0
0
Chris Calvert, da Respond Software (agora parte do FireEye) descreve os desafios que reduzem a eficácia dos sensores de segurança de rede.
Temos um sério problema com sensores no mundo da segurança cibernética. E é ruim. Especialmente quando se trata de sensores de detecção e prevenção de intrusões de rede (IDS/IPS). Parece que muitas equipes do Centro de Operações de Segurança (SOC) desistiram completamente de serem eficazes. Mas o problema com a eficácia dos sensores, ou é como esses sensores foram arquitetados, gerenciados e aplicados no ambiente?
A resposta é que três desafios específicos estão causando esse problema, incluindo:
- O provedor de serviços de segurança gerenciado (MSSP) que assume a posição de que menos dados é melhor. Por que eles fazem este caso? Por um tempo, há um gargalo humano que ocorre naturalmente quando grandes volumes de dados devem ser analisados. Mais dados significam custos mais altos e mais tempo necessários para analisá-los, o que tradicionalmente não é bom para um modelo de negócio MSSP. Mais fundamentalmente, as pessoas têm um limite superior de análise de dados de streaming que podem lidar que está bem abaixo do limite superior de uma máquina.
- O fenômeno do dispositivo convergente. É mais fácil incluir o sensor em um firewall quando é tudo um dispositivo convergente que pode ser gerenciado em conjunto como um único pacote. No entanto, este não é o melhor lugar para colocar um sensor. Eu chamo isso de armamento do perímetro, mas detecção lateral e zonas de monitoramento descriptografadas são práticas recomendadas importantes que muitas vezes são ignoradas.
- E finalmente, a conformidade é nosso pior inimigo. O monitoramento de rede é essencial, mas uma organização ainda pode estar em conformidade se mal funcionar, e minha análise da indústria mostra que 70 a 85% dos sensores implantados não estão funcionando para seus proprietários. Embora a conformidade seja um aspecto importante de qualquer programa de cibersegurança, apenas estar em conformidade não equivale a um ambiente seguro.
Visibilidade, Sensibilidade e Utilidade Defensiva
Há três aspectos a serem considerados na avaliação das grades dos sensores de rede, incluindo visibilidade, sensibilidade e utilidade defensiva. O gerenciamento científico e baseado em dados da grade do sensor será capaz de medir algumas características-chave de desempenho, incluindo o volume de alertas gerados e o tráfego total visto (visibilidade), o número e a diversidade de assinaturas que alarmam (sensibilidade) e se os SOCs reconhecem ou não e podem reagir a incidentes reais (utilitário defensivo).
Vamos começar com visibilidade. O que você quer ver? Na verdade, a pergunta deve ser “quem você quer ver?” porque os servidores raramente clicam em links sem o envolvimento de um usuário. Hoje, a maioria dos ataques ocorre devido a um usuário clicando em um link ou na cooperação de um insider malicioso, especialmente no caso de ransomware. Esta é outra razão para implantar sensores laterais que estão procurando o reconhecimento do atacante e o movimento lateral dentro de sua rede. Isso nos leva muito bem ao próximo tópico, sensibilidade.
A sensibilidade em um sensor de rede está diretamente relacionada ao número, diversidade e eficácia das assinaturas habilitadas em seus dispositivos. Há aproximadamente 20.000 assinaturas, e talvez 2.500 delas sejam modernas e relevantes. No entanto, muitas empresas, especialmente mssps, só habilitarão 100 ou menos. Isso significa que os clientes do MSSP estão pagando por um sensor onde 0,5% da sensibilidade total ou 4% da sensibilidade relevante presumida é habilitada para monitoramento ativo. Os MSSPs só fazem isso para reduzir o volume para permitir que os analistas de segurança humana gerenciem os dados gerados por esses sensores. Esses dispositivos existem para alarmar atividades potencialmente maliciosas, mas essencialmente os cegamos, reduzindo significativamente seu valor no processo.
Outro fator relacionado à sensibilidade em um sensor de rede é a sintonia contínua de assinaturas. Muitas equipes vão investigar um alerta de assinatura, determinar que é um falso positivo e, em seguida, desativar a assinatura para sempre daqui para frente. Esta é uma prática terrível e perigosa, pois vejo rotineiramente que assinaturas específicas resultam em uma complexa mistura de resolução falsa-positiva, verdadeira positiva ou não acionável. Uma única assinatura não pode ser descartada simplesmente porque se alarmou falsamente uma vez; você precisa de contexto e informações situacionais em todas as instâncias para fazer essa determinação.
Em seguida é a utilidade defensiva, que é uma maneira extravagante de dizer, “vamos matar os bandidos?” Estou ciente e vi um grande número de sensores que não detectam nada há meses ou mesmo anos. Por que pagamos por soluções de monitoramento e manutenção anual para resultados tão ruins?
Muitas vezes há uma complicação adicional na gestão desses dispositivos que também impacta sua utilidade defensiva. Esse é o fato de que eles são gerenciados por muitos departamentos de TI que não estão ligados ao seu propósito de segurança defensiva. Isso os torna difíceis de lidar em termos de ajuste constante. Encontrei centenas de profissionais de segurança que desistiram do departamento de TI, não dos sensores.
Faça uma abordagem melhor
Vários desafios reduzem a eficácia dos sensores que implantamos em nossos ambientes que têm o potencial de impactar significativamente nossa postura de segurança. No entanto, muitos SOCs estão talvez tomando a abordagem errada para a colocação e configuração de seus sensores, essencialmente reduzindo a visibilidade do que está ocorrendo no ambiente.
Isso pode incluir sintonizar sensores para baixo, tratar falsos positivos da mesma forma, independentemente do contexto e permitir um número limitado de assinaturas que os sensores estão habilitados para detecção.
Para resolver essas questões, as equipes do SOC precisam analisar soluções que forneçam visibilidade à estatura de saúde de seus sensores. Isso não só aumentará a postura de segurança do ambiente, mas também garantirá que eles estejam reconhecendo um retorno adequado sobre o investimento de seus sensores.
FONTE: THREATPOST