El motor de análisis de anomalías crea dinámicamente perfiles de comportamiento basados en el repositorio de seguridad para comparar el presente con el pasado. Al contrastar la actividad actual con la histórica, es fácil destacar los cambios de comportamiento que son indicativos de problemas de seguridad.

Esto le permite romper la idea preconcebida de que no puede controlar grandes volúmenes de actividad como la aplicación. El análisis de anomalías le permite detectar la aguja en el pajar para encontrar un único SQL ofensivo entre miles de millones.

¿Cómo funciona?

Como todos los sistemas informáticos, la actividad de las bases de datos es repetitiva, ya que aunque los valores cambian, los patrones persisten. El motor de análisis de anomalías es capaz de mucho más, pero los análisis suelen centrarse en cinco aspectos:

1. Actividad nueva – Algo visto hoy pero no en el pasado. Como un nuevo usuario, programa, SQL, entre otros.
2. Alto volumen de actividad – Actividad que existe ahora y en el pasado pero que ahora ocurre aún más.
3. Hora del día – Actividad que en la actualidad ocurre a una hora diferente al pasado.
4. Dimensiones combinadas – En lugar de un cambio en una sola dimensión (como un nuevo usuario) ocurre un cambio en múltiples dimensiones (como la combinación de un usuario y una IP). Tanto el usuario como la IP podrían ser conocidos, pero ese usuario podría no haber utilizado nunca esa IP.
5. Filtros – Reduzca la búsqueda de anomalías a las áreas de interés, como las tablas sensibles, la aplicación, usuarios concretos, etc. Es probable que diversos subconjuntos de la actividad muestren comportamientos diferentes y se beneficien de otros tipos de anomalías.

Hay muchas formas de seleccionar el tipo de anomalías a utilizar. Podrían ser comportamientos que usted espera, patrones vistos en análisis forenses proactivos, los asistentes de Core Audit, la guía de control de Core Audit, o simplemente prueba y error. Pero una de las características cruciales del motor de anomalías es que puede probar inmediatamente una anomalía y encontrar los resultados. Eso hace que elegir y ajustar estas irregularidades sea un proceso relativamente sencillo.

Ventajas

Inicialmente creamos el motor de anomalías para responder a una petición habitual de los clientes. Al considerar la auditoría declarativa tradicional, algunos clientes solían decir: “No quiero decirle a Core Audit sobre qué informar, quiero que Core Audit me diga qué mirar”.

A medida que la tecnología evolucionaba, ayudaba a proteger subconjuntos de la actividad que antes se consideraban imposibles de controlar. Por ejemplo, para proteger la aplicación con sus miles de millones de SQL.

Las anomalías también han demostrado su eficacia para detectar la inyección SQL e incluso los intentos de inyección. La inyección SQL, inevitablemente, hace que la aplicación haga algo que se supone que no debe hacer, creando así una nueva construcción SQL fácil de identificar.

Hoy en día, las anomalías son una poderosa herramienta para reducir el volumen de informes, asegurando grandes subconjuntos de la actividad con un ratio de falsos positivos relativamente bajo.

Conclusión

El análisis de anomalías es vital para la seguridad moderna, ya que permite hacer más controles con menos recursos, como por ejemplo controlar mayores volúmenes procedentes de más fuentes con menos personal, menos tiempo y un conjunto de habilidades más reducido.

En lugar de revisar informes interminables, las anomalías hacen gran parte del trabajo pesado, indicando rápidamente los problemas potenciales. Aunque no son una solución mágica que lo resuelva todo, las anomalías pueden y deben ser un elemento clave en cualquier estrategia de seguridad.

Hable con nosotros para obtener más información y experimentar la diferencia de Core Audit.