Security Data Lake Concept laptop Giacomo Lanzi

A cosa serve? Hadoop Security Data Lake (SDL)

Estimated reading time: 5 minuti

Ogni giorno continuano a emergere nuove minacce alla sicurezza informatica e gli hacker sviluppano nuove tecniche d’intrusione per poter accedere a dati sensibili e violare sistemi IT. Per questo è necessario collaborare con degli esperti di alto livello che tengano traccia dei nuovi sviluppi in ambito della sicurezza IT. Con la nascita e con la continua evoluzione dei Big Data si è affermato anche il concetto di Data Lake e di Security Data Lake.

Per un’azienda, è dispendioso assumere un team che si occupi esclusivamente della sicurezza interna di un sistema per questo in molti si rivolgono a dei professionisti, avvalendosi di un Security Operations Center as a Service (SOCaaS) Questo servizio, offerto da SOD, comprende anche un SDL. Cerchiamo ora di capire cosa sia e quale sia la loro importanza e comodità.

Security Data Lake: cosa sono

Security Data Lake Concept Big Data

Un Data Lake è un archivio che include grandi quantità di dati, strutturati e non, che non sono stati ancora elaborati per uno scopo specifico. Questi dispongono di un’architettura semplice per archiviare i dati. Ad ogni elemento viene assegnato un identificatore univoco e successivamente poi, viene contrassegnato con un set di metadati.

Quando sorge una domanda aziendale, i data scientist possono interrogare il Data Lake al fine di rilevare dati che potrebbero rispondere alla domanda. Essendo i Data Lake sorgenti che andranno ad archiviare informazioni aziendali sensibili, è necessario proteggerli con delle misure di sicurezza efficaci, tuttavia l’ecosistema esterno di dati che alimenta i Data Lake è molto dinamico e potrebbero insorgere regolarmente nuovi problemi che minano la sua sicurezza.

Gli utenti abilitati ad accedere ai Data Lake, ad esempio, potrebbero esplorare e arricchire le sue risorse, aumentando conseguenzialmente anche il rischio di violazione. Se ciò dovesse verificarsi, le conseguenze potrebbero rivelarsi catastrofiche per un’azienda: violazione della privacy dei dipendenti, informazioni normative o compromissione di informazioni di rilevanza essenziale per l’azienda.

Un Security Data Lake invece è più incentrato sulla sicurezza. Offre la possibilità di acquisire dati da molti strumenti di sicurezza, analizza questi ultimi per carpire informazioni importanti, mappando i campi seguendo un pattern comune.

I dati contenuti in un SDL

Esistono innumerevoli varietà diverse di dati, in diversi formati, JSON, XML, PCAP e altro.  Un Security Data Lake supporta tutte queste tipologie di dati, garantendo un processo di analisi più accurato ed efficiente. Molte aziende sfruttano i Big Data per sviluppare sistemi di rilevamento delle minacce basati sull’apprendimento automatico.  Un esempio, per questa eventualità, è il sistema UEBA integrato con il SOCaaS offerto da SOD.

Un Security Data Lake consente di disporre facilmente dei dati, rendendoli disponibili, offrendo l’opportunità anche di un’analisi in tempo reale.

Apache Hadoop

È un’insieme di programmi Open Source che permette alle applicazioni di poter lavorare e gestire un’enorme mole di dati. Lo scopo è quello di risolvere i problemi che coinvolgono elevate quantità di informazioni e di calcolo.

Apache Hadoop include HDFS, YARN e MapReduce. Quando parliamo di Hadoop dunque, ci riferiamo a tutti quegli strumenti in grado di interfacciarsi ed integrarsi con questa tecnologia. Il ruolo di Hadoop è essenziale perché con essi è possibile archiviare ed elaborare dati ad un costo davvero contenuto rispetto ad altri strumenti. Inoltre, è possibile farlo in larga scala. Una soluzione ideale, quindi, per gestire un SDL.

Security Data Lake Concept laptop

Hadoop Distributed File System (HDFS): è uno dei componenti principali di Apache Hadoop, fornisce un accesso ai dati dell’applicazione senza doversi preoccupare di definire degli schemi in anticipo.

