Una canalización de observabilidad podría salvar a su equipo de SecOps



Los enfoques de supervisión tradicionales están resultando frágiles ya que los equipos de operaciones de seguridad necesitan una mejor visibilidad de los entornos dinámicos.

Los analistas de seguridad se enfrentan a dos desafíos opuestos: demasiados datos y muy pocos de los datos correctos. Según un reciente encuesta del Ponemon Institute, El 71% de los encuestados citan la sobrecarga de información como un issue clave de estrés en su trabajo El 63% también señala la falta de visibilidad de la purple y la infraestructura como un factor de estrés.

Las preocupaciones convencionales, como la creciente complejidad de los ataques distribuidos de denegación de servicio y los internos negligentes, complican el entorno precise del centro de operaciones de seguridad (SOC). Además, las aplicaciones nativas de la nube implementadas en contenedores y otra infraestructura transitoria son otro aspect en estos desafíos. Las aplicaciones y la infraestructura en la que se ejecutan son más dinámicas y efímeras que antes, y eso viene con un nivel de complejidad con el que el monitoreo tradicional no ha lidiado.

Cambio a sistemas observables
Durante los últimos 18 meses, los equipos de operaciones, incluido el personal de operaciones de seguridad, están hablando sobre el cambio del monitoreo estático a la observabilidad dinámica. Si bien la supervisión se centra en el estado de los componentes individuales, la observabilidad proporciona una visibilidad detallada de por qué los sistemas se comportan de la manera en que lo hacen. La observabilidad es la característica del software program, la infraestructura y los sistemas que permite formular y responder preguntas sobre su comportamiento. Review esto con la supervisión, que obliga a formular preguntas predefinidas sobre los sistemas en un conjunto de paneles parpadeantes que pueden indicarle o no lo que está sucediendo en su entorno.

Sin embargo, la observabilidad no es algo que pueda comprar. Ninguna herramienta proporciona todos los beneficios de los sistemas observables. Los equipos deben construir sistemas observables, comenzando por incorporar el concepto en aplicaciones e infraestructura en forma de registros, métricas y seguimientos. La combinación de esos datos con los registros de cambios, los datos de administración de servicios de TI y el tráfico de la pink les brinda a los equipos un panorama normal, pero también permite profundizar en los detalles. Algunas implementaciones tempranas de observabilidad también incluyen feeds de redes sociales para descubrir los problemas de los clientes con las aplicaciones antes de que esas señales se propaguen a paneles basados ​​en métricas.

Culturas cambiantes
La complejidad es solo una faceta que impulsa la observabilidad. Más allá de las deficiencias del monitoreo tradicional, la observabilidad se está volviendo importante a medida que los equipos de operaciones de seguridad trabajan de manera transversal. Los equipos de SOC de hoy interactúan con la infraestructura y las operaciones, así como con los grupos de DevOps, cada uno con sus propias plataformas de análisis y herramientas. Este estilo de interacción es algo que los equipos de operaciones de seguridad pueden no haber hecho en el pasado. Introduce fricción entre estos equipos sobre lo que significan varios conjuntos de datos o cómo se ve un resultado correcto. La observabilidad ayuda a resolver estas opiniones tribales de los datos al entregar los datos correctos a las respectivas plataformas.

Implementación de infraestructura de observabilidad
Con los sistemas instrumentados, la entrega de datos a las plataformas adecuadas se convierte en un desafío. El concepto de canalización de observabilidad, popularizado por Tyler Take care of, se está convirtiendo en un elemento crítico en la implementación de la observabilidad porque desacopla las fuentes, como las aplicaciones y la infraestructura, de los destinos, como el análisis de registros y las plataformas SIEM. La mayoría de las organizaciones tienen 10 o más herramientas de seguridad y análisis, y casi la mitad cree que necesitan más. La abstracción del análisis y el uso de datos a partir de cómo se recopilan brinda a los equipos flexibilidad para entregar datos. También permite una optimización detallada de las fuentes de datos mediante la redacción, filtrado y reducción de los volúmenes de datos.

El último componente, después de la instrumentación observable y la canalización, es la exploración de datos. Viniendo del espacio de datos y análisis, equiparo el monitoreo tradicional al almacenamiento de datos. Tanto en el almacenamiento de datos como en la supervisión, sabe qué datos está ingiriendo y los informes o paneles que está creando. Tiene una colección de preguntas conocidas sobre datos conocidos. Puede ser costoso e rigid, pero también es confiable y se comprende bien.

La observabilidad es más como un lago de datos. Con un lago de datos, no sabe qué preguntas hará, pero llena el lago con datos y lo organiza para prepararse para preguntas futuras. Si un almacén de datos es para preguntas conocidas sobre datos conocidos, un lago de datos es para preguntas desconocidas sobre datos desconocidos. A menudo es útil pensar en un lago de datos como un entorno de desarrollo de preguntas, ya que está creando las preguntas que desea hacer mientras explora los datos. A diferencia de un lago de datos convencional que apoya a los científicos de datos que optimizan para SQL y Python, un lago de datos de observabilidad se optimiza para la búsqueda.

Los analistas de seguridad tienen demasiados datos para administrar y analizar, y aún no tienen todos los datos que necesitan para obtener visibilidad de su entorno. Los enfoques tradicionales, como el monitoreo, pueden haber resuelto algunos problemas en el pasado, pero están siendo superados rápidamente por cambios en el ecosistema de TI en evolución liderados por cambios como la infraestructura nativa de la nube o basada en contenedores. Los equipos necesitan un enfoque nuevo al abordar la complejidad. Aquí es donde entran en juego los sistemas observables. Al construir sistemas modernos teniendo en cuenta la observabilidad, puede preparar mejor sus sistemas para el futuro cuando surjan preguntas y evolucionen con el tiempo. Una canalización de observabilidad es una pieza essential del rompecabezas. Le brinda la flexibilidad para capturar el universo de datos que necesita y entregarlo limpio y formateado para la gran cantidad de herramientas que sus equipos necesitan.

Esta columna fue escrita con Bryan Turriff, director de marketing de productos de Cribl.

Nick Heudecker es el director sénior de estrategia de mercado de Cribl. Antes de unirse a Cribl, pasó más de siete años como analista de la industria en Gartner, cubriendo el mercado de datos y análisis. Con más de 20 años de experiencia, ha dirigido equipos de ingeniería y productos en todo … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia authentic