Informe

El desafío de los grandes volúmenes de datos

de seguridad en el ámbito de la seguridad
Consiga un sistema SIEM que funcione
 La gestión de enormes volúmenes de datos (lo que se conoce como Big Data) no
es solo una complicación para las empresas que trabajan de cara al cliente, sino que
también afecta a los equipos de seguridad. En los últimos diez años, la demanda de
un mayor nivel de seguridad ha propiciado la recopilación y el análisis de cada vez más
datos contextuales sobre eventos y seguridad. Durante mucho tiempo, los sistemas de
administración de eventos e información de seguridad (SIEM, Security Information and
Event Management) han sido la herramienta más utilizada por los equipos de seguridad
para administrar y procesar esta información. Sin embargo, con el incremento del
volumen de datos de seguridad, las bases de datos relacionales e indexadas en función
del tiempo, en las que se basan los sistemas SIEM, sufren una sobrecarga de eventos
y análisis. Con los sistemas SIEM de generaciones anteriores surgen dudas sobre el
funcionamiento eficaz de las implementaciones SIEM debido a su bajo rendimiento,
su incapacidad para administrar los datos de manera eficiente y los elevadísimos costos
de ampliación. En este informe se abordan las dificultades que plantea la gestión de
Big Data en el ámbito de la seguridad y se ponen de relieve los criterios básicos que
deben considerar las empresas para procesar la información de seguridad, dada la
naturaleza dinámica del panorama de las amenazas en la actualidad.

Grandes volúmenes de datos de seguridad

El motivo por el que los datos de seguridad se han convertido en un problema de Big Data es obvio
para cualquiera que haya intentado administrar un sistema SIEM de generaciones anteriores, sobre todo
cuando se examina la definición de Big Data. El término Big Data hace referencia a conjuntos de datos
que crecen de tal manera que resulta poco menos que imposible procesarlos mediante las herramientas
de administración de bases de datos actuales. Entre los problemas que plantea esta situación se pueden
citar su obtención, almacenamiento, búsqueda, uso compartido, análisis y visualización.
Con esta descripción, no es difícil deducir que los departamentos de TI y de seguridad de TI se enfrentan
continuamente a las complejidades de la gestión de Big Data. De hecho, los propios sistemas SIEM se
crearon para hacer frente a una carencia esencial de funciones de procesamiento de datos. A principios
del siglo XXI, la cantidad de información de seguridad y el nivel de precisión de estos datos sobrepasó
la capacidad de las tecnologías existentes, y la falta de visibilidad centralizada generó una enorme
necesidad de automatizar el análisis de los datos. A esto hay que sumar que las primeras herramientas
SIEM fueron diseñadas para gestionar datos de firewalls, evaluaciones de vulnerabilidades y sistemas de
detección de intrusiones (IDS), y que su objetivo principal era reducir los falsos positivos de los sistemas
IDS, así como ofrecer la capacidad de investigar los registros. Los proveedores de los primeros sistemas
SIEM aprovechaban las herramientas de administración de bases de datos existentes y proporcionaban
análisis especializados además de datos sobre eventos, con el fin de permitir a las empresas eliminar un
gran número de falsos positivos de los sistemas IDS.
Si bien inicialmente los sistemas SIEM fueron adoptados por sectores interesados en la seguridad,
como los grandes proveedores de servicios financieros y los gobiernos, su adopción generalizada en
el mercado no se produjo hasta mediados de 2000, cuando las auditorías de la ley Sarbanes-Oxley se
convirtieron en una realidad. La administración de eventos se convirtió de la noche a la mañana en un
componente esencial del "marco de control" de la regla 404 de la ley Sarbanes-Oxley, exigida tanto
por auditores internos como externos. A la ley Sarbanes-Oxley le siguió rápidamente la norma PCI DSS
para empresas minoristas y el sector de las tarjetas de pago, otra importante normativa que exigía la
revisión de los registros para superar las auditorías y la automatización prometida por los sistemas SIEM.
A partir de ahí, se produjo la explosión de las exigencias normativas y, al mismo tiempo, la del mercado
de sistemas SIEM, alcanzando cifras de miles de millones de dólares.
Con la proliferación de normativas no solo aumentó la adopción de sistemas SIEM, sino que, además,
se generó una avalancha de instrumentos de seguridad y se incrementó el nivel de registro. Esto aumentó,
al mismo tiempo, el flujo de datos que debían administrar los sistemas SIEM y las exigencias de funciones
analíticas. Los sistemas SIEM de generaciones anteriores han tenido siempre problemas para hacer frente
a los aumentos de volumen y la correlación de los datos de seguridad. Este espectacular crecimiento de
los datos, así como las exigencias de correlación dejaron aun más al descubierto las limitaciones de análisis
y de ampliación inherentes a estas soluciones SIEM.

