La ciberseguridad eficaz comienza y termina con los datos.
Dado que los atacantes pueden implementar sus cargas útiles en segundos, asegurarse de que su equipo de seguridad no espere minutos u horas hasta que su plataforma de operaciones de seguridad se dé cuenta de que se está produciendo un ataque puede significar la diferencia entre una amenaza aislada y un compromiso generalizado. Si bien la mayoría de los productos de ciberseguridad modernos pueden detectar amenazas rápidamente, lo que en última instancia afecta su rendimiento general son las decisiones de diseño que se toman en las primeras etapas del proceso de desarrollo del producto, específicamente cómo el producto maneja la gestión y el procesamiento de datos. En este blog, analizaré cómo la detección de amenazas basada en IA podría funcionar con cada enfoque utilizando una organización ficticia que trabaja con cincuenta productos de seguridad diferentes y cincuenta fuentes de datos diferentes para proteger sus entornos.
Un breve comentario sobre la detección de amenazas impulsada por IA
Dos enfoques distintos de gestión de datos
Esquema en lectura
Schema-on-Read es un enfoque de gestión de datos en el que se produce la ingesta de datos sin procesar sin aplicar ningún esquema predefinido. Este enfoque integra muchas fuentes de datos diferentes más rápidamente, ya que no es necesario comprender el formato de la fuente de datos por adelantado. En cambio, los datos sin procesar se almacenan tal cual y cualquier esquema requerido para el procesamiento ocurre en el momento de la lectura sin alterar los datos sin procesar. Muchos ingenieros de datos prefieren Schema on Read porque les permite:
- Ingiere datos más rápido ya que no se requiere estructuración inicial.
- Adáptese a situaciones donde los formatos de datos cambian constantemente.
- Maneje una amplia gama de fuentes de datos sin modificar su esquema.
Como ocurre con cualquier tecnología, adoptar un enfoque de esquema en lectura para la gestión de datos tiene desventajas:
- El rendimiento de la búsqueda se ve afectado
- El análisis de datos requiere muchos recursos en computación
- Una mayor propensión a inconsistencias y errores en los datos.
Detección de amenazas impulsada por IA en un mundo de lectura de esquemas
Ahora que hemos analizado los pros y los contras de Schema-on-Read. Consideremos cómo podría funcionar la detección de amenazas basada en IA sin un esquema en los datos. Como se mencionó anteriormente, la detección de amenazas impulsada por IA identifica anomalías en comparación con el comportamiento esperado. Dado este requisito, un producto de seguridad basado en IA requeriría una lógica compleja diseñada para normalizar y enriquecer los datos "sobre la marcha" entre los datos almacenados en diferentes formatos. Cada registro debe procesarse sobre la marcha para evitar perder alguna anomalía. No es difícil imaginar que este enfoque podría volverse costoso rápidamente, ya que requerirá una potencia de procesamiento y memoria significativas y continuas para almacenar temporalmente los datos procesados para diferentes detecciones impulsadas por IA. Entonces, si bien la idea de ingerir datos sin procesar suena bien y podría ser para algunos casos de uso no relacionados con la ciberseguridad relacionados con la detección de amenazas impulsada por IA, los costos continuos pueden salirse de control rápidamente. El precio puede volverse increíblemente prohibitivo e impredecible cuando el almacenamiento de datos y la detección basada en IA son de diferentes proveedores.
Esquema en escritura
A diferencia de Schema on Read, Schema on Write realiza ETL (Extracción, Transformación, Carga), que aplica cierta estructura (esquema) a los datos por adelantado, transforma y valida los datos ingeridos antes de escribirlos en cualquier almacén de datos. Como era de esperar, los beneficios de Schema on Write:
- Mayor integridad de los datos y minimizar su inconsistencia.
- Búsquedas rápidas y eficientes
- Análisis de datos fácil y rápido
Para ser justos, existen varias limitaciones cuando se trata de enfoques de esquema en escritura para la gestión de datos:
- Los cambios en los formatos de datos del origen de datos podrían requerir actualizaciones del esquema.
- El esquema de datos debe actualizarse para dar cabida a nuevas fuentes de datos.
Detección de amenazas impulsada por IA en un mundo de lectura de esquemas
Una vez identificados los pros y los contras de Schema-on-Write, veamos ahora la detección de amenazas impulsada por IA con esquemas de datos aplicados antes de escribir en una base de datos. Suponemos que trabajamos con la misma organización con cincuenta productos de seguridad diferentes para proteger su entorno. Las transformaciones de datos ocurren antes de cargarlos en una base de datos cuando se agregan datos en una plataforma de seguridad de esquema en escritura. Durante este preprocesamiento, todos los datos se normalizan y se enriquecen con datos de otras fuentes. Las capacidades de detección de amenazas impulsadas por IA ahora funcionan con un conjunto de datos limpios en un formato estándar con contexto, creando una variedad de líneas de base e identificando anomalías de manera rápida, eficiente y precisa. Por ejemplo, la detección de actividad de credenciales comprometidas desde una ubicación física inusual se optimiza fácilmente ya que la ubicación geográfica se agregó a los datos durante el proceso de enriquecimiento antes de escribirlos en la base de datos. De manera similar, todas las direcciones IP, por ejemplo, pueden enriquecerse con información de ubicación debido al proceso de normalización, lo que garantiza que cualquier actividad inusual del usuario se detecte fácilmente.
¿Cuál es la opción correcta para usted?
Cuando se piensa en una ventaja competitiva sostenible sobre los atacantes, es posible que lo primero que le venga a la mente sea un enfoque de gestión de datos, pero debería serlo. Si bien existen pros y contras en cada enfoque de gestión de datos analizado anteriormente, en última instancia, debe sopesar el impacto de una estrategia de gestión de datos de producto en sus objetivos antes de adoptarla, ya que esto tiene enormes implicaciones en el costo, su capacidad para detectar amenazas a través de estrategias efectivas. búsqueda y su capacidad para desarrollar sus propias reglas basadas en IA o incluso manuales para la detección de amenazas.
Stellar Cyber se basa en un enfoque de gestión de datos Schema-on-Write, que ofrece a nuestros clientes resultados de detección de amenazas eficaces y precisos basados en IA, una búsqueda rápida de amenazas y una capacidad de desarrollo flexible para su análisis de amenazas. Además, cuando las organizaciones utilizan la función Bring Your Own Data Lake (BYODL) de nuestra plataforma, pueden obtener ahorros significativos al almacenar únicamente los resultados en su data lake o en sus datos existentes. SIEMPara obtener más información sobre cómo Stellar Cyber trabaja para optimizar nuestra interacción con sus datos, Contáctenos hoy para programar una consulta personalizada.