Yet Another Resource Negotiator (YARN): Viene utilizzato per gestire le risorse di calcolo in cluster, dando la possibilità di poterle utilizzare al fine di programmare le applicazioni utente. Si occupa di gestire l’allocazione di risorse in tutto l’ecosistema Hadoop.

MapReduce: è uno strumento grazie al quale è possibile trasferire la logica di elaborazione, aiutando così gli sviluppatori a scrivere applicazioni in grado di manipolare grandi quantità di informazioni in un unico set di dati gestibile.

Quali vantaggi offre Hadoop?

È importante utilizzare Hadoop perché con esso è possibile sfruttare i cluster di più computer per analizzare grandi quantità di informazioni anziché avvalersi di un singolo computer di grandi dimensioni. Il vantaggio, rispetto ai database relazionali ed ai data warehouse, sta nella capacità di Hadoop nel gestire i big data in maniera veloce e flessibile.

Altri vantaggi

Tolleranza di errore: I dati vengono replicati su un cluster, così da essere poi facilmente recuperati in caso di errori o malfunzionamenti del disco o del nodo.

Costi: Hadoop è una soluzione molto più economica rispetto ad altri sistemi. Fornisce calcolo e archiviazione su hardware a prezzi accessibili.

Supporto di una solida community: Hadoop attualmente è un progetto supportato da una comunità attiva di sviluppatori che introducono aggiornamenti, migliorie e idee, rendendolo un prodotto appetibile per molte aziende.

Conclusioni

In questo articolo abbiamo appreso le differenze tra un Data Lake e un Security Data Lake, facendo chiarezza sull’importanza di avvalersi di questi strumenti al fine di garantire una corretta integrità dei sistemi informatici presenti in un’azienda.

Raccogliere i dati dell’infrastruttura è solo il primo passo per l’analisi efficiente e la conseguente sicurezza offerta dal monitoring, essenziale per un SOCaaS. Chiedici come queste tecnologie possono aiutarti nella gestione della cyber security della tua azienda.

Per dubbi e chiarimenti, noi siamo sempre pronti a rispondere ad ogni tua domanda.

Useful links:

