Inteligencia de seguridad distribuida, Ciberseguridad

Inteligencia de seguridad distribuida

La inteligencia artificial está transformando radicalmente la industria de la ciberseguridad. Para utilizar con éxito la inteligencia artificial para la seguridad, la calidad de los datos es primordial. Los datos relacionados con la seguridad deben recopilarse de muchas fuentes diferentes: datos de red de paquetes, datos del servidor de comandos y procesos, datos de aplicaciones como registros y datos de inteligencia de amenazas de investigadores de seguridad, entre otros. Estos flujos dispares de información se introducen en un procesador centralizado, en el que se lleva a cabo el aprendizaje automático para detectar amenazas a la seguridad.

Desafíos de datos

Aparecen algunos desafíos en la parte del proceso de recopilación de datos.

No hay suficientes datos

En algunos casos, la cantidad de datos es insuficiente para que el aprendizaje automático genere una salida precisa. Cuando esto sucede, puede haber demasiados falsos positivos o falsos negativos. En general, cuanto mayor sea el volumen de datos, más preciso será el resultado.

Demasiados datos

Sin embargo, la desventaja de tener un gran volumen de datos es el costo creciente de la potencia informática requerida. Puede haber tantos datos que el aprendizaje automático consuma demasiados recursos y no pueda sostenerse. En estos casos, implementar los modelos de aprendizaje automático en línea se vuelve poco práctico o tiene un costo prohibitivo.

Datos perdidos

Los datos pueden faltar o estar incompletos. Si faltan piezas del rompecabezas, no se pueden detectar ciertos eventos de seguridad. Desarrollaremos lo que esto significa en una sección posterior.

Datos Incorrectos

Si los datos son incorrectos, incluso un modelo de aprendizaje automático teóricamente perfecto producirá resultados incorrectos. Basura dentro basura fuera.

Dado que el segundo y tercer desafío son menos intuitivos, nos centraremos en abordar estos dos desafíos.

Discutiremos por qué la arquitectura de la inteligencia de seguridad es muy importante para determinar su escalabilidad y confiabilidad en la implementación.

Inteligencia de seguridad centralizada vs distribuida

Para diseñar el aprendizaje automático para la ciberseguridad, se pueden considerar dos arquitecturas. La arquitectura centralizada es bastante común. En el aprendizaje automático centralizado, las fuentes de datos provienen de muchas fuentes, mientras que el aprendizaje automático se ejecuta en un lugar centralizado. Las fuentes de datos, que son registros o tráfico de red como Netflow o IPFIx, contienen poca inteligencia en sí mismas: son simplemente vehículos de transporte a la plataforma central de big data. Luego, la plataforma central lleva a cabo el aprendizaje automático sobre los datos agregados.

Con la arquitectura Distributed Security Intelligence (DSI), la inteligencia de seguridad se aplica hábilmente en las coyunturas críticas de todo el sistema, comenzando por las fuentes de datos al principio del proceso. Aunque la arquitectura DSI alimenta de manera similar estas fuentes de datos dispares en una plataforma de big data centralizada para el análisis, la aplicación de inteligencia en puntos adicionales reduce la cantidad de datos que ingiere la plataforma de big data. Al igual que la informática FOG, esta distinción permite la escalabilidad y la asequibilidad que buscan las empresas medianas y grandes y los MSSP con múltiples clientes PYME.

Casos de uso

DSI ilustra su superioridad como arquitectura para la inteligencia de seguridad en los siguientes casos:

Problema de caso 1: Los datos en paquetes sin procesar no son escalables

Como lo demostró anteriormente IDS / IPS, el uso de paquetes sin procesar para la detección tiene graves limitaciones de escalabilidad. Para mitigar este problema, la mayoría de los IDS / IPS se implementan muy cerca, si no como parte, del firewall perimetral. Imagínese intentar esto en algunos servidores centralizados en un centro de datos o en la nube: los paquetes se duplican y se transmiten a través de la red al clúster de servidores. Si bien puede ser posible intentarlo, resultará en una gran carga para la CPU del servidor de origen, el ancho de banda de la red, así como los recursos informáticos de los servidores centralizados. Ejecutar el aprendizaje automático en paquetes sin procesar es simplemente poco práctico. Además, la densidad de información relevante para la seguridad de cada uno es muy baja y los paquetes están formateados para una transmisión eficiente, no para análisis como el aprendizaje automático.

Problema Caso 2: Netflow / IPFIX pierde datos críticos

Puede parecer prudente, debido a la falta de escalabilidad de los paquetes sin procesar, comprimir los datos y extraer solo información útil. Netflow e IPFIX son protocolos que rastrean la información del flujo de tráfico de la red en lugar de paquetes individuales. Reducen drásticamente el volumen de datos, lo que hace factible el aprendizaje automático. Sin embargo, aunque Netflow / IPFIX son útiles para el análisis del rendimiento de la red, no se puede obtener mucha información sobre el contenido de la aplicación. La detección de amenazas a la seguridad requiere información como nombres de dominio DNS, URL HTTP, consultas a bases de datos, entre otros.

Se ha intentado aumentar la funcionalidad de IPFIX para admitir contenido como el nombre de la aplicación, pero los resultados se quedan cortos debido a la abundancia de aplicaciones diferentes, así como a las complejidades de cada aplicación.

