LINWARE | Blog | No se ahogue en sus datos: por qué no necesita un lago de datos

BLOG

No se ahogue en sus datos: por qué no necesita un lago de datos

Publicada el 08/08/2023

Elastic como líder en análisis de seguridad, a menudo en Elastic se le solicitan las recomendaciones de arquitecturas para el análisis de datos a largo plazo. Y la mayoría de las veces, el concepto de datos ilimitados es una idea novedosa. Otros proveedores de análisis de seguridad, que luchan por respaldar la retención y el análisis de datos a largo plazo, están perpetuando el mito de que las organizaciones no tienen otra opción que implementar un lago de datos (o pantano) lento y difícil de manejar para almacenar datos durante largos períodos de tiempo.

Rompamos este mito. En Elastic, los datos ilimitados no son una quimera: son una realidad. Miles de nuestros clientes ya se están beneficiando de una capa de datos unificados que mantiene meses y años de datos procesables de una manera asequible y de rápido acceso.

¿Por qué las organizaciones ahora necesitan datos procesables a largo plazo?

El ataque de SolarWinds demostró la necesidad de poder actuar rápidamente sobre los archivos que la mayoría de las organizaciones almacenaban en silos en pantanos de datos lentos o no retenían en absoluto. Descubierto a fines de diciembre de 2020 y que afectó a decenas de miles de empresas, la verdadera revelación fue que el adversario comenzó a infiltrarse en las redes 15 meses antes. En un instante, los CISO de todo el mundo necesitaban saber: "¿Vimos señales de este ataque durante el año pasado?"

Por lo tanto, muchos defensores comenzaron a cuestionar los sistemas de cumplimiento y gobernanza (lagos o pantanos) que no estaban diseñados para brindar respuestas rápidas y confiables. Este proceso de "adivinar... rehidratar... buscar... y empezar de nuevo" no solo es extremadamente lento (lleva horas poner la información en línea y buscarla), sino que también es inexacto. Los analistas pueden hacer buenas suposiciones sobre qué período de tiempo analizar, pero a menudo no pueden proporcionar una seguridad total en toda la información almacenada.

El ataque de SolarWinds, más que cualquier otro en la memoria reciente, demostró que los profesionales que defienden una organización de un ataque en curso necesitan una forma de buscar datos históricos rápidamente y con total seguridad. Recuerde, determinar si el ataque ocurrió no es suficiente. También debe poder establecer la causa raíz y el alcance completo del ataque, y desarrollar planes de remediación.

Los analistas sintieron que se estaban ahogando en estos lagos de datos, incapaces de sacar a la luz la información y las garantías que sus organizaciones estaban ansiosas por obtener. A medida que el reloj avanzaba, los líderes perdieron la confianza y comenzaron a preguntarse: "¿No hay una mejor manera?"

Datos ilimitados en Elastic

Elástic no puede vencer las leyes de la física. Sin embargo, se aborda este problema como un líder de una década en el análisis de datos. Se sabe que para permitir un análisis que se ejecute lo suficientemente rápido como para detener daños y pérdidas, la plataforma de datos debe estructurar los datos a medida que se almacenan. El enfoque index-on-write es parcialmente responsable de nuestro liderazgo como la mejor plataforma de análisis de datos de código abierto.

Y este enfoque en la estructuración de los datos a medida que se almacenan en Elasticsearch también permite un rendimiento de búsqueda fenomenal en tiendas de objetos de bajo costo. A diferencia de las soluciones de nuestros competidores, cuando Elastic busca datos en un almacén de objetos, no es necesario rehidratar todo su contenido. Solo se ven los metadatos del índice y, si se encuentra información en el índice que pueda responder a la pregunta del usuario, esa información se recupera del almacén de objetos. En nuestra documentación, llamamos a esta capacidad instantáneas de búsqueda de nivel congelado .

Las instantáneas de búsqueda permiten ejecutar consultas que antes eran imposibles en todos los datos de un sistema. Pero, ¿qué pasa con múltiples sistemas, tal vez abarcando hiperescaladores de la nube como Amazon AWS, Microsoft Azure y Google Cloud, e implementaciones locales? Nuevamente, Elastic innovó con una capacidad de consulta distribuida llamada búsqueda entre clústeres.. Esta capacidad permite a los analistas consultar simultáneamente todas sus implementaciones, dejando los datos donde se recopilan. Para el usuario, esta consulta federada es virtualmente invisible (la consulta en sí es idéntica) ¿busca evidencia de Sunburst? Escriba la consulta una vez y apúntela a todos sus datos. La solución de Elastic sabe dónde residen los datos y distribuye la consulta entre los sistemas en consecuencia. Ahora, los analistas pueden buscar desde una interfaz y acceder a datos en todo el mundo. Esta capacidad reduce enormemente el costo de la transferencia y el almacenamiento de datos: solo la consulta y los resultados coincidentes deben atravesar la red y, al mismo tiempo, ayudan a mantener la soberanía de los datos.

Ahora, combine estas capacidades de datos ilimitadas y tendrá un acceso sin precedentes a sus datos. Los datos pueden existir en implementaciones de Elastic en cualquier parte del mundo, incluso en una instantánea o almacenamiento de objetos en hiperescaladores en la nube o sistemas locales, y se puede acceder a ellos desde una sola interfaz.

Y como todo en Elastic, Limitless Data se creó pensando en una velocidad ridícula. Como ejemplo, supongamos que desea ejecutar una regla de correlación avanzada diseñada por nuestro equipo de Elastic Security Labs . El nivel activo de una implementación típica de Elastic Security devolvería una respuesta en todos sus datos en solo seis (6) segundos. Aplicar esa misma consulta a través de datos congelados (almacenamiento de objetos en S3) arrojaría respuestas en solo dieciocho (18) segundos .

