A menudo recibimos preguntas sobre nuestra decisión de anclar la visibilidad de la red a los metadatos de red, así como sobre el modo en que elegimos y diseñamos los modelos algorítmicos para enriquecerla aún más para los lagos de datos e incluso los SIEM. La historia de Ricitos de Oro y los tres osos ofrece una analogía bastante buena, ya que se tropieza con una cabaña en el bosque en busca de comodidades que le parezcan adecuadas.
Cuando los equipos de operaciones de seguridad buscan los mejores datos sobre amenazas para analizarlos en sus lagos de datos, los metadatos de red suelen entrar en la categoría de los más adecuados. Esto es lo que quiero decir: NetFlow ofrece datos incompletos y se concibió originalmente para gestionar el rendimiento de la red. Los PCAP son intensivos en rendimiento y caros de almacenar de forma que garanticen la fidelidad en las investigaciones postforenses. El equilibrio entre NetFlow y PCAP deja a los profesionales de la seguridad en una situación insostenible.
NetFlow: demasiado poco
Como recomendaba el antiguo jefe de análisis del US-CERT en un artículo reciente: "Muchas organizaciones alimentan a sus equipos de seguridad con un flujo constante de datos de Capa 3 o Capa 4. Pero ¿qué nos dicen realmente estos datos, con un contexto limitado, sobre los ataques modernos? Pero, ¿qué nos dicen realmente estos datos, con su contexto limitado, sobre los ataques modernos? Por desgracia, no mucho".
Eso es NetFlow.
Originalmente diseñado para la gestión del rendimiento de la red y reutilizado para la seguridad, NetFlow falla cuando se utiliza en escenarios forenses. Lo que falta son atributos como el puerto, la aplicación y el contexto de host, que son fundamentales para la caza de amenazas y la investigación de incidentes. ¿Y si necesita profundizar en las propias conexiones? ¿Cómo saber si hay intentos de conexión SMBv1, el principal vector de infección del ransomware WannaCry? Puede que sepa si existe una conexión en el puerto 445 entre hosts, pero ¿cómo puede ver la conexión sin detalles a nivel de protocolo?
No se puede. Y ese es el problema con NetFlow.
PCAPs: Demasiado
Utilizados en investigaciones postforenses, los PCAP son útiles para el análisis de la carga útil y para reconstruir archivos con el fin de determinar la escala y el alcance de un ataque e identificar actividades maliciosas.
Pero como escribieron los analistas de Gartner Augusto Barros, Anton Chuvakin y Anna Belak en su nota de investigación "Applying Network-Centric Approaches for Threat Detection and Response", publicada el 18 de marzo de 2019 (ID: G00373460), "Hace años, las herramientas forenses de red (NFT) buscaban recopilar paquetes sin procesar a gran escala, pero las rápidas redes actuales hacían que este enfoque fuera poco práctico para casi todas las organizaciones."
Un análisis de PCAP completos publicado en la revista Security Intelligence explica cómo las redes más sencillas necesitarían cientos de terabytes, si no petabytes, de almacenamiento para PCAP. Debido a ello -por no mencionar el coste desorbitado-, las organizaciones que confían en los PCAP rara vez almacenan más de una semana de datos, lo que resulta inútil cuando se dispone de un gran lago de datos. Los datos de una semana también son insuficientes si se tiene en cuenta que los equipos de operaciones de seguridad no suelen saber hasta pasadas semanas o meses que han sufrido una brecha.
A esto hay que añadir la enorme degradación del rendimiento -es decir, la frustrante lentitud- a la hora de realizar investigaciones postforenses en grandes conjuntos de datos. Por qué alguien pagaría por almacenar PCAP a cambio de un rendimiento mediocre?
Metadatos de red: Justo a tiempo
La recopilación y el almacenamiento de metadatos de red logran un equilibrio perfecto para los lagos de datos y los SIEM. Barros, Chuvakin y Belak escribieron más tarde en la misma nota de investigación: "Por lo tanto, los metadatos enriquecidos y la captura de archivos ofrecen un valor de investigación mucho mejor -es más fácil y rápido encontrar cosas- a un coste computacional y de almacenamiento mucho menor".
Los metadatos con formato Zeek le ofrecen el equilibrio adecuado entre telemetría de red y precio/rendimiento. Obtendrá datos ricos, organizados y fáciles de buscar con atributos de tráfico relevantes para las detecciones de seguridad y los casos de uso de investigación (por ejemplo, el atributo de ID de conexión). Los metadatos también permiten a los equipos de operaciones de seguridad elaborar consultas que interrogan a los datos y conducen a investigaciones más profundas. A partir de ahí, se pueden construir consultas cada vez más específicas a medida que se extrae más y más contexto de ataque.
Y lo hace sin las limitaciones de rendimiento y big data habituales en los PCAP. Los metadatos de red reducen los requisitos de almacenamiento en más de un 99%, en comparación con los PCAP. Y puede almacenar selectivamente los PCAP correctos, requiriéndolos solo después de que los análisis forenses basados en metadatos hayan identificado los datos de carga útil que son relevantes.