Enfoques para una seguridad confiable (Segunda Parte)

12 Nov 2003 en Seguridad

Como vimos antes, el método alternativo al de la consulta utilizando una base de datos o warehouse que nos permita ejecutar consultas, es el de la correlación orientada a eventos “in-memory.” Aquí estamos hablando de una correlación computacional, donde el servidor de correlación procesa los eventos entrantes en la misma memoria y a medida que ingresan. De esta manera, no se requiere de una base de datos para alimentar este proceso de correlación.
Estas soluciones son más veloces que las anteriores y también son más fácilmente escalables. Esto se debe a que la latencia que antes mencionamos ya no está presente. Este enfoque computacional tiene las ventajas de la mayor velocidad; mayor flexibilidad arquitectónica; y menores requerimientos de ancho de banda. Estas soluciones, al no estar limitadas a los datos preintegrados en la base de datos, pueden llegar a recoger información contextual de otras fuentes, agregando así valor a los resultados.
De todos modos, los datos que van siendo procesados deben luego ser almacenados en una base de datos para la generación de reportes y funciones de análisis. En términos de performance de estas soluciones, será necesario establecer si el almacenamiento de los datos es concurrente a la correlación o consecutivo.
Independientemente del método que se siga, existen varias formas de definición de una correlación (la conexión entre eventos aparentemente independientes). Los enfoques basados en reglas son fáciles de entender. Son procedurales y utilizan lenguaje de programación como sintaxis, a veces con la ayuda de algún asistente de GUI (Graphical User Interface), con lo cual es sencillo comprenderlas. Las reglas se utilizan para definir “presencias o firmas de ataque.” Por su propia naturaleza, los conjuntos de reglas pierden actualidad con el tiempo, lo que dificulta su administración. Las reglas deben ser modificadas reactivamente, como resultado de un ataque y desconocen aquello para lo que no fueron programadas.