Tienes un montón de datos, un montón de sensores y un montón de aplicaciones de seguridad. Pero, ¿cómo realizar un seguimiento de todo esto y detectar amenazas correlacionadas? Este 2018 en la RSA es el año de la gestión y visibilidad de amenazas unificadas.
A medida que los datos crecen en tamaño, complejidad e importancia, este desarrollo viene acompañado de la necesidad por parte de las empresas de contar con presupuesto para mantener este conjunto de datos seguro. Y el tipo de datos a ser analizados en la actualidad incluye endpoints, redes y servidores; todas formas de seguridad perimetral.
Solía ser suficiente tener protección en endpoints y contar con un firewall. Pero con las amenazas actuales, existe la necesidad de analizar y solucionar rápidamente los problemas para evitar salir en las noticias y que diga algo como “fuiste víctima de un ataque por seis meses y ni siquiera lo sabías”.
Pero estos grupos de datos son diferentes entre sí, tanto en naturaleza como en estructura. Los “Network defenders”, por ejemplo, intentan monitorear y detectar amenazas a medida que intentan pasar por el cable (o a través de la señal inalámbrica), e intentan encontrar la aguja en el pajar, lo que es en sí mismo una tarea compleja. En un entorno saturado, una red puede recibir varios terabytes de datos por cada par de horas. Por lo tanto, separar y arrojar el exceso de datos, todo en tiempo real, puede llegar a ser agobiante.
El segundo grupo de datos es alimentado a través de los endpoints distribuidos a lo largo de la red, que de nuevo presentan diferencias en cuanto a naturaleza y estructura, y representan un vector de amenazas completamente diferente (aunque relacionado).
Luego, resulta útil saber cuál es la disponibilidad de los recursos de la red y del host para determinar si una amenaza ha comprometido un segmento de la compañía. Esta detección de la disponibilidad adquiere una estructura y naturaleza diferente que el otro grupo de datos, porque la salud del sistema de la empresa en sí mismo puede causar activaciones falsas que sugieran o imiten vulnerabilidades de algún tipo.
La respuesta parecer ser agregar todo, desde registros, redes de datos o cualquier otro indicador que se pueda encontrar. Pero luego de agregar todo viene la dura tarea de convertir esas grandes pilas de datos en inteligencia. Y esa es la pregunta que la gente espera resolver aquí en la RSA 2018 ─ ¿qué hacer con todo eso de una manera que permita actuar de manera rápida ante amenazas?
En el big data está parte de la respuesta ─implementar clusters de máquinas que puedan procesar los datos. Pero buscar datos no estructurados y luego convertirlos en información de utilidad es otra parte de la ecuación, que puede resolverse con la ayuda de dispositivos que pueden normalizar y remover extrañas pilas de información sin sentido y presentarla de manera más útil.
El próximo paso es el de la elaboración del reporte, donde los datos procesados son presentados en un formato digerible y utilizable para algo por parte del equipo de TI.
No es una sorpresa que mucha de la gente que está presente en la RSA esté buscando una solución que sea una consola única que integre datos de múltiples fuentes y que permita, en un único panel, agregar y procesar enormes volúmenes de datos como los que generan las empresas modernas. Y mucha gente aquí presente asegura tener la respuesta para eso.
Al final, el éxito por parte de las empresas en la gestión de amenazas estará determinado por la velocidad, la escalabilidad, la interoperabilidad y la visibilidad que se le pueda dar a las amenazas modernas.