2 El desafío de Big Data en el ámbito de la seguridad

Ahora avancemos hasta 2012. Las exigencias sobre los sistemas SIEM siguen aumentando.
Las devastadoras fugas de datos sufridas por empresas que supuestamente habían superado rigurosas
auditorías de seguridad basadas en el cumplimiento de normativas han obligado al sector de la seguridad
de TI a pasar del cumplimiento de normativas individuales a programas de seguridad integrales que
incluyan el control del perímetro, los empleados internos, los datos y los sistemas. En respuesta a estos
mayores controles de seguridad, los agresores, siempre innovadores y persistentes, han creado métodos de
ataque más sofisticados, lo que ha generado la necesidad de que los sistemas SIEM detecten ataques que
actúan despacio y a baja intensidad, identifiquen rápidamente anomalías en flujos de eventos y obtengan
información contextual sobre los datos, las aplicaciones y las bases de datos.
Este aumento de las exigencias de los sistemas SIEM ha llevado a las soluciones de generaciones
anteriores al límite. Estos sistemas heredados fueron construidos sobre bases de datos y arquitecturas
con una capacidad limitada para gestionar grandes volúmenes de eventos, datos históricos y extensiones
de datos relacionales. Además, sus funciones de análisis son insuficientes. Muchas empresas desactivan
funciones de análisis importantes, aunque no esenciales, y necesitan horas para generar un único
informe. Estas dificultades nos llevan a plantearnos la siguiente pregunta: "¿realmente funcionan
los sistemas SIEM?" Con las mejoras incorporadas a los sistemas SIEM actuales, la pregunta debe
replantearse como: "¿satisface mi solución SIEM mis necesidades actuales y podrá ampliarse, tanto
en capacidad como en lo relativo a sus funciones de análisis, para cubrir mis necesidades en el futuro?
Para hacer frente a los desafíos de Big Data actuales en el sector de la seguridad, se requiere una evolución
desde las bases de datos relacionales tradicionales y los sistemas de archivos planos basados en tiempo que
empleaban los sistemas SIEM antiguos como principal función de análisis. Las bases de datos relacionales
tradicionales están sometidas a la presión de la alta velocidad de inserción, junto a la constante correlación
de datos en tiempo real y la generación de informes históricos. Los sistemas de archivos planos basados en
el tiempo no tienen capacidad para responder a consultas complejas y, debido a sus limitadas opciones de
indexación, solamente pueden ofrecer funciones de correlación básicas.
Las empresas que desean utilizar sistemas SIEM de manera eficaz —con independencia de que si se
trata de una primera implementación o de si es una sustitución de sistemas antiguos— deben evaluar
detenidamente su capacidad back-end y sus funciones de análisis, con el fin de comprender el nivel de
inteligencia que tendrá el componente front-end ahora y en el futuro. A continuación incluimos algunas
estadísticas del informe de Gartner del 23 de marzo, "Information Security Is Becoming a Big Data Analytics
Problem" (La seguridad de la información se está convirtiendo en un problema de análisis de Big Data):
• La cantidad de datos analizados por los proveedores de soluciones de seguridad de información para
empresas se duplicará todos los años hasta 2016.
• En 2016, el 40 % de las empresas analizarán de forma activa al menos 10 terabytes de datos relativos
a la seguridad de la información, mientras que en 2011 este porcentaje se limitaba al 3 %.
Examinemos algunas de las funciones clave del sistema SIEM ideal; veamos por qué son importantes
esas funciones y cómo evaluarlas teniendo en cuenta el problema de los grandes volúmenes de datos
de seguridad que tienen las empresas actualmente y que seguirán teniendo en el futuro.

Capacidad de ampliación de los datos relacionales

El volumen de datos de eventos ha aumentado exponencialmente y los ataques son cada vez más
sofisticados. Por esta razón, es fundamental completar la información de los eventos con datos
relacionales sobre la fuente, el activo, el usuario y el contexto de la situación con datos inteligentes.
Además, debe incluirse en la arquitectura de base de datos la correlación de esta información con los
flujos de eventos en tiempo real. Si la arquitectura no puede gestionar millones de puntos de datos
relacionales, las empresas encontrarán un enorme obstáculo a la hora de ampliar la inteligencia de
sus sistemas SIEM. Es preciso evaluar cuidadosamente la escalabilidad de las funciones, como las
listas de vigilancia, activos y usuarios, junto con la capacidad de análisis, con el fin de aprovechar esta
información de manera inteligente. Aunque algunos sistemas SIEM disponen de estas funciones, muy
pocos admiten varias listas ampliables debido a las limitaciones de las tablas de las bases de datos.
Además, para evitar la degradación del rendimiento analítico, muchos sistemas SIEM sencillamente
ofrecen la opción de buscar esta información a petición del usuario, en lugar de correlacionarla
y presentarla en tiempo real. Un sistema SIEM robusto utilizará esta información para crear de forma
inteligente una imagen del riesgo precisa y en tiempo real.

