la información recopilada dentro de la misma organización. Esta correlación es clave para que los analistas obtengan un entendimiento claro de los indicadores de las amenazas actuales y lo que se debe buscar.

“Big data” no es simplemente igual a “grandes cantidades de datos”. Exige una analítica significativamente más inteligente para encontrar las amenazas de seguridad anticipadamente, con la infraestructura para recopilar y procesar los datos a escala.

(4)

“BIG DATA” IMPULSA UNA SEGURIDAD

PRODUCTIVA Y EFICIENTE

Una administración correcta de la seguridad para “big data” requiere un sistema que pueda extraer y presentar datos clave para realizar análisis de la forma más rápida y eficiente.

Figura 2. Requisitos para un sistema big data de administración de seguridad

Hoy en día, las organizaciones de seguridad deben adoptar un enfoque de “big data”, lo que incluye la comprensión de los adversarios, la determinación de qué datos se necesitan para soportar las decisiones y la construcción y operacionalización de un modelo para brindar soporte a estas actividades. Cuando se hace referencia a “big data” en este contexto, se trata de la construcción de una base para una analítica útil, en lugar de realizar precipitadamente un proyecto de ciencia de datos avanzados. Un sistema de “big data” exitoso para las organizaciones de seguridad debe:

• Eliminar las tareas manuales y tediosas en las respuestas de rutina o las

actividades de evaluación. El sistema debe reducir la cantidad de tareas manuales y repetitivas durante la investigación de un problema, como alternar entre consolas y ejecutar la misma búsqueda en cinco herramientas distintas. En tanto que estas tareas no desaparecerán de la noche a la mañana, el sistema debe reducir de manera coherente la cantidad de pasos que se realizan por incidente • Utilice el contexto de negocios para orientar a los analistas hacia los problemas de

mayor impacto. Los equipos de seguridad deben ser capaces de realizar un mapeo de los sistemas que monitorean y volver a administrar las aplicaciones críticas y los procesos del negocio a los que brindan soporte. Deben comprender las dependencias entre estos sistemas y otros fabricantes, como los proveedores de servicios, y comprender el estado actual del ambiente desde la perspectiva de la vulnerabilidad y el cumplimiento de normas.

• Presentar solamente los datos más pertinentes para los analistas. Los

profesionales de seguridad a menudo se refieren a “reducir los falsos positivos”. En realidad, los problemas generalmente tienen más matices que falso o positivo. En lugar de ello, el sistema debe eliminar el “ruido” y proporcionar punteros para que los analistas se centren en los problemas de mayor impacto. El sistema también debe proporcionar datos de soporte de modo que destaque los que posiblemente sean los mayores problemas y el porqué.

(5)

• Aumento de los conocimientos humanos. El sistema puede ayudar a los analistas a dedicar tiempo al análisis de los elementos más críticos. Esto incluye proporcionar técnicas integradas para identificar los problemas de mayor prioridad, así como la inteligencia de amenazas actuales que emplea estas técnicas para identificar las herramientas, técnicas y procedimientos más recientes utilizados por la

comunidad de atacantes.

• Vea “más allá del horizonte”. La protección contra las amenazas modernas es una carrera contra el tiempo. El sistema debe proporcionar advertencias con anticipación (y finalmente un modelo predictivo) que vincule la inteligencia de amenazas externa con la concientización del contexto interno a fin de que el equipo de seguridad pase de una protección pasiva a una protección y prevención activas.

ANALÍTICA DE LA SEGURIDAD: UN ENFOQUE EN ETAPAS

PARA “BIG DATA”

Mientras que las técnicas avanzadas como la analítica predictiva y la inferencia estadística probablemente demuestren ser técnicas importantes en el futuro, es importante para los equipos de seguridad comenzar por centrarse en los aspectos básicos adoptando un enfoque en etapas.

• Comenzar implementando una infraestructura de datos de seguridad que pueda crecer con usted. Esto incluye la implementación de una arquitectura que no solo recopile información detallada acerca de los logs, las sesiones de red, las vulnerabilidades, las configuraciones y las identidades, sino también la inteligencia humana sobre lo que hacen los sistemas y cómo funcionan. Aunque es posible que comience lentamente, el sistema debe basarse en una arquitectura distribuida y sólida que garantice la escalabilidad en la medida que sus requisitos aumentan. El sistema debe ser compatible con dominios lógicos de confianza que incluya jurisdicciones legales, así como los datos para unidades de negocios o proyectos distintos. El sistema debe ser capaz de poder manipular y basarse en estos datos de manera rápida y fácil (por ejemplo, mostrar todos los logs, sesiones de red y resultados de escaneos de una dirección IP determinada y su comunicación con un sistema financiero de producción).

• Implementar herramientas de análisis básicas para automatizar las interacciones humanas repetitivas. Un objetivo a corto plazo es, a menudo, crear un modelo que correlacione la información visualmente para reducir la cantidad de pasos que una persona debe realizar para recopilar toda la información en una sola vista (por ejemplo, mostrar todos los logs y sesiones de red que incluyan sistemas que soporten el procesamiento de transacciones de tarjeta de crédito y que sean vulnerables a un ataque que se haya visto en otras partes del negocio).

• Crear visualizaciones y presentaciones que soporten las principales funciones de seguridad. Algunos analistas solo necesitarán ver los eventos más sospechosos con algunos detalles de soporte. Los analistas de malware necesitarán una lista de prioridades de archivos sospechosos y las razones por las que son sospechosos. Los analistas forenses de redes necesitarán resultados detallados de consultas complejas. Otras personas necesitarán analizar los informes calendarizados del cumplimiento de normas o informes generales que se utilizan para encontrar tendencias o áreas que se deben mejorar en el sistema. El sistema también deberá estar abierto para permitir que otros sistemas accedan a los datos y los utilicen para implementar medidas contra un atacante, como ponerlos en cuarentena o reforzar el monitoreo de lo que están haciendo.

(6)

Figura 3. Pasos para implementar big data en una administración de seguridad • Agregar más métodos adicionales de análisis inteligentes. Solo en este punto se

puede aplicar una analítica más compleja a los datos para brindar soporte a estas funciones. Esta analítica puede incluir una combinación de técnicas analíticas, como reglas definidas para identificar un posible mal comportamiento o un

comportamiento bueno conocido. También pueden incorporar la creación de un perfil de comportamiento avanzado y técnicas de base de referencia que implementen técnicas estadísticas más avanzadas, como la interferencia bayesiana o el modelado predictivo. Estas técnicas de análisis pueden utilizarse en conjunto para crear un “modelo de influencia”: un modelo que combina diferentes indicadores para “asignar un puntaje” a los problemas que el sistema ha identificado para llevar al analista a las áreas que requieren la atención más urgente.

• Mejorar el modelo de manera continua. Una vez que el sistema esté encendido y funcionando, deberá optimizarse de manera continua para responder a los vectores de amenazas en evolución y a los cambios en la organización. El sistema necesitará contar con la capacidad de modificar las normas modificadas y ajustar los modelos para eliminar el ruido, datos adicionales de consumo desde el interior y el exterior de la organización e incorporar funciones de autoaprendizaje para mejorar el éxito general del sistema.

El sistema deberá evolucionar y expandirse para responder a los cambios en el ambiente de TI, dado que los nuevos servicios y aplicaciones de TI ahora están en línea, lo que crea un ciclo constante de evolución y mejora. En cada punto, el sistema deberá aprovechar la inteligencia externa como entradas para el modelo.

Esto significa que el sistema deberá contar con un modo automático para consumir los feeds externos de las fuentes de inteligencia de amenazas; información estructurada que incluya listas negras, normas o consultas; inteligencia no estructurada que incluya feeds de Pastebin y Twitter o chats de IRC; y la inteligencia de los paneles de mensajes o notas de llamadas o reuniones internas. El sistema también debe contar con la capacidad de facilitar la colaboración del conocimiento compartido. El sistema debe compartir los resultados de las consulta o la inteligencia no estructurada ya sea de forma pública o de manera controlada mediante comunidades de interés de confianza mutua o en función de “la necesidad de saber”.

(7)

LA INFRAESTRUCTURA BASE PAVIMENTA EL CAMINO PARA

TÉCNICAS MÁS SOFISTICADAS

Los equipos de seguridad aumentarán en gran medida las probabilidades de implementar correctamente “big data” en la seguridad al centrarse en crear primero una arquitectura escalable e implementar herramientas eliminando las tareas sin valor agregado. Esto permitirá obtener “victorias rápidas”, brindar una plataforma sólida y liberar al personal para que se concentre en la implementación y administración de herramientas de análisis más complejas. Cuando se realiza de manera apropiada, esto permitirá:

• Aumentar la eficacia de los analistas de seguridad. La cantidad de “problemas por turno” que un analista puede abordar puede aumentar de unos pocos a docenas y mucho más.

• Reducir el tiempo libre del atacante y, de esta forma, el impacto de las amenazas en el negocio. Los analistas llegarán automáticamente a los problemas que tienen la mayor probabilidad de causar daños y solucionarlos antes de que afecte negativamente al negocio.

Sin esta base o sin un objetivo concreto y claro en mente, una iniciativa de big data podría fallar fácilmente y no obtener ninguna de las ganancias esperadas.

