Los analistas de SOC dedican demasiado tiempo y esfuerzo a perseguir alertas de seguridad que indican incorrectamente una vulnerabilidad donde no existe ninguna.
Los falsos positivos, o alertas que indican incorrectamente que una amenaza a la seguridad está presente en un entorno específico, son un problema importante para los centros de operaciones de seguridad (SOC). Numerosos estudios han demostrado que los analistas dedican una cantidad excesiva de tiempo y esfuerzo a perseguir estas alertas que sugieren una amenaza inminente para sus sistemas y que al final resulta ser benigna.
Una investigación de Invicti ha revelado que los SOC desperdician una media de 10.000 horas y unos 500.000 dólares al año en la validación de falsos positivos.
Asimismo, otra encuesta de Enterprise Strategy Group (ESG) para Fastly descubrió que las organizaciones informaban de un promedio de 53 alertas al día desde sus aplicaciones web y herramientas de seguridad API. El 45% de éstas son falsas. Y, nueve de cada 10 encuestados creen que esto tiene un impacto negativo en los equipos de seguridad.
“Para los equipos de SOC, los falsos positivos son uno de los mayores puntos débiles”, aseguró Chuck Everett, director de seguridad en Deep Instinct. “Si se ven inundados con cientos o miles de alertas que no tienen un significado real, esto los distrae de responder de manera eficiente y efectiva a las amenazas reales”. Eliminar estos falsos positivos puede ser casi imposible, pero hay cinco maneras para minimizarlos.
Céntrese en las amenazas que importan
Al configurar y ajustar las herramientas de alertas de seguridad, como los sistemas de detección de intrusiones y los sistemas de gestión de eventos e información de seguridad (SIEM), asegúrese de definir reglas y comportamientos que le avisen solo sobre las amenazas que son relevantes para su entorno. Las herramientas de seguridad pueden sumar una gran cantidad de datos de registro, y no todos son necesariamente relevantes desde el punto de vista de las amenazas para su entorno.
En primer lugar, dijo Tim Wade, director técnico del equipo de CTO de Vectra, “las reglas basadas en la correlación a menudo carecen de la capacidad de expresar una cantidad suficiente de características necesarias para elevar tanto la sensibilidad de detección como la especificidad a niveles procesables”. Como resultado, las detecciones a menudo pueden mostrar comportamientos de amenaza, pero no los distinguen de los benignos. El segundo problema es que las reglas basadas en el comportamiento que se centran principalmente en las anomalías son buenas para encontrar amenazas retrospectivamente. Sin embargo, a menudo no generan una señal para actuar. “En la escala de cualquier empresa, lo extraño es normal”. Eso significa que las anomalías son la regla, no la excepción por lo que perseguir cada anomalía es una pérdida de tiempo y esfuerzo.
“En tercer lugar, los SOC carecen de la sofisticación en su propia clasificación de incidentes para distinguir los verdaderos positivos maliciosos de los benignos”. Esto da como resultado que los verdaderos positivos benignos se agrupen en la misma categoría que los falsos positivos, por lo que se entierran de manera efectiva los datos que pueden ayudar a permitir mejoras iterativas en los esfuerzos de ingeniería de detección.
No caiga presa de la falacia de la tasa base
Los profesionales de seguridad a menudo cometen el error de tomar demasiado literalmente las afirmaciones de un proveedor sobre las bajas tasas de falsos positivos. El hecho de que una herramienta SOC pueda reclamar una tasa de falsos positivos y negativos del 1% no significa que la probabilidad de un verdadero positivo sea del 99%, según Sounil Yu, CISO de JupiterOne. Debido a que el tráfico legítimo tiende a ser de magnitudes más altas que el malicioso, las tasas de verdaderos positivos pueden caer muy por debajo de lo que los gerentes podrían esperar. “La probabilidad real de que sea un verdadero positivo es mucho menor, y disminuye aún más dependiendo de cuántos eventos totales se procesen”.
