Como combater a fadiga de alertas em segurança cibernética

A fadiga dos alertas resulta do enorme volume de dados de eventos gerados pelas ferramentas de segurança, da prevalência de falsos positivos e da falta de uma priorização clara de eventos e de orientações acionáveis.

Quais são as principais causas da fadiga de alertas em ambientes de segurança cibernética e DevOps?

A fadiga de alerta é o resultado de vários fatores relacionados.

Primeiro, as ferramentas de segurança atuais geram um volume incrível de dados de eventos. Isto torna difícil para os profissionais de segurança distinguir entre ruído de fundo e ameaças graves.

Em segundo lugar, muitos sistemas são propensos a falsos positivos , que são desencadeados por atividades inofensivas ou por limites de anomalia excessivamente sensíveis. Isso pode dessensibilizar os defensores, que podem acabar perdendo sinais de ataque importantes.

O terceiro fator que contribui para a fadiga dos alertas é a falta de uma definição clara de prioridades . Os sistemas que geram esses alertas muitas vezes não possuem mecanismos que façam a triagem e priorizem os eventos. Isto pode levar a uma inação paralisante porque os praticantes não sabem por onde começar.

Finalmente, quando os registos ou registos de alerta não contêm provas suficientes e orientações de resposta, os defensores não têm a certeza dos próximos passos acionáveis. Esta confusão desperdiça um tempo valioso e contribui para a frustração e a fadiga.

Reduzir a fadiga dos alertas é um desafio significativo para as organizações. Como eles podem otimizar sua pilha de tecnologia de segurança para superar esse desafio?

Realmente é um desafio. Vimos organizações que, infelizmente, simplesmente decidiram registrar todos os alertas e apenas inspecioná-los quando houve um incidente detectado por um sistema mais confiável. Embora, muitas vezes, estes dados de alerta registados contenham um rasto substancial de provas que podem ser críticas numa investigação de incidentes, esta abordagem de “armazenar e ignorar” não é a solução ideal.

Os três componentes mais importantes de um centro de operações de segurança (SOC) moderno são o sistema de detecção e resposta de rede (NDR), o sistema de detecção e resposta de endpoint (EDR) e o mecanismo de análise central (geralmente um gerenciamento de informações e eventos de segurança (SIEM). ) sistema). Cada um desses elementos da chamada “tríade de visibilidade SOC” desempenha um papel importante na redução da fadiga dos alertas.

Seus sistemas NDR e EDR devem ter um mecanismo confiável para identificar ameaças graves e iminentes em seus respectivos domínios com altíssima precisão – ou seja, com quase zero falsos positivos. Isto aumenta a confiança no conjunto de ferramentas e pode fornecer um ponto de partida para o analista de segurança iniciar uma investigação. Além disso, devem fornecer alguma forma de triagem ou priorização automatizada de eventos, que pode servir para destacar o próximo nível de eventos que a equipe SOC deve investigar.

Por último, o NDR e o EDR devem recolher todos os artefatos relevantes associados a um determinado evento de segurança e, se possível, correlacioná-los e organizá-los num cronograma de incidente para acelerar a investigação e permitir que os defensores erradiquem a ameaça antes que esta seja capaz de causar qualquer dano.

O NDR e o EDR são fontes críticas de telemetria de segurança em seu SIEM, e é aí que ocorre o próximo nível de redução da fadiga de alertas. Cada registro ou log de evento individual que o NDR e o EDR envia ao SIEM deve ser enriquecido com metadados substanciais que forneçam ao mecanismo de análise do SIEM e aos seus usuários todas as evidências relevantes e informações relacionadas necessárias para informar os esforços de resposta a incidentes. Além disso, esses registros detalhados de eventos podem alimentar uma camada adicional de detecção de ameaças correlacionada no próprio SIEM.

Como as organizações podem usar informações contextuais para enriquecer os alertas e torná-los mais acionáveis?

Isto é crítico. Existem vários tipos de contexto que podem ser úteis aqui. Informações específicas da organização – como nomes de host e nomes de redes familiares – podem realmente tornar a identificação dos ativos sob ataque ou daqueles que estão sendo usados ​​para propagar malware, por exemplo, muito mais fácil do que apenas um endereço IP. Sem que este contexto seja incluído no registo ou registo de alerta, um analista precisa de se deslocar para um sistema diferente para procurar esta informação.

