Lo primero de todo, vamos a formularnos un par de preguntas sencillas: ¿Qué es Big Data? De manera muy resumida, el Big Data es una forma de describir grandes cantidades de datos (estructurados, no estructurados y semi-estructurados). ¿Pero esto no lo hacen ya las bases de datos y otras tecnologías tradicionales? Si, sin embargo, el concepto de Big Data se aplica a todos aquellos conjuntos de datos que, por su tamaño, complejidad, velocidad de crecimiento… no pueden ser procesados o analizados utilizando procesos o herramientas tradicionales, como, por ejemplo, bases de datos relacionales. Una vez introducido de manera muy general el concepto de Big Data, vamos a ver que cabida tiene en el mundo de la ciberseguridad.
Probablemente muchos de los que os dediquéis a la seguridad informática hayáis oído que la seguridad de la información es un proceso y no un fin, esto es, que para poder garantizarla, hay que estar constantemente iterando sobre un conjunto de fases. A pesar de que la ciberseguridad puede tener muchos tipos de actividades o estrategias, es muy común ver agrupadas las fases sobre las que se debe iterar en las siguientes tres: prevención, detección y respuesta. Entendiendo esto, vamos a ver como el Big Data no sólo nos ayuda a mejorar cada una de las fases anteriores, sino que, además, nos ayuda a mejorar el proceso completo proporcionándonos la capacidad de añadir nuevas fases, como por ejemplo la predicción.
Vamos a empezar por analizar cómo el Big Data ayuda al proceso de prevención de una amenaza en términos de seguridad de la información. Tener la capacidad de tratar grandes volúmenes de información no solamente nos permite saber qué es lo que está pasando en este instante, también nos permite trazar patrones a lo largo del tiempo. Muchas veces es fácil pasar por alto algunos indicadores cuando analizamos información en tiempo real, sin embargo, si analizamos esa información en otros contextos y a lo largo del tiempo, quizá podamos encontrarle otros significados. Gracias a estos patrones que extraemos del análisis de la información de otros ataques o amenazas a lo largo del tiempo, tenemos la posibilidad de tomar medidas de prevención que nos ayudan a reducir el riesgo de que esos mismos sucesos nos ocurran a nosotros.
La detección de un sistema que se encuentra infectado es una parte crítica del ciclo de aseguramiento de la información del que hablábamos anteriormente. Probablemente la parte más importante del proceso de detección sea el instante temporal en el que se produce. No es lo mismo la detección de un ataque en sus primeras fases de ejecución (detección temprana) que, en las últimas fases, cuando la mayor parte del daño ha sido ocasionado. El Big Data nos posibilita la automatización de tareas de recogida de datos a gran escala y realización de su análisis en tiempos de procesamiento bajos, lo que nos permite disponer de información sobre el estado del sistema en tiempo real y proporcionar conclusiones de manera muy rápida cuando el sistema se encuentra en un estado anómalo. De esta manera, se pueda llegar a detectar una amenaza de forma temprana.
Aunque aparentemente parezca que el Big Data no tiene demasiada relación con la fase de respuesta ante una amenaza, lo cierto es que también puede ayudar a mejorarla. La fase de respuesta es probablemente una de las más críticas y la que más interacción humana requiere. Para poder llevar a cabo un manejo de riesgos adecuado, es fundamental disponer de toda la información posible sobre el incidente y aplicarle la inteligencia suficiente como para extraer conclusiones que nos permitan tomar mejores decisiones. Esto es justo lo que nos proporciona el Big Data. De esta forma, no solo nos permitirá el procesamiento de toda esta información y la aplicación de inteligencia para obtener resultados concretos, sino que nos permitirá realizarlo con el mínimo retraso de tiempo posible de forma que esta información no sea irrelevante para las personas que lo reciben durante un ataque y puedan tomar decisiones rápidas.
Por último, me gustaría hablar de algunas fases que no se encuentran dentro del ciclo de aseguramiento tradicional del que hemos hablado anteriormente, pero que gracias a tecnologías como el Big Data cada vez están más presentes. Este es el caso, por ejemplo, de la fase de predicción. Gracias al gran volumen de información que somos capaces de procesar a lo largo del tiempo utilizando nuevas tecnologías como el Big Data unidas a otras tecnologías de procesamiento avanzado de información como Machine Learning, podemos generar modelos de predicción suficientemente precisos como para saber de forma aproximada cuando sufriremos un determinado ciberataque o que tipo de ciberataques es probable que suframos próximamente. Esto facilita la fase de prevención y alimenta todo el ciclo de aseguramiento de la información en general.
Como podemos ver, el Big Data aporta muchas ventajas dentro del mundo de la ciberseguridad. Es por ello que muchas de las grandes empresas ya incorporan este tipo de tecnologías en sus procesos de aseguramiento de la información. Por lo tanto, y teniendo todo esto en cuenta, es importante que aquel que vaya a definir uno de estos procesos tenga en cuenta esta tecnología y estudie las formas en las que le puede ser útil para su caso de uso particular.
Santiago Hernández Ramos
Investigador en ciberseguridad