Como ejemplo, señaló un SOC que podría estar manejando 100.000 eventos diarios, de los cuales 100 son alertas reales y 99.900 falsas. En este escenario, una tasa de falsos positivos del 1% significa que el equipo de seguridad tendría que perseguir 999 alertas falsas y la probabilidad de un verdadero positivo es solo del 9%. La principal conclusión para los administradores es que las pequeñas diferencias en una tasa de falsos positivos pueden afectar significativamente a la cantidad de falsas alarmas que los equipos deben perseguir. Por lo tanto, es importante que las reglas de detección se ajusten continuamente para reducir las tasas y automatizar la investigación inicial de las alertas tanto como sea posible. También deben resistir a la tendencia de introducir más datos de los necesarios en sus motores de detección.
Hackee su propia red
Los analistas de SOC suelen estar más fatigados persiguiendo alertas de seguridad de bajo impacto que tratando con falsos positivos, dijo Doug Dooley, director de operaciones de Data Theorem. Esto puede suceder, por ejemplo, cuando los equipos están organizados para buscar problemas de higiene del código que pueden ser explotados o no en la aplicación de producción en lugar de enfocarse en problemas que tienen un impacto comercial importante. “El equipo de secops puede empantanarse fácilmente con alertas que no son de misión crítica y que se clasifican injustamente como falsos positivos”.
Solo cuando el equipo de seguridad trabaja en estrecha colaboración con los líderes empresariales pueden concentrarse en lo que realmente importa y filtrar el ruido. “Si un robo de datos de su aplicación móvil puede dañar su reputación, reducir el precio de sus acciones y hacerle perder clientes, concéntrese en las vulnerabilidades explotables en su pila de aplicaciones”.
En lugar de centrarse en escenarios y ataques teóricos, Dooley recomendó que las organizaciones realicen pruebas de brecha en sus propios sistemas para verificar si las vulnerabilidades explotables que puedan existir puedan verse comprometidas.
Mantenga buenos registros y métricas
Mantener registros de las investigaciones que se convirtieron en una búsqueda inútil es una buena manera de minimizar las posibilidades de que eso vuelva a suceder. Para mejorar la detección y ajustar las alertas, los SOC deben poder filtrar el ruido de las señales procesables. Eso solo puede suceder cuando las organizaciones tienen datos de los que pueden mirar hacia atrás y aprender. “En un mundo en el que el tiempo, los recursos y la atención son limitados, cada vez que se invierte un esfuerzo en un falso positivo, la empresa corre el riesgo de que se ignore una señal procesable”, dijo Wade. “Es difícil exagerar la necesidad de que los SOC mantengan sus registros y métricas efectivos de sus investigaciones para mejorar sus esfuerzos de ingeniería de detección a lo largo del tiempo”.
Las herramientas de alerta deben tener un mecanismo de retroalimentación y métricas que permitan a los defensores rastrear las tasas de falsos positivos por parte de proveedores y fuentes de información.
La automatización por sí sola no es suficiente
La automatización, cuando se implementa correctamente, puede ayudar a aliviar los desafíos relacionados con la sobrecarga de alertas y la escasez de habilidades en los SOC modernos. Sin embargo, las organizaciones necesitan un personal cualificado, o tener acceso a uno a través de un proveedor de servicios administrados para aprovechar al máximo su tecnología.
“Con el tiempo para confirmar manualmente cada vulnerabilidad en una hora, los equipos podrían estar gastando la friolera de 10.000 horas al año controlando falsos positivos”, expresó Sonali Shah, directora de productos de Invicti. Sin embargo, más de tres cuartas partes de los encuestados dicen que siempre o con frecuencia verifican manualmente las vulnerabilidades. En estas situaciones, la automatización que se integra dentro de los flujos de trabajo existentes puede ayudar a aliviar los desafíos.
–Jaikumar Vijayan, IDG.es