La solución: datos superiores con contenido de aplicaciones

La inteligencia distribuida representa una mejor manera. La información relacionada con la seguridad debe extraerse de aplicaciones populares, como los nombres de dominio DNS y las consultas MySQL, identificando correctamente las aplicaciones a partir de paquetes sin procesar. Los datos extraídos se pueden enriquecer en el momento de la recopilación con información de flujo como el inicio de la sesión, la duración de la sesión, el recuento total de bytes en cada dirección de la sesión y el patrón de transmisión de paquetes, solo por nombrar algunos. Este modelo distribuido cuenta con una reducción de datos en comparación con el uso exclusivo de paquetes sin procesar, al tiempo que supera las limitaciones de los protocolos estándar como Netflow / IPFIX. Se aumenta la densidad de información útil para ayudar a la detección de amenazas, mientras que se reduce el volumen de datos.

Teniendo en cuenta la diversidad y complejidad potencial de las aplicaciones y la complejidad potencial de cada aplicación, la identificación de aplicaciones puede llevar mucho tiempo. Las herramientas de código abierto como BRO pueden extraer el contenido de la aplicación, pero el rendimiento sigue siendo un desafío. Para lograr un cierto rendimiento, puede parecer necesario tener un costoso hardware dedicado. El tamiz de datos de Stellar Cyber es una solución potente y liviana con inteligencia incorporada que puede identificar miles de aplicaciones con solo el primer paquete del flujo. Su inteligencia reduce la potencia informática necesaria y proporciona información adicional que resultará fundamental para detectar eventos de seguridad.

Problema de caso 3: el tráfico de red por sí solo pierde datos críticos

La ejecución del aprendizaje automático en los datos del tráfico de la red ciertamente puede detectar algunos eventos de seguridad, pero es posible que los resultados no sean procesables rápidamente. Por ejemplo, puede ser posible identificar un servidor o contenedor comprometido por su dirección IP. Sin embargo, una mejora sería enriquecer la información IP del servidor con su nombre de host, porque las direcciones IP pueden cambiar con el tiempo. Una mejora adicional sería identificar el comando, proceso o usuario en el servidor que generó el evento, de modo que los procesos maliciosos puedan detenerse y los usuarios comprometidos puedan eliminarse. Para lograr estos objetivos, la adquisición y fusión inteligente de datos debe realizarse desde otras fuentes de datos, como registros de aplicaciones, comandos ejecutados y procesos del servidor.

La solución: datos superiores de más fuentes

Se pueden y se deben adquirir datos de múltiples fuentes. Los Data Sifters de Stellar Cyber emplean inteligencia distribuida para admitir una amplia gama de fuentes de datos, desde el tráfico de red con contenido de aplicaciones hasta comandos o procesos que se ejecutan en servidores, registros de aplicaciones, entre otros. Nuestro procesador centralizado puede ingerir datos de fuentes adicionales, como registros de firewall e IDS / IPS, fuentes de inteligencia de amenazas e información de usuario de AD. Estos ricos conjuntos de datos se agregan y correlacionan en preparación para un análisis avanzado.

Problema de caso 4: demasiados datos para el procesamiento centralizado

El procesador central inteligente puede detectar amenazas comunes como escaneos de puertos, inundaciones SYN y exfiltración de datos a través de un túnel de DNS. Sin embargo, una estrategia más eficiente y económica es detectarlos en la etapa inicial de recopilación de datos. La aplicación de inteligencia en las sucursales locales del sistema reduce el volumen de datos que el procesador central debe ingerir, procesar y almacenar. Si todo el conjunto de datos de tráfico de red que contiene las amenazas relevantes se envía al procesador, el módulo de aprendizaje automático ejecutará análisis innecesariamente en decenas de miles o millones de registros adicionales. Para conservar los recursos, el agente de recopilación de datos debe destilar los datos en elementos importantes antes de continuar. Además de un rendimiento mejorado, el procesador central también se beneficiará de un riesgo reducido de recibir ataques de DOS.

Seguridad más inteligente y rápida con inteligencia distribuida

Las ventajas de la inteligencia distribuida para escalar el aprendizaje automático y mejorar la detección de seguridad se extienden más allá de estos casos. Un recolector de datos inteligente, por ejemplo, puede capturar los paquetes de un evento de túnel DNS en el momento de la detección, de modo que se pueda recuperar la información del túnel.

La distribución de inteligencia de seguridad a lo largo de toda la cadena de procesamiento de datos mejora la escalabilidad de todo el sistema de detección de amenazas. La inteligencia en los puntos de recolección de datos mejora la calidad de los datos y al mismo tiempo reduce el volumen. La arquitectura basada en microservicios del procesador de datos centralizado permite utilizar el aprendizaje automático supervisado y no supervisado en la canalización para detectar amenazas oportunas y seguras.

Changmin Liu

CEO

Stellar Cyber

Capacidades de seguridad

Caso de uso

Verticales

Comparar con Stellar Cyber

Comparación

Casos de uso

Diferenciadores

Liderazgo del Pensamiento

Conviértase en socio de MSSP

Portal de Socio

Conviértase en socio de canal

Conviértase en socio tecnológico

Encuentre un MSSP

Programas y Recursos

Más información

En las noticias

Comience a utilizar Stellar Cyber

Recursos destacados

El centro de inteligencia artificial del SOC

Guías de automatización de SOC

Guías de SecOps

Guías SIEM basadas en IA

Todas las guías >

Elige lengua

Inteligencia de seguridad distribuida

Productos

IA™ multicapa

Compara

Socios

Recursos

Empresa

Para empresas

Para MSSP

Capacidades y tecnología

Network