La tecnología de grafos es en la actualidad uno de las herramientas más importantes en el diseño de estructuras de ciberseguridad. Posee características de velocidad, alcance, escalabilidad y trazabilidad de gran envergadura que nos permite construir de forma eficaz y eficiente defensas para nuestros datos.

Las bases de datos relacionales tienen propiedades que las hacen capaces de proveer algunos elementos positivos en las consultas de bases de datos, pero sus deficiencias son significativas y restan capacidades vitales para contener ataques complejos.

A continuación conoceremos un poco más sobre las ventajas que ofrece la tecnología de grafos frente a la gestión de datos relacional, con el planteamiento de arquitecturas complejas para potenciar la ciberseguridad.

Crecimiento de la ciberseguridad basada en grafos

Con el crecimiento del desarrollo tecnológico ha crecido también la cantidad de incidentes. Inclusive, se ha profundizado su gravedad. Lo que ha tenido como consecuencia que el área de ciberseguridad sea cada día más relevante entre los expertos de la tecnología. Enfrentar amenazas y violaciones cibernéticas ha derivado en un enfoque menos individual y más cooperativo entre empresas, gobiernos y estructuras institucionales.

Para que esta cooperación en la detección y prevención de amenazas o ataques, es inevitable contar con esquemas de trabajo estandarizados que permitan clasificar y describir un incidente. El problema puntual de esto, es que existen tantas variaciones, formas y métodos complejos que pueden ser el foco o inicio de un ataque que un registro básico sería muy ineficiente. En este aspecto esta la gran deuda de las bases de datos SQL con la ciberseguridad. Por más que se puedan procesar y entender algunos datos, la amplitud de factores y tipos de datos que intervienen dificultan la legibilidad y la documentación por parte de los analistas. Contar con la ayuda de un sistema que organice y procese a gran velocidad datos no estructurados y de difícil visualización, es obligatorio.

Tomando como base la complejidad de la tecnología de grafos, pueden construirse herramientas de análisis visual que permitan a los expertos enriquecer la información sobre amenazas cibernéticas semiestructuradas. Debe ser implementado un enfoque que pueda conservar los datos recibidos y poder darle una visualización acorde para poder actualizarlos y optimizarlos.

En ciberseguridad, se cuenta con un lenguaje funcional

Además de contar con la potencia de las estructuras de grafos, hay un lenguaje propio que permite abordar de forma eficiente las necesidades de la ciberseguridad. Este lenguaje es el conocido como STIX (Structured Threat Information eXpression). Este formato vanguardista nos permite analizar datos semiestructurados sin recurrir al uso intensivo de texto, que resulta realmente difícil de procesar por parte de los analistas.

Este lenguaje nos otorga una forma estandarizada, que se adapta a la variabilidad de los datos semiestructurados para poder compartir de forma rápida y eficiente las formas en las que se presentan los incidentes. Esto nos ayuda a comprender que sucedió, cómo reaccionar de forma adecuada y como evitar inconvenientes similares mediante la creación de una inteligencia estructurada.

Esta inteligencia estructurada sobre amenazas cibernéticas es de gran valor para los expertos de ciberseguridad, ya que les permite entender la magnitud de los ataques. Es fundamental para este tipo de procesos que los expertos cuenten con las herramientas y/o arquitecturas que les permitan leer y analizar la información. También deben poder editarlo fácilmente para poder agregar datos y/o elementos adicionales.

Para lograr esto con éxito es necesaria la construcción de una arquitectura escalable donde se conecten diferentes tipos de software, plataformas, bases de datos y algoritmos potentes. Existen propuestas de visualización en las que se establece una alerta conocida como Cyber Threat Intelligence Vault o CTI Vault que sirve como elemento fundamental de almacenamiento y administración de STIX. Un Concepto importante que cumple con estos requerimientos es KAVAS.

Kavas un modelo visual

Kavas es una propuesta de alta complejidad que involucra diferentes niveles de análisis de datos para crear un análisis visual asistió por conocimiento para STIX. Este le permite a los expertos analizar y enriquecer los CTI Vault de forma eficiente. En el se combina una novedosa metodología en la que se pueden conservar datos semiestructurados dentro de una base de datos de grafos para generar una visualización interactiva.

Este método se basa en tres procesos fundamentales:

• R1 – Manejo de datos de inteligencia de amenazas complejos: los CTI Vault conservan la información de inteligencia de amenazas basada en STIX en una base de datos de grafos. Además, ofrece la posibilidad de almacenar el conocimiento externo del usuario en su base de conocimientos, mientras se preserva y asegura la integridad de la información original.
• R2: representación visual de STIX: el componente visual de KAVAS puede mostrar inteligencia sobre amenazas y permite a los expertos en seguridad explorar de forma interactiva los incidentes y obtener información sobre lo que sucedió.
• R3 – Conversión del conocimiento de los expertos : como se describió anteriormente, KAVAS proporciona funcionalidades para cada uno de los cuatro procesos de conversión del conocimiento.

Cumpliendo con todos los requisitos establecidos, KAVAS ofrece una plataforma flexible para compartir, analizar, anotar y visualizar información de inteligencia sobre amenazas cibernéticas basada en el formato de datos STIX, cubriendo de esta manera las complejas necesidades de ciberseguridad del entorno actual.

Esperamos que esta información sea de utilidad para comprender la utilidad de la tecnología de grafos para ciberseguridad sobre los modelos de datos SQL.

Visita más de Grapheverywhere para conocer más sobre el rol de los grafos en la ciberseguridad.