Outra forma de contexto vem na forma de metadados e artefatos associados. Estou falando aqui de coisas como logs de transações de protocolo, anexos de arquivos e até mesmo capturas completas de pacotes (PCAPs) da sessão durante a qual o alerta ocorreu.

Está comprovado que essas informações adicionais ajudam o pessoal do SOC a avaliar mais rapidamente a gravidade, as fontes e as causas de um incidente, tornando esses alertas muito mais acionáveis.

Como podem as organizações equilibrar a necessidade de transparência com os riscos potenciais de exposição de informações sensíveis?

Este tópico é próximo e caro ao meu coração. Na Stamus Networks, temos um compromisso muito forte com a extrema transparência e a soberania dos dados – ambos factores que influenciam esta questão. Apesar desse ponto, equilibrar a transparência com a segurança da informação é uma difícil caminhada na corda bamba para as organizações. Há uma série de estratégias que as organizações podem empregar, mas aqui estão algumas que me chamam a atenção e que tendemos a ver nas práticas de líderes de segurança bem-sucedidos.

Primeiro, eles constroem um programa de controles baseado em uma estrutura de segurança reconhecida – como NIST ou ISO 27001 . Isto não só cria um programa defensável, mas também garante que eles estão considerando o panorama geral e não esquecendo os controles importantes.

Em seguida, colocam grande ênfase na instrumentação dos seus sistemas e redes com monitoramento de segurança extensivo. Isso permite que eles detectem ameaças graves e atividades não autorizadas no início da cadeia de destruição.

Além disso, essas organizações desenvolvem um plano de comunicação claro e transparente que descreve quais informações podem ou não ser compartilhadas. Isso gera confiança e evita confusão dentro da organização e com as partes interessadas.

Por último, estas organizações prestam especial atenção ao local onde os seus dados residem e onde são processados ​​– e exercem o que chamo de “extrema soberania dos dados”, que consiste em manter um controlo apertado sobre a residência e o processamento dos dados.

Qual é o papel dos requisitos regulamentares e dos padrões da indústria na promoção da transparência e da responsabilização na segurança cibernética?

Os requisitos regulamentares e as normas da indústria desempenham um papel importante na promoção da transparência e da responsabilização, impulsionando tanto a divulgação de violações como a implementação de fortes controlos de segurança cibernética. Regulamentações como os registros do Formulário 8-K da SEC nos EUA e o GDPR na União Europeia exigem o relato de violações de dados às autoridades e, em alguns casos, aos indivíduos afetados. Isto obriga as organizações a serem sinceras sobre os incidentes de segurança, promovendo a sensibilização do público e evitando potenciais encobrimentos.

A exigência de arquivamento 10-K da SEC exige que as empresas públicas divulguem detalhes sobre seus programas de segurança cibernética. Da mesma forma, a Diretiva SRI da UE , que se centra nos prestadores de serviços essenciais, obriga-os a implementar medidas de gestão de riscos. Ao tornar estes controlos visíveis, as partes interessadas (e acionistas) podem avaliar a postura de segurança cibernética de uma organização e responsabilizá-las pela manutenção de defesas fortes.

Como podem as organizações aproveitar novas tecnologias e estruturas para melhorar a transparência e a responsabilização?

Os elementos da “tríade de visibilidade SOC” que mencionei anteriormente – NDR, EDR e SIEM estão entre as novas tecnologias críticas que podem ajudar. Esses sistemas monitoram constantemente as redes em busca de atividades suspeitas, permitindo uma identificação e mitigação mais rápidas de ameaças. A detecção de ameaças em tempo real promove a transparência, pois as organizações podem comunicar sobre ameaças contínuas e as ações que estão sendo tomadas.

Já mencionei a importância das estruturas de segurança cibernética – elas ajudam as organizações a identificar, proteger, detectar, responder e se recuperar de ataques cibernéticos. Ao delinear publicamente a sua abordagem com base nas estruturas, as organizações demonstram o seu compromisso com a segurança cibernética e podem ser responsabilizadas por seguir os processos estabelecidos.