Elastic Security en datos ilimitados

Elastic Security unifica SIEM, análisis de seguridad, XDR, punto final y seguridad en la nube en una única solución unificada, con una única interfaz de usuario. Gracias a Elasticsearch, Elastic Security aplica por completo el poder de los datos ilimitados. La capacidad de analizar de manera rápida y confiable los datos previamente aislados está ayudando a nuestros usuarios a tener éxito de nuevas maneras:

Detección de amenazas : Elastic Security Labs ofrece más de mil reglas preconstruidas en numerosos dominios de datos como host, red y usuario. Si bien la mayoría de los SIEM pueden ejecutar detecciones solo contra datos transmitidos, en Elastic estas reglas son simplemente búsquedas. Y, a diferencia de otros proveedores, nuestras reglas están completamente abiertas tanto en el producto como en un repositorio abierto de GitHub . Esto significa que los usuarios pueden tomar cualquier regla y ejecutarla fácilmente a través de la información histórica simplemente cambiando el tiempo de búsqueda de la regla a semanas, meses o incluso años.
Análisis avanzado de entidades : Más allá de las reglas, nuestra detección de anomalías de aprendizaje automático, los modelos de aprendizaje automático supervisado y la puntuación de riesgo de host y usuario incluida también pueden funcionar sin problemas en la infraestructura de datos ilimitada. Esto significa que nuestros modelos no supervisados, además de realizar detecciones de anomalías casi en tiempo real, se pueden ejecutar retrospectivamente en datos que abarcan períodos de tiempo mucho más largos que otras plataformas SIEM.
Búsqueda de amenazas y respuesta a incidentes : como demostró el ataque de SolarWinds, la búsqueda de amenazas y la respuesta a incidentes es donde realmente brilla el análisis histórico a la velocidad de Elasticsearch. Invisibles para el analista, los espacios de trabajo de investigación de Elastic federarán una búsqueda sobre cualquier sistema remoto adjunto (clúster) e incluso sobre el almacenamiento de objetos para brindar total seguridad a la pregunta "¿hemos visto esto antes?".
Tableros y otras visualizaciones : cualquier dato disponible en Elastic también puede potenciar nuestras herramientas de visualización intuitivas, como Lens . Una vez más, años de datos al alcance de su mano para impulsar tableros e informes.

Todo este poder, aún menos costoso que los lagos de datos tradicionales

Tal vez el mayor beneficio de los datos ilimitados, más allá de potenciar los flujos de trabajo de los analistas y las tecnologías de detección y brindar una garantía comercial completa, es que también es extremadamente asequible. Los clientes de todo el mundo ya están utilizando el poder combinado de las instantáneas de búsqueda de niveles congelados y la búsqueda entre clústeres (datos ilimitados) para brindar una seguridad sin precedentes a sus organizaciones. Una y otra vez, encontramos que nuestra implementación no solo es mucho más poderosa que los lagos de datos heredados, sino que también es menos costosa.

Un cliente con un promedio de 20 TB de datos por año vio un ahorro del 10 % en su factura de lago de datos. Y recuerde, están ahorrando dinero y potenciando flujos de trabajo que antes eran imposibles.

Para un ejemplo de escala extrema, no busque más allá de la Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA).

La publicación en mayo de 2021 de la Orden Ejecutiva sobre la Mejora de la Ciberseguridad de la Nación aceleró en gran medida estos esfuerzos. La orden requiere que las agencias implementen una capacidad de detección y respuesta de punto final (EDR). CISA tiene la tarea de liderar la iniciativa de implementación de EDR federal para respaldar la visibilidad, la atribución y la respuesta a nivel de host con respecto a los sistemas de información de la Rama Ejecutiva Civil Federal (FCEB) a escala. La orden también ordena la autorización de cambios muy anticipados a los acuerdos entre las agencias FCEB y DHS, que ahora requieren que las agencias compartan información detallada sobre sus sistemas a través del programa CDM.

Por primera vez, el programa CDM ahora tiene tanto la capacidad técnica para buscar amenazas a escala como la política que lo autoriza a hacerlo.

Los tableros CDM potencian la caza de amenazas, requieren un enfoque más inteligente de los datos

Con el fuerte apoyo de nuestro socio, ECS , CISA ha tenido un gran éxito:

En las últimas semanas, una agencia federal identificó un exploit activo dirigido a su red. La agencia compartió rápidamente inteligencia sobre amenazas cibernéticas con nuestro equipo en la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA). Aunque la agencia mitigó rápidamente la amenaza, CISA usó nuestro Panel Federal de Mitigación y Diagnóstico Continuo (CDM) y detectó rápidamente varios otros sistemas vulnerables en el gobierno federal relacionados con este exploit. En cuestión de minutos, aprovechamos esta visibilidad a nivel de host en la infraestructura de la agencia federal para confirmar los riesgos potenciales, alertar a las agencias afectadas y rastrear activamente la mitigación, evitando que una explotación activa cause un daño generalizado en los sistemas de la agencia y afecte los servicios esenciales de los que dependen los estadounidenses.

A principios de esta primavera, logramos un hito importante: las 23 agencias de la Ley de Director Financiero (CFO) ahora comparten información sobre riesgos cibernéticos con CISA de manera continua a través de sus Tableros de Agencia CDM.

Evolución de CDM para transformar las operaciones de ciberseguridad del gobierno y habilitar el enfoque de CISA para la ciberdefensa interactiva

Para obtener más información sobre cómo puede beneficiarse de los datos ilimitados de Elastic y probarlo usted mismo, inicie una prueba gratuita en la nube .

Ir al Blog