Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Seguridad
84 / Cuadernos de Seguridad / Junio 2014
P
ARA poder responder a la pre-
gunta anterior, necesitamos res-
ponder...
Seguridad
Junio 2014 / Cuadernos de Seguridad / 85
Cuando una correlación nos infor-
ma de que A se está dando al mismo
ti...
Upcoming SlideShare
Loading in …5
×

Inteligencia, no es correlación de eventos - pdf - junio 2014

459 views

Published on

Hoy en día, nos encontramos en el mercado ofertas de «soluciones de inteligencia y analítica de seguridad que aplican la correlación de eventos y detección de anomalías en tiempo real a un repositorio de eventos de seguridad», pero antes de tomar una decisión respecto a si nuestra organización necesita o no una solución de este tipo, tenemos que ser capaces de responder a la pregunta: ¿Qué es lo que nos están ofreciendo?

Published in: Business
  • Be the first to comment

  • Be the first to like this

Inteligencia, no es correlación de eventos - pdf - junio 2014

  1. 1. Seguridad 84 / Cuadernos de Seguridad / Junio 2014 P ARA poder responder a la pre- gunta anterior, necesitamos res- ponder antes a otras preguntas: ¿qué es correlación de eventos?, ¿qué es inteligencia?, y ¿qué relación hay en- tre ellas? Como base para definir adecuada- mente la correlación de eventos, en el diccionario de la RAE encontramos dos acepciones de correlación que son de aplicación a nuestro caso: Correlación. 1. f. Correspondencia o relación re- cíproca entre dos o más cosas o series de cosas. 4. f. Mat. Medida de la dependen- cia existente entre variantes aleatorias. Podemos definir la correlación de eventos como un proceso lógico-ma- temático que, por medio de mecanis- mos de cuantificación de eventos, de recogida de información y de formula- ción estadística, nos proporciona una medida de la relación y/o dependencia que existe entre dichos eventos. En resumen, la correlación de even- tos nos ofrece un modelo del compor- tamiento conjunto de una multitud de eventos. Este modelo de comporta- miento conjunto se puede utilizar para detectar determinadas situaciones de riesgo, y ayudar a establecer las con- tramedidas que puedan ser necesarias para minimizar el nivel de riesgo y sus consecuencias. Por ejemplo, un SIEM, que incorpora correlación de eventos, puede establecer que la combinación entre las variables «rango de IPs visi- tadas por un empleado», «logs de co- nexión al ordenador», «logs de entra- das/salidas al parking de la empresa» y «logs indicando la tasa de conexiones a gmail desde el ordenador del traba- jo» podría indicar un umbral de riesgo (por ejemplo, de fugas de información), que el departamento de Seguridad ten- dría que investigar. La correlación, en ese sentido, es un proceso deductivo: combina la infor- mación existente para extraer conclu- siones que se deriva específicamente de ella. Es decir, la correlación no pro- porciona nada nuevo que no estuviera ya en todo el conjunto de información disponible, en la información almace- nada en todas las variables que se so- meten a correlación. Claramente el valor añadido de la correlación no es desdeñable, puesto que gestiona conjuntamente grandes volúmenes de información, que el ana- lista humano no es capaz de manejar al mismo tiempo ni con tanta eficiencia y eficiencia. Sin embargo, la correlación de eventos no explica el porqué, ni des- cribe el contexto, ni establece una pre- visión sobre la naturaleza de una ame- naza o el nivel de riesgo. Para que la correlación tenga sentido predictivo y el resultado aporte mucho valor durante el proceso de gestión del riesgo, hay que interpretarla en función del contexto. Esta interpretación que in- tegra el resultado de la correlación de eventos con el contexto es una función propia del campo de la inteligencia. Muchas personas creen intuitiva- mente que una correlación fuerte entre dos eventos equivale a que existe una vinculación causal entre ellos (es decir, que uno está influyendo en el otro: es la denominada falacia «cum hoc ergo propter hoc», un fallo de razonamiento muy común), en realidad la correlación sólo está informando de que dos fenó- menos están variando conjuntamente, pero puede que por efecto de terce- ras variables. Inteligencia, mucho más que correlación de eventos ricardo cañizares. director de consultoría. grupo eulen Hoy en día, nos encontramos en el mercado ofertas de «soluciones de inteligencia y analítica de seguridad que aplican la correlación de eventos y detección de anomalías en tiempo real a un repositorio de eventos de seguridad», pero antes de tomar una decisión respecto a si nuestra organización necesita o no una solución de este tipo, tenemos que ser capaces de responder a la pregunta: ¿Qué es lo que nos están ofreciendo? Correlación de Eventos
  2. 2. Seguridad Junio 2014 / Cuadernos de Seguridad / 85 Cuando una correlación nos infor- ma de que A se está dando al mismo tiempo que B, creciendo B cuando crece A (correlación positiva) o decre- ciendo B cuando crece A (negativa), la única información que nos está propor- cionando, es que ambas están oscilan- do al mismo tiempo, pero no da infor- mación del porqué ni mucho menos se puede afirmar con certeza que A y B es- tán relacionadas entre sí. La correlación en sí es un proce- so poco «inteligente» y el término co- rrelación es, en ese sentido, ambiguo porque a priori en una correlación en- tre variables se desconoce si las varia- bles están, en efecto, «relacionadas» entre sí. En cambio, la inteligencia es un pro- ceso con un conjunto de etapas que, tras integrar e interpretar toda la infor- mación disponible, que tiene por obje- tivo proporcionarnos una anticipación de lo que va a ocurrir, una visión de futuro de la posible evolución del escenario analiza- do. En el campo de la seguridad, esta visión anticipatoria nos pro- porciona información para gestionar la segu- ridad de forma proac- tiva, anticipándonos a los riesgos y mejoran- do nuestra capacidad de prevención y reac- ción. Etapas del proceso de inteligencia La correlación de eventos interviene en las etapas 2 y 3 del proceso de inteligen- cia, búsqueda de la in- formación y procesa- miento de la información. Aunque muchos de los productos proporcionados por una unidad o ser- vicio de inteligencia no tienen carác- ter anticipatorio (por ejemplo, un aná- lisis situacional), no hay que confundir la parte con el todo, ya que un informe situacional en sí mismo no es un pro- ducto de inteligencia, sino un elemen- to de inteligencia que, interpretado en conjunto con otros elementos, llegará a producir un producto de inteligen- cia, es decir, una visión integrada y que anticipa la evolución de un escenario. En realidad, un informe de correla- ción no es otra cosa que un análisis si- tuacional, ya que solo nos proporciona una visión analítica del comportamien- to de un conjunto de factores que es- tán variando en el tiempo. Disponer de un departamento de Seguridad dotado de medios y proce- dimientos de inteligencia, permite que ese análisis situacional o informe de co- rrelación sea analizado e interpretado con la visión del entorno del mundo real, para darle sentido y producir un análisis de inteligencia que apoye la to- ma de decisiones. La inteligencia es una herramienta de apoyo a la toma de decisiones, que per- mite una gestión de los riesgos proactiva y anticipativa, y que mejora las capacida- des de reacción y pre- vención ante los ries- gos a los que están expuestas las organi- zaciones. En resumen: • La correlación de eventos no es inte- ligencia. • La correlación de eventos forma parte del proceso de inteli- gencia. • La inteligencia permite pasar de una seguridad preventiva a una seguridad anti- cipativa. ● Fotos: Eulen «La correlación de eventos nos ofrece un modelo del comportamiento conjunto de multitud de eventos» Correlación de Eventos Contactosdeempresas,p.7.

×