Segurança no Big Data

European Voices6 minutes readMar 11th, 2013
SHARE +

Big Data significa grandes volumes de dados. Trata-se de uma questão que as nossas organizações têm de lidar para poder continuar em jogo. O Big Data, muitas vezes consolidado a partir de múltiplas fontes num único ponto, é medido em terabytes ou petabytes (num futuro próximo zetabytes!). Alguns destes dados têm utilidade imediata, outros são guardados para uma possível utilização posterior.

Os dados para a segurança da informação são também uma das componentes do Big Data – cujo sistema iremos analisar a seguir – e tem o objetivo de identificar padrões e detetar sinais de comportamentos maliciosos.

A combinação de fatores como diversidade de dispositivos, utilizadores e tráfego gerado estão a levar a uma produção enorme de dados, caracterizados por: volume, velocidade, variedade, veracidade e valor. Como consequência, as organizações necessitam de uma forma de os proteger, utilizar e obter informação útil a partir deste grande volume de dados.  Esta capacidade de inteligência é útil, sendo cada vez mais importante para as organizações e seus utilizadores, mas também no mundo do cibercrime. O mercado do cibercrime permite a venda de informação de cartões de crédito, contas de utilizadores, passwords, segredos nacionais (Wikileaks), propriedade intelectual, entre outros. Por outro lado, os modelos de perímetros de segurança começam a ter uma aplicação limitada: cada vez mais dados estão disponíveis na Internet, em dispositivos móveis e na cloud; e a abordagem da mitigação de riscos compensados por controlos adicionais é limitada, dada a ausência de proteção/visibilidade global contra um potencial ataque.

De forma a responder a estas questões há que assumir o seguinte pressuposto: dada a exposição dos nossos sistemas de informação ao exterior, as nossas infraestruturas estão, de alguma forma, comprometidas, sendo cada vez mais complicado assegurar que temos os dados isolados. Para tal, importa que as organizações tenham capacidade para os proteger , recolhê-los e agregá-los num formato inteligente e com capacidade de notificações em tempo real e que compreenda:

  1. estabelecer uma visibilidade completa dos dados e de quem os acede através da monitorização;
  2. perceber o contexto, para que se possa focar nos ativos de valor, que são críticos para o negócio;
  3. utilizar essa informação de forma a proteger as áreas mais sensíveis e impedir os ataques e acessos não autorizados a informação.

Os componentes que constituem essa abordagem são:

  • Recolha: agregar os dados de todos os ativos (rede, servidores, aplicações, base de dados, postos de trabalho, segurança, utilizadores, cloud).
  • Integração: normalizar os dados (dados estruturados) de forma a tornar mais fácil a sua análise e tratamento, assim como guardar os dados em raw (dados não-estruturados) por ex. para efeitos de auditoria, análise forense.
  • Análise:  os dados, após normalizados, ou raw são indexados e categorizados para facilitar o processamento, correlação e identificar padrões baseados em heurística e regras. Neste componente também é possível combinar logs de múltiplas fontes e efetuar a sua a correlação de forma a permitir a criação de alertas em tempo real.Desta forma é possível aos administradores e analistas de segurança:
    • detetar mais incidentes (devido à correlação);
    • suportar mais dados (devido à utilização de dados não-estruturados);
    • operar de um modo mais eficiente (utilização dos mesmos dados  para diferentes objetivos: deteção, alertas, análise forense e relatórios);
    • identificar ameaças mais rapidamente (por utilização de dados não estruturados e RDBMS);
  • Identificação de Ameaças (tempo real): durante a análise de ameaças são tidos em conta as seguintes variáveis em tempo real para reduzir os falsos-positivos: contas de utilizadores, ativos críticos, vulnerabilidades e “watch lists”.
    • exemplo1: uma tentativa de ataque de MS SQL Server Injection, tendo como alvo uma base de dados Oracle. Neste caso, a severidade seria reduzida uma vez que o Oracle não é suscetível a ataques de MS SQL.
    • exemplo2: um utilizador com privilégios para aceder à infraestrutura fora do horário normal de trabalho e a inserir pen drives nos sistemas poderá passar despercebido, se visto de forma isolada. No entanto, se ambas as ações forem correlacionadas a severidade será elevada, resultado da conjugação da perceção dos privilégios do utilizador e a criticidade dos ativos. Isto irá desencadear um alerta e um processo de monitorização sobre uma potencial fuga de informação.
  • Deteção de Padrões (Arquivo): poderão, também, ocorrer ataques que não são percetíveis em tempo real e que implicam uma análise aos eventos em arquivo.Exemplo: um ataque para  descobrir a password de um utilizador, com base num dicionário. Em vez de usar um ataque de brute-force, que iria provocar de imediato o bloqueio da conta, o ataque poderia passar, por exemplo, por duas tentativas em cada 5 minutos (o que iria dar 576 tentativas sem sucesso por dia!) em que, numa análise em tempo real, não seria possível de detetar.
  • Correlação Estatística: utiliza modelos de heurística para determinar o comportamento padrão (baseline) e anómalo em termos de utilizadores, sistemas e aplicações, e através da combinação das variáveis: tempo real, eventos, criticidade dos ativos, vulnerabilidades dos ativos e identidade, para ajudar as equipas de operação a detetar as ameaças. Isto implica definir prioridades dos eventos críticos, identificar os ativos (Network/Asset Model)  e utilizadores (User Model).

Assim será possível determinar:

– Quem acedeu à informação? – Como acedeu à informação? – Quando acedeu à informação?

  • Monitorização e Resposta: capacidade de notificar e alertar, em tempo real, quando existe atividade maliciosa em curso.exemplo: se for detetado um ataque de Distributed Denial of Service (DDoS) deverá ser enviado um e-mail ao responsável e equipa e notificar pelo telemóvel. Esta ação pode compreender vários níveis de prioridade de notificações e alertas.

Conclusão

Em resumo, o acesso à informação correta significa tomar a decisão correta no momento certo, para assegurar a continuidade de negócio – onde o Big Data é uma peça fundamental. A segurança da informação é apenas uma das componentes do Big Data mas que, pela sua criticidade, tem uma componente de análise em tempo real que é determinante para o sucesso da organização e que envolve a utilização de componentes de Security Information and Event Management (SIEM) e aplicações Log Data que trabalhem com dados em modo estruturado e não-estruturado.

Tags-   ameaças Big data cibercrime dados informação monitorização Security Information and Event Management segurança SIEM utilizadores