Condividi


RSS

Piu’ articoli…

Categorie …

Tags

RSS CSIRT

RSS darkreading

RSS Full Disclosure

  • Microsoft leak of PlayReady developer / Warbird libs Giugno 21, 2024
    Posted by Security Explorations on Jun 21Hello All, On Jun 11, 2024 Microsoft engineer posted on a public forum information about a crash experienced with Apple TV service on a Surface Pro 9 device [1]. The post had an attachment - a 771MB file (4GB unpacked), which leaked internal code (260+ files [2]) pertaining to […]
  • Business Logic Flaw and Username Enumeration in spa-cartcmsv1.9.0.6 Giugno 16, 2024
    Posted by Andrey Stoykov on Jun 15# Exploit Title: Business Logic Flaw and Username Enumeration in spa-cartcmsv1.9.0.6 # Date: 6/2024 # Exploit Author: Andrey Stoykov # Version: 1.9.0.6 # Tested on: Ubuntu 22.04 # Blog: https://msecureltd.blogspot.com/2024/04/friday-fun-pentest-series-5-spa.html Description - It was found that the application suffers from business logic flaw - Additionally the application is vulnerable […]
  • APPLE-SA-06-10-2024-1 visionOS 1.2 Giugno 12, 2024
    Posted by Apple Product Security via Fulldisclosure on Jun 11APPLE-SA-06-10-2024-1 visionOS 1.2 visionOS 1.2 addresses the following issues. Information about the security content is also available at https://support.apple.com/HT214108. Apple maintains a Security Releases page at https://support.apple.com/HT201222 which lists recent software updates with security advisories. CoreMedia Available for: Apple Vision Pro Impact: An app may be […]
  • CyberDanube Security Research 20240604-0 | Multiple Vulnerabilities in utnserver Pro/ProMAX/INU-100 Giugno 9, 2024
    Posted by Thomas Weber via Fulldisclosure on Jun 09CyberDanube Security Research 20240604-0 ------------------------------------------------------------------------------- title| Multiple Vulnerabilities product| SEH utnserver Pro/ProMAX / INU-100 vulnerable version| 20.1.22 fixed version| 20.1.28 CVE number| CVE-2024-5420, CVE-2024-5421, CVE-2024-5422 impact| High homepage| https://www.seh-technology.com/...
  • SEC Consult SA-20240606-0 :: Multiple critical vulnerabilities in Kiuwan SAST on-premise (KOP) & cloud/SaaS & Kiuwan Local Analyzer (KLA) Giugno 9, 2024
    Posted by SEC Consult Vulnerability Lab via Fulldisclosure on Jun 09SEC Consult Vulnerability Lab Security Advisory < 20240606-0 > ======================================================================= title: Multiple critical vulnerabilities product: Kiuwan SAST on-premise (KOP) & cloud/SaaS Kiuwan Local Analyzer (KLA) vulnerable version: Kiuwan SAST
  • Blind SQL Injection - fengofficev3.11.1.2 Giugno 9, 2024
    Posted by Andrey Stoykov on Jun 09# Exploit Title: FengOffice - Blind SQL Injection # Date: 06/2024 # Exploit Author: Andrey Stoykov # Version: 3.11.1.2 # Tested on: Ubuntu 22.04 # Blog: https://msecureltd.blogspot.com/2024/05/friday-fun-pentest-series-6.html Steps to Reproduce: 1. Login to application 2. Click on "Workspaces" 3. Copy full URL 4. Paste the HTTP GET request into […]
  • Trojan.Win32.DarkGateLoader (multi variants) / Arbitrary Code Execution Giugno 9, 2024
    Posted by malvuln on Jun 09Discovery / credits: Malvuln (John Page aka hyp3rlinx) (c) 2024 Original source: https://malvuln.com/advisory/afe012ed0d96abfe869b9e26ea375824.txt Contact: malvuln13 () gmail com Media: x.com/malvuln Threat: Trojan.Win32.DarkGateLoader (multi variants) Vulnerability: Arbitrary Code Execution Description: Multiple variants of this malware look for and execute x32-bit "urlmon.dll" PE file in its current directory. Therefore, we can...
  • SQL Injection Vulnerability in Boelter Blue System Management (version 1.3) Giugno 9, 2024
    Posted by InfoSec-DB via Fulldisclosure on Jun 09Exploit Title: SQL Injection Vulnerability in Boelter Blue System Management (version 1.3) Google Dork: inurl:"Powered by Boelter Blue" Date: 2024-06-04 Exploit Author: CBKB (DeadlyData, R4d1x) Vendor Homepage: https://www.boelterblue.com Software Link: https://play.google.com/store/apps/details?id=com.anchor5digital.anchor5adminapp&hl=en_US Version: 1.3 Tested on: Linux Debian 9 (stretch), Apache 2.4.25, MySQL >= 5.0.12 CVE:...
  • CyberDanube Security Research 20240528-0 | Multiple Vulnerabilities in ORing IAP-420 Maggio 30, 2024
    Posted by Thomas Weber via Fulldisclosure on May 29CyberDanube Security Research 20240528-0 ------------------------------------------------------------------------------- title| Multiple Vulnerabilities product| ORing IAP-420 vulnerable version| 2.01e fixed version| - CVE number| CVE-2024-5410, CVE-2024-5411 impact| High homepage| https://oringnet.com/ found| 2024-01-19 by| T. Weber...
  • HNS-2024-06 - HN Security Advisory - Multiple vulnerabilities in Eclipse ThreadX Maggio 30, 2024
    Posted by Marco Ivaldi on May 29Hi, Please find attached a security advisory that describes multiple vulnerabilities we discovered in Eclipse ThreadX (aka Azure RTOS). * Title: Multiple vulnerabilities in Eclipse ThreadX * OS: Eclipse ThreadX < 6.4.0 * Author: Marco Ivaldi * Date: 2024-05-28 * CVE IDs and severity: * CVE-2024-2214 - High - […]

Customers

Newsletter

{subscription_form_2}