Seguridad
84 / Cuadernos de Seguridad / Junio 2014
P
ARA poder responder a la pre-
gunta anterior, necesitamos res-
ponder...
Seguridad
Junio 2014 / Cuadernos de Seguridad / 85
Cuando una correlación nos infor-
ma de que A se está dando al mismo
ti...
Upcoming SlideShare
Loading in …5
×

Inteligencia, no es correlación de eventos - pdf - junio 2014

399 views
363 views

Published on

Hoy en día, nos encontramos en el mercado ofertas de «soluciones de inteligencia y analítica de seguridad que aplican la correlación de eventos y detección de anomalías en tiempo real a un repositorio de eventos de seguridad», pero antes de tomar una decisión respecto a si nuestra organización necesita o no una solución de este tipo, tenemos que ser capaces de responder a la pregunta: ¿Qué es lo que nos están ofreciendo?

Published in: Business
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
399
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
10
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Inteligencia, no es correlación de eventos - pdf - junio 2014

  1. 1. Seguridad 84 / Cuadernos de Seguridad / Junio 2014 P ARA poder responder a la pre- gunta anterior, necesitamos res- ponder antes a otras preguntas: ¿qué es correlación de eventos?, ¿qué es inteligencia?, y ¿qué relación hay en- tre ellas? Como base para definir adecuada- mente la correlación de eventos, en el diccionario de la RAE encontramos dos acepciones de correlación que son de aplicación a nuestro caso: Correlación. 1. f. Correspondencia o relación re- cíproca entre dos o más cosas o series de cosas. 4. f. Mat. Medida de la dependen- cia existente entre variantes aleatorias. Podemos definir la correlación de eventos como un proceso lógico-ma- temático que, por medio de mecanis- mos de cuantificación de eventos, de recogida de información y de formula- ción estadística, nos proporciona una medida de la relación y/o dependencia que existe entre dichos eventos. En resumen, la correlación de even- tos nos ofrece un modelo del compor- tamiento conjunto de una multitud de eventos. Este modelo de comporta- miento conjunto se puede utilizar para detectar determinadas situaciones de riesgo, y ayudar a establecer las con- tramedidas que puedan ser necesarias para minimizar el nivel de riesgo y sus consecuencias. Por ejemplo, un SIEM, que incorpora correlación de eventos, puede establecer que la combinación entre las variables «rango de IPs visi- tadas por un empleado», «logs de co- nexión al ordenador», «logs de entra- das/salidas al parking de la empresa» y «logs indicando la tasa de conexiones a gmail desde el ordenador del traba- jo» podría indicar un umbral de riesgo (por ejemplo, de fugas de información), que el departamento de Seguridad ten- dría que investigar. La correlación, en ese sentido, es un proceso deductivo: combina la infor- mación existente para extraer conclu- siones que se deriva específicamente de ella. Es decir, la correlación no pro- porciona nada nuevo que no estuviera ya en todo el conjunto de información disponible, en la información almace- nada en todas las variables que se so- meten a correlación. Claramente el valor añadido de la correlación no es desdeñable, puesto que gestiona conjuntamente grandes volúmenes de información, que el ana- lista humano no es capaz de manejar al mismo tiempo ni con tanta eficiencia y eficiencia. Sin embargo, la correlación de eventos no explica el porqué, ni des- cribe el contexto, ni establece una pre- visión sobre la naturaleza de una ame- naza o el nivel de riesgo. Para que la correlación tenga sentido predictivo y el resultado aporte mucho valor durante el proceso de gestión del riesgo, hay que interpretarla en función del contexto. Esta interpretación que in- tegra el resultado de la correlación de eventos con el contexto es una función propia del campo de la inteligencia. Muchas personas creen intuitiva- mente que una correlación fuerte entre dos eventos equivale a que existe una vinculación causal entre ellos (es decir, que uno está influyendo en el otro: es la denominada falacia «cum hoc ergo propter hoc», un fallo de razonamiento muy común), en realidad la correlación sólo está informando de que dos fenó- menos están variando conjuntamente, pero puede que por efecto de terce- ras variables. Inteligencia, mucho más que correlación de eventos ricardo cañizares. director de consultoría. grupo eulen Hoy en día, nos encontramos en el mercado ofertas de «soluciones de inteligencia y analítica de seguridad que aplican la correlación de eventos y detección de anomalías en tiempo real a un repositorio de eventos de seguridad», pero antes de tomar una decisión respecto a si nuestra organización necesita o no una solución de este tipo, tenemos que ser capaces de responder a la pregunta: ¿Qué es lo que nos están ofreciendo? Correlación de Eventos
  2. 2. Seguridad Junio 2014 / Cuadernos de Seguridad / 85 Cuando una correlación nos infor- ma de que A se está dando al mismo tiempo que B, creciendo B cuando crece A (correlación positiva) o decre- ciendo B cuando crece A (negativa), la única información que nos está propor- cionando, es que ambas están oscilan- do al mismo tiempo, pero no da infor- mación del porqué ni mucho menos se puede afirmar con certeza que A y B es- tán relacionadas entre sí. La correlación en sí es un proce- so poco «inteligente» y el término co- rrelación es, en ese sentido, ambiguo porque a priori en una correlación en- tre variables se desconoce si las varia- bles están, en efecto, «relacionadas» entre sí. En cambio, la inteligencia es un pro- ceso con un conjunto de etapas que, tras integrar e interpretar toda la infor- mación disponible, que tiene por obje- tivo proporcionarnos una anticipación de lo que va a ocurrir, una visión de futuro de la posible evolución del escenario analiza- do. En el campo de la seguridad, esta visión anticipatoria nos pro- porciona información para gestionar la segu- ridad de forma proac- tiva, anticipándonos a los riesgos y mejoran- do nuestra capacidad de prevención y reac- ción. Etapas del proceso de inteligencia La correlación de eventos interviene en las etapas 2 y 3 del proceso de inteligen- cia, búsqueda de la in- formación y procesa- miento de la información. Aunque muchos de los productos proporcionados por una unidad o ser- vicio de inteligencia no tienen carác- ter anticipatorio (por ejemplo, un aná- lisis situacional), no hay que confundir la parte con el todo, ya que un informe situacional en sí mismo no es un pro- ducto de inteligencia, sino un elemen- to de inteligencia que, interpretado en conjunto con otros elementos, llegará a producir un producto de inteligen- cia, es decir, una visión integrada y que anticipa la evolución de un escenario. En realidad, un informe de correla- ción no es otra cosa que un análisis si- tuacional, ya que solo nos proporciona una visión analítica del comportamien- to de un conjunto de factores que es- tán variando en el tiempo. Disponer de un departamento de Seguridad dotado de medios y proce- dimientos de inteligencia, permite que ese análisis situacional o informe de co- rrelación sea analizado e interpretado con la visión del entorno del mundo real, para darle sentido y producir un análisis de inteligencia que apoye la to- ma de decisiones. La inteligencia es una herramienta de apoyo a la toma de decisiones, que per- mite una gestión de los riesgos proactiva y anticipativa, y que mejora las capacida- des de reacción y pre- vención ante los ries- gos a los que están expuestas las organi- zaciones. En resumen: • La correlación de eventos no es inte- ligencia. • La correlación de eventos forma parte del proceso de inteli- gencia. • La inteligencia permite pasar de una seguridad preventiva a una seguridad anti- cipativa. ● Fotos: Eulen «La correlación de eventos nos ofrece un modelo del comportamiento conjunto de multitud de eventos» Correlación de Eventos Contactosdeempresas,p.7.

×