0
0
Uma das minhas citações favoritas vem do livro Megatrends de John Naisbitt: “Estamos nos afogando em informações, mas famintos de conhecimento”. Esta citação captura com tanta precisão grande parte da vida moderna. Em particular, descreve sucintamente o estado de muitos programas de segurança empresarial que, infelizmente, sofrem de altos níveis de falsos positivos e outros “ruídos” que reduzem sua eficácia.
Para entender por que as equipes de segurança são tão retidas pelo ruído, devemos primeiro entender as consequências do ruído para a equipe de segurança. Embora não seja uma lista exaustiva, aqui estão algumas repercussões importantes.
Ciclos de desperdício: Quando as equipes de segurança criam um fluxo de trabalho em torno de uma fila de trabalho centralizada, essa fila de trabalho precisa ser atendida – desde a triagem e tratamento de incidentes até análise, investigação, análise forense e recuperação. Isso significa que todos os eventos na fila precisam ser priorizados e revisados. O ruído preenche essa fila com itens para revisar que não agregam valor ao programa de segurança. Em outras palavras, o ruído desperdiça os ciclos preciosos e valiosos da equipe de segurança.
Verdadeiros positivos e Perdidos: A frase “encontrar uma agulha em um palheiro” é adequada em segurança e em operações de segurança em particular. A agulha representa incidentes de segurança verdadeiros e positivos, enquanto o palheiro representa falsos positivos. Quanto mais falsos positivos houver, mais difícil será encontrar os verdadeiros incidentes de segurança que estão enterrados no ruído.
Aumento dos custos de infraestrutura: O ruído também vem com um custo de infraestrutura. Cada log, alerta e evento, independentemente de agregar valor, deve ser mantido. Assim, se a equipe está coletando uma grande quantidade de informações que agrega pouco a nenhum valor, elas estão apenas usando o excesso de infraestrutura. Isso vem com um custo que tira o orçamento de áreas onde pode agregar significativamente mais valor. Identificar o orçamento para uma lista interminável de prioridades de segurança está sempre no topo da lista de líderes de segurança.
Métricas distorcidas: Falsos positivos tendem a distorcer as métricas. Certas métricas, particularmente aquelas que se concentram na porcentagem de tempo gasto em incidentes de segurança, proporções de verdadeiros positivos para falsos positivos, volume de incidentes, número de incidentes tratados e tempo do analista por incidente, serão altamente afetadas pelo volume de ruído. Quanto menor a taxa de falsos positivos, mais precisa e favoravelmente essas métricas serão.
Como Eliminar o Ruído
Conhecer algumas das razões pelas quais falsos positivos e ruído afetam negativamente nosso programa de segurança nos ajuda a criar um plano para resolver o problema. Aqui estão nove sugestões que achei úteis ao longo da minha carreira.
1. Comece com o risco: Não surpreendentemente, uma firme compreensão e compromisso com o risco seja a base mais forte para a construção de um programa de segurança forte. Avalie os riscos e ameaças para a empresa, entenda o que eles afetam dentro da empresa e aprenda o custo potencial e o potencial de danos e perdas associados a cada um.
2. Crie metas e prioridades: Selecione quando abordar qual é uma das decisões estratégicas mais importantes que uma equipe de segurança pode tomar. Priorize os riscos e ameaças enumerados na etapa anterior e crie metas e prioridades que serão abordadas a curto e longo prazo.
3. Avalie o impacto: Identificar ativos críticos, recursos-chave e armazenamentos de dados importantes, entre outras coisas, ajuda a equipe a entender o impacto potencial de um incidente. Saber onde estão os ativos, recursos e dados mais sensíveis e importantes ajuda a concentrar a equipe em onde existem lacunas na telemetria.
4. Identifique o excesso e as lacunas de dados: Entenda a coleta de telemetria existente e avalie se cada fonte de dados contribui para melhorar a detecção para a equipe de segurança. Se isso não acontecer, coletá-lo apenas adiciona custos de infraestrutura sem agregar valor. Identifique lacunas na telemetria que deixem a equipe cega para possíveis incidentes de segurança e desenvolva um plano para resolver essas lacunas.
5. Considere o excesso e as lacunas tecnológicas: olhe atentamente para a tecnologia existente que está em vigor. Examine onde a tecnologia é útil, como produzir alertas de segurança altamente confiáveis, coletar dados valiosos de telemetria ou tornar o processo e o fluxo de trabalho mais eficientes. Fique de olho em onde a tecnologia está lutando, em vez de ajudar, a equipe de segurança, bem como onde existem lacunas na telemetria e detecção.
6. Jogue fora o conjunto de regras padrão: Regras, assinaturas e outras técnicas de detecção que geram um grande volume de ruído não agregam valor ao programa de segurança. Em vez disso, eles enterram a equipe em falsos positivos e trabalham ativamente contra a detecção oportuna e precisa de incidentes de segurança. Pode parecer radical, mas há muito mais benefícios em descartar o conjunto de regras padrão do que desvantagens.
7. Implemente uma detecção apertada: Verdadeiramente abraçar a filosofia “menos é mais” inclui interrogar incisivamente os dados para produzir alertas e eventos de alta fidelidade e alta confiabilidade. Embora a implementação de abordagens mais sofisticadas de detecção exija um investimento de tempo significativo antecipadamente, ela paga grandes dividendos. Quanto melhor o alerta e o evento, mais sinal e menos ruído a fila de trabalho terá.
8. Foco no processo: A fila de trabalho da mais alta qualidade do mundo não ajudará quando houver processos quebrados ou inexistentes. Uma equipe de segurança de classe mundial tem processos maduros, eficientes e eficazes que orientam e governam a forma como eles funcionam.
9. Melhore continuamente: Nenhum programa de segurança está em um estado ideal, e as melhores equipes de segurança estão bem cientes de suas fraquezas e oportunidades de melhoria. Tirar lições aprendidas com cada um dos pontos acima e usá-las para melhorar continuamente o programa de segurança é fundamental para o seu sucesso a longo prazo.
A sabedoria convencional de que mais dados, mais eventos e mais alertas tornam a melhor detecção está desatualizada e mal informada. Através de um foco estratégico no risco e uma abordagem metódica para reduzir o ruído, as empresas podem melhorar o estado de suas capacidades de detecção e a maturidade de seus programas de segurança. Melhorar a relação sinal-ruído e adotar a filosofia “menos é mais” para segurança pode ajudar as empresas a detectar incidentes de segurança de forma mais cedo e precisa, enquanto desperdiçam significativamente menos recursos em falsos positivos e ruído.
FONTE: DARK READING