Por definición, los metadatos son un conjunto de datos que describen a otros datos. Es una abstracción de lo que alguien considera como notas importantes o extractos de un paquete o un registro que resume la ‘esencia’ de lo que está pasando.
Siendo un ‘aficionado del registro’ (léase: apasionado promotor de Splunk), soy un defensor consumado de datos en su forma cruda. A menudo, he estado en escenarios con clientes donde la pieza crítica de la información no está presente. Estoy atascado mirando una versión resumida de la información que fue inventada para una tarea específica, hace demasiadas lunas, que ahora está siendo reutilizada para abordar una iniciativa diferente.
Sé lo que todos ustedes están pensando: ‘Utilizo metadatos en el día a día de mi trabajo y a veces entrega resultados’. Eso, es probablemente válido; no hay duda de que estoy mostrando una visión más oscura del mundo de lo que en realidad es, pero también estoy tratando de explicar el hecho de que nadie va a entender sus necesidades tan bien como usted mismo. Por lo tanto, siempre que tenga la opción de poner los ojos en todo (les hablo a ustedes analistas de seguridad), deben tomar la oportunidad sin meditarlo mucho. En el caso de la seguridad cibernética, los datos no son diferentes.
Además, también soy consciente de que ‘ver todo’ no es gratuito. Almacenar datos no es barato, y muchas soluciones están licenciadas por cuánto ven o limitadas por restricciones de rendimiento que tienen que tomar decisiones sobre lo que desea supervisar o consumir antes de llegar al punto de analizar un evento (los metadatos no suenan tan mal ¿verdad?).
Algunos datos están tan profundamente enterrados en los confines de las soluciones que entregan ese acceso a algo tan sencillo y valioso como una solicitud de DNS, requiere sumergirse en el oscuro mundo de las configuraciones del modo de depuración y meterse en los registros que se leen como una novela pequeña, sólo para pueda uno ver una única línea con la información que requerimos.
Durante mi día a día, a menudo se me pide que ayude a los clientes a recorrer la delgada línea entre el costo y la calidad, los metadatos y la información en bruto. Hasta hace poco, este acto de equilibrio era una tarea desalentadora. Sin embargo, innovaciones recientes me han puesto en la agradable posición de llegar a decir sí en todo.
¿Recuerda los problemas que pudo haber tenido con los metadatos?, ¿Qué pasa si pudiera configurar lo que quiere por su cuenta?, ¿Qué pasa si en lugar de los conceptos básicos de origen, destino, método y puerto, pudiera agregar algunas elementos con ‘carnita’ de verdad como URLs?, ¿Y qué hay con el tema de DNS?, ¿Qué pasa si simplemente puede incluir esa solicitud como parte de los metadatos que desea y eludir todo el problema?
Puedo enviar el 100% de paquetes de datos de todos los puntos de mi red, a través de soluciones de seguridad avanzadas. Puedo optimizar los flujos de tráfico para la captura sostenida de todos los datos que entran y salen de mi entorno (ideal para aquellos momentos en los que decimos ‘¿qué diablos acaba de pasar?’. Y puedo hacer esto al mismo tiempo que genera flujos IPFIX avanzados y la alimentación de información mejorada a mis soluciones avanzadas de correlación. Todo esto se realiza desde una única solución. Potencialmente una sola caja. Potencialmente una sola RU.
Al final del día, los analistas emproblemados pueden ver una alerta desde su solución avanzada de malware, dirigida a un punto final en la red, ver registros crudos que muestran cambios críticos a ese mismo punto final que coinciden con IOCs y validar el compromiso, ver hacia los datos valiosos, mostrando peticiones DNS que provienen de ese mismo endpoint siendo spameado a un servidor C2. De nuevo, todo en un solo lugar con visibilidad de una empresa.
Por Chris Ebley, Director of Engineering, Blackwood Associates Inc.