A día de hoy, las empresas más importantes, cada vez son más vulnerables y cada vez más están en el punto de mira de los atacantes, en un ecosistema digital y de IoT basado en API`s y aplicaciones cloud. El desafío en el que se ha trabajado estos años desde el punto de vista de la seguridad ha sido crear múltiples capas, surgiendo la falta de un enfoque holístico que combine la seguridad con el gobierno de datos, la auditoría y los atributos de calidad. Las soluciones tradicionales no pueden dar este enfoque de seguridad, y por ello, las soluciones emergentes que incorporan aprendizaje y analítica en tiempo real son una necesidad inminente en el sector.
Para proporcionar un enfoque integrado de diferentes plataformas de seguridad, las empresas han comenzado a invertir en plataformas integradas de Centro de Operaciones de Seguridad (SOC). Los SOC disponen de capacidades centralizadas, diseñados para manejar todos y cada uno de los incidentes de seguridad en multitud de puntos finales. El objetivo es proporcionar herramientas para la recopilación de datos, la agregación de los mismos, la detección de amenazas y la capacidad de analítica avanzada, todo, desde un único punto de administración.
Todos estos datos se incorporan a las herramientas SIEM (Security Incident and Event Management), que a continuación proporcionan informes desde un punto de vista de alertas de seguridad, y un analista de seguridad, determina si estas alertas representan una amenaza o son simplemente inofensivas.
OpenSOC y Apache Metron
Hace ya más de un año, empresas como Hortonworks, Rackspace, ManTech y B23 iniciaron un proyecto de nivel mundial llamado Apache Metron para fomentar, potenciar y acelerar el proyecto de código libre , OpenSOC. El objetivo de Metron es crear un proyecto de código abierto dedicado a proporcionar una plataforma de análisis de seguridad extensible y escalable para detectar y mitigar los riesgos de seguridad en tiempo real.
Metron permite a los usuarios procesar enormes volúmenes de datos por segundo, lo que mejora la calidad de la detección y prevención de malware de manera significativa. Cuando una organización es atacada, los usuarios de Metron pueden colaborar entre sí utilizando los feeds de datos a través de la plataforma en tiempo real.
Esto no sólo facilita la detección mejorada de campañas de malware por ejemplo, sino que también hace que los ataques sean económicamente inviables para los atacantes forzándolos a personalizarlos en cada objetivo.
Componentes principales de Apache Metron
Apache Metron integra una gran variedad de tecnologías de Big Data de código abierto para ofrecer una herramienta centralizada de monitorización y análisis de seguridad. Metron proporciona capacidades de agregación de registros, índices completos de captura de paquetes, almacenamiento, análisis avanzado de comportamiento y enriquecimiento de datos y multitud de capacidades más.
Podemos así dividir la arquitectura de Metron en 5 áreas funcionales clave:
- Un mecanismo para capturar, almacenar y normalizar cualquier tipo de telemetría de seguridad a tasas extremadamente altas.
- Procesamiento en tiempo real y aplicación de datos enriquecidos, como inteligencia de amenazas, geo-ubicación e información de DNS a las telemetrías que se están recolectando.
- Almacenamiento de información eficiente basada en cómo se utilizará la información.
- Interfaz de escritorio que proporciona a los analistas de seguridad una vista centralizada de datos y alertas en un dashboard.
- Seguridad mediante Big Data con Hadoop, Apache Spark y Apache Zeppelin
Apache Metron ya empezó a cambiar las reglas del juego, un juego, el de seguridad, en el como en otros muchos ámbitos, disponer de un gran volumen de datos y tratarlos correctamente, nos hará poder ir un pasito más adelantado en muchos casos
Big Data en Seguridad
Hoy, os he hablado de Apache Metron, pero cada vez está mas claro el potencial del papel del Big Data en ciberseguridad. Hace unos días os hablé de las posibles predicciones de seguridad en 2017 , en el que, tal vez, podría añadir un punto más, que sería el uso de Big Data en la seguridad.
Estamos en un punto, lo suficientemente maduro para tener un Big Data Empresarial muy potente, pero tal vez no tanto como para centrarnos en el uso de Big Data para el tratamiento de eventos e incidentes de seguridad, por ello, será tendencia para las empresas curtidas en seguridad y Big Data , pero no para la gran mayoría de empresas que están aplicando Big Data , descubriendo aún sus múltiples beneficios.