Desafios da Detecção de Intrusão em cenários Big Data

 1. Introdução

O presente trabalho é uma resenha do artigo intitulado “Intrusion detectionand Big Heterogeneous Data:a Survey”. Nesse estudo, pesquisadores fizeram uma extensa pesquisa bibliográfica relacionada a alguns dos principais desafios de segurança em redes, e que também são desafios de segurança em Big Data. Essa pesquisa teve como objetivo apresentar os problemas de Fusão de Dados, Sistemas de Detecção de Intrusões (IDS) e Segurança da Informação Gerenciamento de Eventos (SIEM). Além disso, questões como uma maior precisão na detecção de eventos de segurança norteiam a pesquisa, visto que, atualmente muitos alertas falsos são gerados, e podem confundir os profissionais de segurança ou até tornar ferramentas e soluções existentes menos confiáveis.     

2.   Referencial Teórico

Como foi citado anteriormente, os principais assuntos abordados na pesquisa são relacionados a Fusão de Dados, IDS e SIEM. Por isso, cada um desses temas será abordado nas sessões a seguir.

2.1. Fusão de Dados

Essa é uma técnica para juntar dados de Detecção de Intrusão de muitas fontes heterogêneas, tais como numerosos sniffers de pacotes distribuídos, arquivos de log do sistema, traps de SNMP e consultas. Esses dados unidos servem os pesquisadores analisarem e obterem uma visão aprimorada da segurança cibernética, incluindo o contexto dos desafios do Big Data.

2.2. Detecção de Intrusões

 Visto que na seção anterior foi apresentada a importância de considerar fontes heterogêneas para melhorar a segurança cibernética, nesta seção é explorada questões arquitetônicas dos IDS. Ou seja, como os eventos de segurança são analisados e qual ação é tomada. Seguem alguns exemplos de arquitetura utilizados:

  • Secutiry Operator Center(SOC): um “Analizador Global” toma a decisão se eventos de segurança são ataques ou não, e realiza a Fusão de Dados para realizar uma melhor analise. especialmente no caso de ataques distribuídos.
  • Distributed Security Operation Center (DSOC): estendeu a arquitetura SOC para Operadores distribuídos, devido a vulnerabilidade em caso de um invasor inundar a rede e apenas um “Operador” Centralizado receber todos os eventos de segurança.Collaborative Intrusion Detection System(CIDS): vários agentes “Participantes” formam equipes para trabalhar em conjunto para avaliar melhor a Detecção de Intrusão.
  • Collaborative Intrusion Detection Framework (CIDF): diferentes recursos operam em conjunto por meio de um algoritmo de detecção ou correlação, para permitir que Sistemas de Detecção de Intrusos trabalhem de forma colaborativa.
  • Distributed Intrusion Detection System (DIDS): abordagem baseada em agentes de software para sistemas baseados em host, onde o agente monitora todas as informações relevantes do host “incluindo sistema de arquivos, logs e o kernel”.
2.3. Segurança da Informação e Gerenciamento de Eventos (SIEM)
Os sistemas SIEM são arquitetonicamente diferentes das soluções IDS típicas e são o resultado do trabalho de empresas fornecedoras de segurança do ciberespaço, que buscam lucrar com a solução de problemas de segurança. Eles adotam uma abordagem mais abrangente que os IDSs tradicionais, visto que oferecem uma visão holística da segurança de TI de uma organização, mesmo que os dados de segurança possam ser originados de diversas fontes heterogêneas, como por exemplo dispositivos de usuário final, servidores, firewalls, sistemas antivírus e sistemas de prevenção contra intrusões. Esses sistemas têm o objetivo de prover segurança, integrando diferentes soluções e tendo como base diferentes fontes de dados.

3.   Conclusão

 O artigo alvo da resenha, possui uma riqueza de informações relacionadas a formas como a academia vem pesquisando questões de segurança cibernética. Ele evidencia a necessidade das soluções de segurança cibernética trabalharem de forma integrada na identificação de problemas na rede. Assim sendo, o artigo é uma boa base de conhecimento para um melhor entendimento dos desafios que os profissionais de segurança precisam superar para suportar as aplicações no ciberespaço e em especial no contexto Big Data.
O estudo faz uma sugestão assertiva, para que a Academia diversifique o foco de pesquisa na área de segurança, que atualmente se concentra na camada de rede com os IDS e superficialmente na camada de host. A idéia é a Academia se espelhar nas empresas, já que o Mercado tem uma visão holística da segurança, ao fazer uma correlação entre os eventos de segurança do mundo físico com o ciberespaço, utilizando uma ampla quantidade de fontes heterogêneas e procurar integrar soluções existentes. Neste sentido, quanto maior for a integração das soluções, melhor será a cobertura de segurança cibernética.
Finalizando, o trabalho também é assertivo ao destacar a importância do MachineLearning para segurança do ciberespaço, visto que com base na massa de dados gerados por eventos de segurança, é possível classificar melhor se um evento é ou não um ataque e se alguma ação precisa ser tomada. Conseqüentemente o número de falsos alertas irá diminuir consideravelmente.          

4.    Referencias

Zuech, R., Khoshgoftaar, T. M., & Wald, R. (2015). Intrusion detection and big heterogeneous data: a survey. Journal of Big Data, 2(1), 3.

Comentários

Postar um comentário

Postagens mais visitadas deste blog

Meus primeiros passos no mundo do Big Data, Data Science e Data Analytics

Buenas pessoal,  Estarei divulgando nos próximos meses, a minha jornada no desenvolvimento de meu trabalho de Conclusão de Pós Graduação na Unisinos.  Atualmente estou estudando  Big Data, Data Science e Data Analytics. Então quem quiser conferir meu progresso e me dar inputs e feedbacks para me ajudar será bem vindo. Aí vai meu primeiro desafio. Definir o Tema e o problema do meu trabalho: Tema : Aplicação de Big Data e Data analytics para o entendimento, mitigação e predição de desastres causados por ações dos vulcões Kilauea, Misti e El Fuego.  Problema: As atividades vulcânicas vêm causando prejuízos humanos e matérias em diferentes localidades do globo terrestre desde eras remotas. Por isso, estudos para um melhor entendimento dessas atividades, além da mitigação do raio de destruição dessas estruturas geológicas se fazem necessário.  Questão de pesquisa: Como a aplicação do Big Data ...
Leia mais