RSA SECURITY MANAGEMENT: UNA BASE

SÓLIDA PARA INFRAESTRUCTURA, ANALÍTICA

E INTELIGENCIA

El portafolio de RSA Security Management proporciona a los clientes:

• Una visibilidad integral de la infraestructura. RSA proporciona una infraestructura comprobada con la capacidad de recopilar todo tipo de datos de seguridad, a escala y de todo tipo de fuentes de datos. Proporciona a los analistas un único lugar para ver los datos acerca de amenazas y de la actividad del usuario a partir de datos recopilados directamente desde la red o desde sistemas clave. La infraestructura de RSA también proporciona una arquitectura unificada para garantizar una analítica en tiempo real, así como las consultas históricas y casi en tiempo real. Esto proporciona un enfoque integral para alertas en tiempo real, análisis investigativos, métricas y tendencias, retención y archivado de historial.

(8)

• Analítica ágil. La plataforma RSA brinda a los analistas las herramientas para ejecutar investigaciones con rapidez que incluyen herramientas intuitivas para investigaciones presentadas para análisis rápidos, con un desglose detallado y la incorporación del contexto del negocio para informar de mejor manera el proceso de toma de decisiones. El enfoque de RSA proporciona la capacidad de centrarse en los usuarios más sospechosos, los extremos conectados a su infraestructura y los indicadores de actividades maliciosas por medio de la analítica sin firmas. El reemplazo de una sesión completa brinda la capacidad de recrear y reproducir exactamente lo que sucedió.

• Inteligencia útil. La inteligencia de amenazas proporcionada por RSA ayuda a los analistas de seguridad a obtener el mayor valor de los productos RSA al incorporar feeds de información de amenazas actuales. Los equipos de investigación de amenazas de RSA proporcionan la inteligencia patentada de una comunidad de expertos en seguridad, integrada automáticamente en nuestras herramientas mediante normas, informes, analizadores y listas de seguimiento. Esto permite a los analistas obtener una visión de las amenazas a partir de los datos recopilados en la empresa y priorizar las medidas de respuesta al incorporar información del negocio que muestre la relación entre los sistemas implicados y las funciones del negocio que admiten.

• Administración de incidentes optimizada. Los productos RSA ayudan a que los equipos de seguridad optimicen el variado conjunto de actividades relacionadas con la preparación y las respuestas al proporcionar un sistema de flujo de trabajo para definir y activar los procesos de respuesta, además de herramientas para rastrear los problemas actuales pendientes, tendencias y lecciones aprendidas. Servicios líderes del sector que ayudan a la preparación, detección y respuesta a los incidentes. La plataforma se integra con el portafolio de RSA y herramientas de otros fabricantes para intercambiar información con una amplia variedad de herramientas necesarias para identificar y manejar los incidentes, y transmitir la administración del cumplimiento de normas.

COMUNÍQUESE

CON NOSOTROS

Para obtener más información acerca de cómo los productos, los servicios y las soluciones de EMC pueden ayudar a superar sus retos de TI y del

negociocon su

representante local o con un

distribuidor autorizado, o visítenos en

www.EMC.com/rsa (visite el sitio web de su país correspondiente).

EMC2, EMC, el logotipo de EMC [si corresponde, agregue otras marcas comerciales de productos en orden alfabético] son marcas registradas o marcas comerciales de EMC Corporation en los Estados Unidos y en otros países. VMware es una marca registrada o marca comercial de VMware, Inc. en los Estados Unidos y en otras jurisdicciones. [Si es necesario, agregue marcas de productos en función de lo anterior]. © Copyright 2012 EMC Corporation. Todos los derechos reservados. 0812 Descripción general de la solución HSMCBD0812

EMC considera que la información de este documento es precisa en el momento de su publicación. La información está sujeta a cambios sin previo aviso.

Referencias

Descargar ahora ( PDF - 8 página - 252.66 KB )

Documento similar

Formato pdf

o Si dispone en su establecimiento de alguna silla de ruedas Jazz S50 o 708D cuyo nº de serie figura en el anexo 1 de esta nota informativa, consulte la nota de aviso de la

Introducción

Where possible, the EU IG and more specifically the data fields and associated business rules present in Chapter 2 –Data elements for the electronic submission of information

Capítulo 1

The 'On-boarding of users to Substance, Product, Organisation and Referentials (SPOR) data services' document must be considered the reference guidance, as this document includes the

Capítulo 2

In medicinal products containing more than one manufactured item (e.g., contraceptive having different strengths and fixed dose combination as part of the same medicinal

Capítulo 7

Products Management Services (PMS) - Implementation of International Organization for Standardization (ISO) standards for the identification of medicinal products (IDMP) in

Anexo I

Products Management Services (PMS) - Implementation of International Organization for Standardization (ISO) standards for the identification of medicinal products (IDMP) in

Capítulo 8

This section provides guidance with examples on encoding medicinal product packaging information, together with the relationship between Pack Size, Package Item (container)

Anexo

Package Item (Container) Type : Vial (100000073563) Quantity Operator: equal to (100000000049) Package Item (Container) Quantity : 1 Material : Glass type I (200000003204)