A segurança cibernética eficaz começa e termina com dados.
Como os invasores podem implantar seus payloads em segundos, garantir que sua equipe de segurança não espere minutos ou horas para que a plataforma de operações de segurança perceba que um ataque está em andamento pode significar a diferença entre uma ameaça isolada e um comprometimento generalizado. Embora a maioria dos produtos modernos de segurança cibernética possa detectar ameaças rapidamente, o que, em última análise, impacta seu desempenho geral são as escolhas de design feitas no início do processo de desenvolvimento do produto, especificamente como o produto lida com o gerenciamento e o processamento de dados. Neste blog, discutirei como a detecção de ameaças orientada por IA pode funcionar com cada abordagem, usando uma organização fictícia trabalhando com cinquenta produtos de segurança diferentes e cinquenta fontes de dados diferentes para proteger seus ambientes.
Uma rápida observação sobre detecção de ameaças orientada por IA
Duas abordagens distintas de gerenciamento de dados
Esquema na Leitura
O Schema-on-Read é uma abordagem de gerenciamento de dados em que a ingestão de dados brutos ocorre sem a aplicação de nenhum esquema predefinido. Essa abordagem integra diversas fontes de dados com mais rapidez, pois não há necessidade de entender o formato da fonte de dados antecipadamente. Em vez disso, os dados brutos são armazenados como estão, e qualquer esquema necessário para o processamento ocorre no momento da leitura, sem alterar os dados brutos. Muitos engenheiros de dados preferem o Schema-on-Read, pois ele permite:
- Ingira dados mais rapidamente, pois não é necessária nenhuma estruturação inicial.
- Adapte-se a situações em que os formatos de dados mudam constantemente.
- Manipule uma ampla variedade de fontes de dados sem modificar seu esquema.
Como acontece com qualquer tecnologia, há desvantagens em adotar uma abordagem Schema-on-Read para gerenciamento de dados:
- O desempenho da pesquisa é prejudicado
- A análise de dados exige muitos recursos de computação
- Maior propensão a inconsistências e erros de dados.
Detecção de ameaças orientada por IA em um mundo de esquema em leitura
Agora que discutimos os prós e os contras do Schema-on-Read, vamos considerar como a detecção de ameaças orientada por IA pode funcionar sem um esquema nos dados. Como mencionado anteriormente, a detecção de ameaças orientada por IA identifica anomalias em comparação com o comportamento esperado. Dado esse requisito, um produto de segurança baseado em IA exigiria uma lógica complexa projetada para normalizar e enriquecer dados "em tempo real" nos dados armazenados em diferentes formatos. Cada registro deve ser processado em tempo real para evitar a perda de qualquer anomalia. Não é difícil imaginar que essa abordagem possa se tornar rapidamente dispendiosa, pois exigirá um poder de processamento e memória significativos e contínuos para armazenar temporariamente os dados processados para diferentes detecções orientadas por IA. Portanto, embora a ideia de ingerir dados brutos pareça boa e possa ser para alguns casos de uso não relacionados à segurança cibernética em relação à detecção de ameaças orientada por IA, os custos contínuos podem rapidamente sair do controle. O preço pode se tornar incrivelmente proibitivo e imprevisível quando o armazenamento de dados e a detecção orientada por IA são de fornecedores diferentes.
Esquema na gravação
Ao contrário do Schema on Read, o Schema on Write realiza ETL (Extração, Transformação, Carregamento), que aplica alguma estrutura (esquema) aos dados antecipadamente, transforma e valida os dados ingeridos antes de gravá-los em qualquer repositório de dados. Como você pode imaginar, os benefícios do Schema on Write:
- Aumento da integridade dos dados e minimização de sua inconsistência
- Pesquisas rápidas e eficientes
- Análise de dados fácil e rápida
Para ser justo, há várias limitações quando se trata de abordagens de Schema-on-Write para gerenciamento de dados:
- Alterações nos formatos de dados da fonte de dados podem exigir atualizações no esquema.
- O esquema de dados precisa ser atualizado para acomodar novas fontes de dados.
Detecção de ameaças orientada por IA em um mundo de esquema em leitura
Com os prós e contras do Schema-on-Write identificados, vamos agora analisar a detecção de ameaças orientada por IA com esquemas de dados aplicados antes da gravação em um banco de dados. Suponhamos que trabalhamos com a mesma organização, com cinquenta produtos de segurança diferentes para proteger seu ambiente. As transformações de dados ocorrem antes do carregamento em um banco de dados, ao agregar dados em uma plataforma de segurança Schema-on-Write. Durante esse pré-processamento, todos os dados são normalizados e enriquecidos com dados de outras fontes. Os recursos de detecção de ameaças orientados por IA agora funcionam com um conjunto de dados limpo em um formato padrão com contexto, criando uma variedade de linhas de base e identificando anomalias de forma rápida, eficiente e precisa. Por exemplo, a detecção de atividade de credenciais comprometidas a partir de uma localização física incomum é facilmente otimizada, pois a localização geográfica foi adicionada aos dados durante o processo de enriquecimento antes da gravação no banco de dados. Da mesma forma, todos os endereços IP, por exemplo, podem ser enriquecidos com informações de localização devido ao processo de normalização, garantindo que qualquer atividade incomum do usuário seja facilmente detectada.
Qual é a escolha certa para você?
Quando você pensa em uma vantagem competitiva sustentável sobre invasores, uma abordagem de gerenciamento de dados pode não ser a primeira coisa que lhe vem à mente, mas deveria. Embora existam prós e contras em cada abordagem de gerenciamento de dados discutida acima, em última análise, você deve avaliar o impacto de uma estratégia de gerenciamento de dados de produto em seus objetivos antes de adotá-la, pois isso tem enormes implicações no custo, na sua capacidade de detectar ameaças por meio de buscas eficazes e na sua capacidade de desenvolver suas próprias regras baseadas em IA ou mesmo manuais para detecção de ameaças.
A Stellar Cyber foi construída com base em uma abordagem de gerenciamento de dados Schema-on-Write, fornecendo aos nossos clientes resultados de detecção de ameaças eficazes e precisos, orientados por IA, busca rápida de ameaças e capacidade de desenvolvimento flexível para sua análise de ameaças. Além disso, quando as organizações utilizam o recurso Bring Your Own Data Lake (BYODL) da nossa plataforma, elas podem obter economias significativas de custos, armazenando apenas os resultados em seu data lake ou em sua infraestrutura existente. SIEMPara saber mais sobre como a Stellar Cyber trabalha para otimizar nossa interação com seus dados, entre em contato conosco hoje mesmo para agendar uma consulta personalizada.
