O fornecedor de data warehouse nativo da nuvem Snowflake e Edge Delta desenvolveram uma nova arquitetura SecOps que afirmam que irá ampliar a aplicação de análises em um produto de gerenciamento de informações e eventos de segurança (SIEM).
As equipes SecOps geralmente são sábias quanto ao apelo da computação no limite - onde os logs de eventos em redes ou servidores podem disparar avisos de atividade maliciosa de acordo com alguns critérios pré-programados.
O Edge Delta está aplicando o aprendizado de máquina aos dados de borda para pré-processar dados em paralelo antes de centralizá-los. Mas isso deixa a questão de o que fazer com todos os dados brutos, que podem se tornar úteis mais tarde.
Os usuários geralmente precisam escolher entre produtos caros de data warehouse ou armazenamento barato de objetos, o que torna a análise posterior um desafio, de acordo com Snowflake.
“Muitas equipes são forçadas a despejar terabytes de dados de log no armazenamento de blob em nuvem, onde terão dificuldade em usá-los para detecção ou resposta em caso de violação”, disse Omer Singer, chefe de estratégia de segurança cibernética da Snowflake.
“Essa estratégia de 'esperança pelo melhor' é imposta a eles por causa das limitações tecnológicas das soluções desenvolvidas antes da nuvem.
“A Edge Delta compartilhou conosco sua tecnologia para enviar eventos importantes para o SIEM enquanto enviamos todos os eventos para Snowflake e reconhecemos o impacto que uma solução conjunta teria para nossos clientes.”
Usando essa estratégia, as equipes do SecOps podem habilitar o monitoramento em tempo real e alertas de segurança e - de acordo com Singer - obter economias de custo em comparação com a tecnologia de outro fornecedor. “Um cliente passou de US $ 12 milhões para US $ 2 milhões por ano ao fazer a troca”, afirmou.
O brilho de um aglomerado
Simplesmente despejar todos os dados de log no armazenamento de objetos não é útil porque os usuários precisam de um mecanismo de consulta ou data warehouse para obter algo significativo deles.
Snowflake disse que uma abordagem comum é as equipes de segurança armazenarem logs compactados em armazenamento de objetos organizado por tempo. Eles podem pesquisar um dia específico carregando os logs em uma ferramenta de pesquisa, como o Elasticsearch. No entanto, um cluster Elasticsearch tem um limite de capacidade dependendo do número de nós, portanto, pesquisar no intervalo de tempo necessário para muitas situações de resposta a incidentes exigiria o carregamento e o descarregamento de vários conjuntos de dados do S3.
A vantagem de usar uma combinação de fornecedores é que, em caso de suspeita de violação, o SecOps pode ativar, por exemplo, um warehouse Snowflake durante a investigação. A equipe de segurança então lista mil servidores de comando e controle possíveis envolvidos e usa um SQL JOIN para compará-los com os logs de comunicação de rede que foram coletados pelo Edge Delta nos últimos três anos.
Todas as correspondências seriam devolvidas, indicando quais sistemas internos estavam envolvidos na violação, disse ele. Snowflake citou a aprovação dos clientes da abordagem, incluindo Amit Mathur, vice-presidente de engenharia de produto da Sinclair Digital, braço de mídia digital do Sinclair Broadcast Group, a segunda maior operadora de estação de televisão dos Estados Unidos.
“A integração entre o Edge Delta e o Snowflake é uma nova abordagem que tem o potencial de remover basicamente as limitações, abrindo um novo conjunto de possibilidades”, disse ele.
Roy Illsley, analista da Omdia, disse que muitas organizações estão fazendo aprendizado de máquina no limite de suas redes e infraestrutura para detectar anomalias de segurança. Mas a capacidade de enviar todos os logs para um data warehouse ao mesmo tempo pode ser interessante.
“O que devemos ter em mente com a pré-análise na borda é que ela pode não detectar padrões que podem existir entre os nós, então o data warehouse com todos os dados seria útil para esse tipo de análise”, disse ele. ®
