Cuando pensamos en el análisis y las operaciones de seguridad, una tecnología tiende a venir a la mente: la gestión de información y eventos de seguridad (SIEM, por sus siglas en inglés). Esta tecnología ha estado presente desde que comencé a enfocarme en ciberseguridad en 2002 y sigue siendo la plataforma principal de operaciones de seguridad en la actualidad. Algunos de los proveedores en este espacio incluyen AlienVault (AT&T), IBM (QRadar), LogRhythm, McAfee y Splunk. A lo largo de los últimos 16 años, SIEM ha mejorado considerablemente, pero su arquitectura subyacente sigue siendo similar.
SIEM está compuesto por una capa de gestión de datos diseñada para recopilar y procesar datos de seguridad en bruto. Una vez que los datos son procesados, se vuelven disponibles para las capas superiores de la estructura para su análisis y acciones como procesos automatizados/orquestados. Si lo pensamos, esta arquitectura es común a otros tipos de plataformas de gestión en el pasado, como la gestión de redes, la gestión de sistemas, la gestión de servicios, etc., todas con raíces en la computación cliente/servidor (o incluso antes).
Sin embargo, al avanzar hacia el año 2018, veo un problema fundamental con la arquitectura histórica de SIEM: un rápido aumento en el volumen de datos. La historia es más o menos así: SIEM evolucionó junto con la gestión de registros, siendo los archivos de registro la principal fuente de datos. SIEM todavía recopila, procesa y analiza registros, pero las organizaciones empresariales ahora desean los mismos servicios de gestión de datos con otras telemetrías de seguridad, como NetFlow, PCAP, inteligencia de amenazas, datos de vulnerabilidad, etc. Esto ha llevado a un aumento precipitado en la cantidad de datos de seguridad bajo gestión. Según una investigación de ESG, el 28% de las organizaciones empresariales recopilan y analizan significativamente más datos de los que recopilaban hace dos años, mientras que el 49% recopila y analiza algo más de datos que hace dos años. Conozco algunas organizaciones empresariales que ahora recopilan, procesan, analizan y almacenan petabytes de datos de seguridad. Además, tienden a conservar estos datos durante períodos de tiempo más largos que en el pasado.
Dado este aumento exponencial en el volumen de datos de seguridad, las organizaciones tienen dos opciones para avanzar:
1. Crear y gestionar una arquitectura masiva de análisis de seguridad en las instalaciones. El análisis de seguridad se convirtió en una aplicación de big data hace unos cinco años, y ahora se ha convertido en una aplicación de big big data. La gestión del análisis de seguridad en las instalaciones ahora requiere una capa de gestión de datos distribuida masiva capaz de recopilar, procesar, deduplicar, comprimir y cifrar terabytes a petabytes de datos.
2. Mover el análisis de seguridad a la nube. Esto generalmente implica algunos recolectores de datos en las instalaciones que luego transfieren todos los datos de seguridad a la nube para su procesamiento y análisis.
La opción #1 es cada vez más compleja de construir, costosa de mantener y requiere mucha sobrecarga para las operaciones diarias. Por otro lado, la opción #2 proporciona la capacidad de utilizar recursos basados en la nube (como almacenamiento, procesadores, etc.) para la recopilación, procesamiento y análisis de datos, eliminando así la necesidad de gastos y sobrecarga operativa asociados con la infraestructura en las instalaciones.
En resumen, el futuro del análisis de seguridad se encuentra en la capacidad de manejar grandes volúmenes de datos de manera eficiente y rentable. Ya sea a través de una arquitectura en las instalaciones o en la nube, las organizaciones deben adaptarse a esta creciente demanda de datos de seguridad y tomar decisiones informadas sobre cómo gestionarlos de manera efectiva.
¿Cuál crees que será el camino a seguir en el análisis de seguridad? ¿Prefieres una arquitectura en las instalaciones o en la nube? ¡Déjanos tus comentarios!