El desafío de Big Data en el ámbito de la seguridad 3

 Análisis dinámico
Los requisitos para obtener un verdadero conocimiento de la situación en la actualidad no se limitan
al mero análisis del flujo de eventos, capaz de informar de la frecuencia de las conexiones y de si hay
un cambio. Hoy día los sistemas SIEM requieren información dinámica de la situación, que permita
identificar los cambios en el comportamiento de los usuarios y ajustar como corresponda el riesgo,
en función de la reputación de la fuente y el riesgo de los activos, así como los datos, las aplicaciones
y la actividad de bases de datos relacionada. El análisis dinámico es un componente fundamental de
la detección de los ataques que se llevan a cabo de forma lenta y las arquitecturas SIEM para grandes
volúmenes de datos de seguridad deben incorporar este componente.

Análisis histórico
Otro aspecto clave de la detección de ataques y la respuesta eficaz ante incidentes es la capacidad de
analizar datos de eventos históricos. Ante los métodos de ataque actuales, es fundamental que un
sistema SIEM pueda acceder a datos históricos de varios años para establecer rápidamente patrones
y anomalías, manteniendo al mismo tiempo el análisis en tiempo real sin afectar al rendimiento.
Es necesario, además, que pueda integrarse fácilmente con los sistemas de almacenamiento y guardar
de manera eficaz los datos de eventos con el fin de evitar el empleo de numerosas utilidades de
almacenamiento e incurrir en grandes costos, y ofreciendo una arquitectura que admita, al mismo
tiempo, el uso intensivo de funciones históricas y en tiempo real.

Oleadas de eventos
La mayoría de las empresas que tienen implementadas soluciones SIEM experimentarán oleadas de eventos;
momentos en los que los datos de eventos crecen por encima del límite máximo previsto. Es fundamental
que, cuando se produzcan estas oleadas, los analistas puedan determinar si el aumento del volumen se
debe a un ataque activo. Las soluciones SIEM creadas para grandes volúmenes de datos de seguridad
no solo permiten gestionar estos picos, sino que, además, los aprovechan en sus planes de licencias.
Las soluciones SIEM que no entienden este problema eliminarán los eventos o imposibilitará a los analistas
el acceso a la consola cuando se supera el límite de eventos por segundo (EPS), lo que imposibilitará a los
equipos de seguridad acceder al medio principal de conocer la situación cuando más lo necesitan.

Resumen
Se ha demostrado que la automatización de la supervisión de la seguridad es esencial en los entornos
de amenazas actuales y, para que tengan éxito, las soluciones SIEM actuales deben disponer de la base
de datos adecuada y ofrecer información de seguridad que aproveche los datos contextuales.

Más información
Para obtener más información, visite www.mcafee.com/es/products/siem/index.aspx.

McAfee, Inc.
McAfee, empresa subsidiaria propiedad de Intel Corporation (NASDAQ:INTC), es líder en tecnología
de seguridad. McAfee tiene el firme compromiso de afrontar los más importantes retos de seguridad.
La compañía proporciona servicios y soluciones probados y proactivos que ayudan a proteger, redes,
dispositivos móviles y sistemas en todo el mundo, permitiendo a los usuarios conectarse a Internet,
navegar por la web y realizar compras online de forma más segura. Gracias a la tecnología Global
Threat Intelligence (Inteligencia Global de Amenazas), McAfee proporciona protección en tiempo real
mediante sus soluciones de seguridad, permitiendo a las empresas, usuarios particulares, organismos
públicos y proveedores de servicios cumplir con la normativa, proteger datos, prevenir interrupciones,
identificar vulnerabilidades y controlar cualquier tipo de amenaza que pueda poner en peligro su
seguridad. En McAfee enfocamos todos nuestros esfuerzos en la búsqueda constante de nuevas soluciones
y servicios que garanticen la total seguridad de nuestros clientes. www.mcafee.com/mx

McAfee, Inc.
6205 Blue Lagoon Drive McAfee y el logotipo de McAfee son marcas comerciales o marcas comerciales registradas de McAfee, Inc. o de sus empresas filiales en EE. UU.
Suite 600 y en otros países. Los demás nombres y marcas pueden ser reclamados como propiedad de otros. Los planes, especificaciones y descripciones
Miami, Florida 33126 de productos mencionados en este documento se proporcionan únicamente a título informativo y están sujetos a cambios sin previo aviso;
U.S.A. se ofrecen sin garantía de ningún tipo, ya sea explícita o implícita. Copyright © 2012 McAfee, Inc.
www.mcafee.com/mx 48000wp_siem-big-security_0912_fnl_ASD