Enfoques para una seguridad confiable (Tercera parte)

12 Nov 2003 en Seguridad

A diferencia con el enfoque de reglas que vimos en el párrafo anterior, los métodos basados en estados, pueden verificar una determinada secuencia de eventos (Si A y luego B, deducir C). Pueden usarse para detectar patrones de alto nivel o comportamientos que indican amenazas. Esta clase de lógica no se extiende tanto en tamaño como los conjuntos de reglas y puede detectar errores de secuencia (que B llegue antes que A por un problema de red) que confundirían a una regla.
Por otra parte, las soluciones basadas en estados son muy potentes en cuanto no es necesario apuntar a una regla que identifique al virus Code Red, por ejemplo, dado que los enfoques orientados a estados generalmente funcionan con un nivel de abstracción mayor. Esto quiere decir que capturarán a Code Red, aunque no exista una regla específica para ese virus. Si bien es un enfoque que puede ser potente, no es fácil implementarlo y acostumbrarse a él.
Cuando se evalúan los diferentes métodos de correlación en tiempo real, deben cotejarse las opciones frente a las necesidades concretas del caso: ¿Qué latencia es tolerable dentro del entorno de respuesta a emergencias? ¿Qué niveles sostenidos de ingreso de datos se espera y cómo son las diferentes arquitecturas que los utilizan? ¿En qué forma afectaría al funcionamiento de la organización uno u otro enfoque?
Cuando se considera una solución de identificación de amenazas en tiempo real, lo principal es que el proceso de evaluación sea lo más amplio posible, con sus correspondiente selección y pruebas. El proceso de educación antes de adquirir una solución es fundamental. Cuanto más se aprende, mejor se aparean las necesidades con la solución y mayor será la duración efectiva de la misma.