Usar metadatos para mejorar la visibilidad en la seguridad

Cada día es más complicado saber qué entra o sale de la red, así como detectar amenazas informáticas que pasan desapercibidas o bien, saben disfrazarse como tráfico interno.

seguridad

El poder de los metadatos para lograr visibilidad real y accionable para que las organizaciones tengan un mejor desempeño e inteligencia de sus soluciones de seguridad lo es todo para nosotros.

Estableciendo bases confiables y contexto fortalecer la actividad de la red es una tarea ardua. Existen demasiadas fuentes de datos que se conectan a diferentes soluciones y herramientas: endpoints, routers, switches, servidores de aplicaciones (como DNS y Active Directory), sistemas de seguridad existentes (como firewalls y sistemas de prevención de intrusos) y la lista puede seguir. Inclusive si fuera posible reunir todos los datos necesarios, simplemente hay demasiado para almacenar y analizar fácilmente. Para complicarlo aún más, iniciar sistemas “log-in” como firewalls y application servers, se vuelve computacionalmente intensivo.

¿Cómo es que las organizaciones pueden tener acceso a los datos que son críticos para monitorear de manera proactiva y generar esfuerzos de detección y respuesta?, y en cuanto lo tienen, ¿cómo pueden reducir los volúmenes tan grandes de datos? Para evitar abrumar a la infraestructura de monitoreo, la respuesta radica en recuperar un sumario de los datos relevantes usando elementos de metadata encontrados en Splunk Enterprise con GigaSECURE Metadata Engine.

Dentro de la plataforma de seguridad GigaSECURE hay un Metadata Engine hecho y derecho que provee información de seguridad útil sobre aplicaciones, dispositivos y comportamiento de los usuarios para cada una de las herramientas de seguridad conectada a ella. Para resolver el tema del diluvio de datos (el cual sólo se exacerba cuando la velocidad se incrementa a 100GB), las organizaciones pueden simplemente “encender” esta función, alimentar los metadatos al Splunk Enterprise y obtener una mayor comprensión usando dichas capacidades.

El uso de Metadata Engine, permite tener a las organizaciones una visibilidad SSL mucho más profunda. Pueden analizar todos los certificados SSL que son utilizados en la empresa, identificar el certificado de autoridad de cada certificado y web servers. Adicionalmente, ver detalles complementarios incluidos certificados que ya expiraron, certificados auto-firmados y mucho más. El uso de Metadata Engine permite detectar certificados sospechosos, sus servidores relacionados a sitios maliciosos y cuyos endpoints han visitado esos sitios.

Las organizaciones pueden realizar consultas DNS para ver si un dispositivo impactado tuvo acceso a funciones de control o comando. Con Metadata Engine, se pueden ver las consultas DNS jerarquizadas, así como las respuestas y visibilidad a los nombres de dominios DNS menos comunes, ponderando su reputación. Por ejemplo, puede detectarse un grupo de hosts que regularmente están guiando a su conveniencia comandos y controles del servidor en intervalos regulares. Usando el lenguaje de encriptación de Splunk Enterprise, se puede buscar de manera sistemática hosts en intervalos programados y encontrar endpoints comprometidos para un análisis e investigación posterior.

Otra capacidad involucra monitoreo URL y códigos de respuesta. El Metadata Engine puede analizar gramaticalmente URLs desde flujos http y pasárselos a Splunk Enterprise. Los analistas pueden llevar a cabo verificaciones de seguridad empezando con un análisis de reputación de los URLs para ver qué sitios de Internet han visitado los miembros de la organización, ya sea por trabajo o para uso personal. Se puede determinar qué sitio de Internet irrumpe una infraestructura de red, gana acceso y se viraliza literalmente.

El análisis de metadatos también detecta irregularidades al analizar minuciosamente códigos de respuesta y buscando desviaciones de comportamientos regulares. Un incremento excesivo en el redireccionamiento de códigos, como el popular “302 redirect”, puede indicarnos que los servidores de la organización están comprometidos, con un atacante dirigiendo tráfico a un servidor alternativo. Un incremento repentino en errores como “404 Page not found”, puede ser un indicativo de que un atacante puede estar ocasionando que los servidores web sean inalcanzables por los navegadores, que tratan de conectarse.

Muchas organizaciones ya usan software Splunk para colectar datos sobre ingresos y eventos en sus infraestructuras. Al integrar GigaSECURE Metadata Engine en combinación con Splunk Enterprise, la seguridad de las organizaciones puede aprovechar los metadatos para mejorar su inteligencia de red y su análisis contra amenazas.

Compartir noticia

Imprimir - Enviar a Email

Autor: Antonio Paredes - Fecha: 29/09/2016

Noticia sobre: Seguridad

:

: