Enfoques para una seguridad confiable. (Primera Parte)

12 Nov 2003 en Seguridad

En las últimas semanas la seguridad de las infraestructuras se vio atacada y amenazada por virus como Slammer, Blaster y SoBig, entre otros. Esto ha puesto en tela de juicio la efectividad de la seguridad en numerosas instalaciones ¿Hay una forma de estar mejor preparado para evitar estos ataques o plagas?
Phil Hollows, columnista invitado de Datamation y especialista en seguridad, nos dice que el factor clave para una seguridad confiable está en un adecuado manejo de los eventos; mientras que, por otra parte, un manejo efectivo de eventos de seguridad radica en la capacidad de correlacionarlos en tiempo real. Esa correlación en tiempo real consiste en integrar y analizar datos de todos los sistemas de seguridad de la empresa.
Para lograr esta correlación, existen dos enfoques arquitectónicos que son los más aceptados. El primero es la correlación basada en consultas y utiliza los datos que se almacenan en las bases de los sistemas de seguridad. Al integrar las de diferentes sistemas, se compone una warehouse de datos. El otro enfoque, utiliza técnicas “in-memory”  Además de estos dos enfoques, existen dos formas fundamentalmente diferentes para el examen de los datos durante el proceso de correlación propiamente dicho: la basada en reglas y la basada en estados.
El empleo de consultas o queries en una base de datos o warehouse tiene la ventaja de resultar más sencillo en la mayoría de las organizaciones, dada la familiaridad con esta tecnología. Generalmente existe conocimiento de bases de datos relacionales y, cuando se las emplea en la correlación, se pueden ejecutar sofisticadas consultas al warehouse de eventos y, de esta manera, identificar importantes relaciones que indican una potencial amenaza para la empresa.
Sin embargo, el ingreso de una sostenida actividad de eventos produce gran cantidad de inserciones en las tablas y este crecimiento debe ser administrado con energía si se quiere sostener una performance adecuada. Además, es difícil optimizar una solución de base de datos que mantenga un ritmo de actualización de tablas muy intenso a la vez que recibe consultas que son, en definitiva, las que materializan la correlación.
Será muy difícil evitar latencias entre el ingreso de los datos de eventos y su correlación efectiva. Esta latencia dependerá de la implementación de base de datos disponible, ya que los datos deben primero ser almacenados y luego recuperados por el proceso de correlación. Por otra parte, esta clase de solución no puede incorporar información sobre eventos cuyas fuentes no estén preintegradas.