0
0
Aproveitar o potencial da automação na segurança cibernética é fundamental para manter uma defesa robusta contra ameaças em constante evolução . Ainda assim, essa abordagem vem com seus próprios desafios.
Nesta entrevista da Help Net Security, Oliver Rochford, Chief Futurist da Tenzir , discute como a automação pode ser estrategicamente integrada à experiência humana, os desafios para garantir a integridade dos dados e as considerações ao automatizar tarefas avançadas.
Como a inteligência humana ainda é crucial na segurança cibernética, como a automação pode ser usada estrategicamente junto com o julgamento e a experiência humanos para identificar ameaças e analisar padrões com mais eficácia?
Idealmente, queremos automatizar o máximo possível do trabalho braçal e repetitivo para liberar os escassos e sobrecarregados especialistas em segurança cibernética para se concentrar em tarefas de alto valor. A cognição humana é insubstituível na análise comportamental que requer contexto ou conhecimento institucional ou para determinar o curso de ação correto quando uma situação não é facilmente categorizada.
Na prática, isso pode significar automatizar subtarefas em vez de automatizar totalmente processos inteiros, como correlacionar ou enriquecer dados de eventos, buscar evidências forenses adicionais ou abrir e anotar tíquetes de incidentes. A chave é projetar fluxos de trabalho ergonômicos nos quais a automação é incorporada de forma a ajudar os analistas de segurança e os caçadores de ameaças a se concentrar na análise e na tomada de decisões, reduzindo a carga de trabalho cognitiva e evitando a troca de contexto. Trata-se de usar os pontos fortes de cada um – ser capaz de analisar, processar, correlacionar e analisar grandes quantidades de dados no caso de máquinas e entendê-los no caso de humanos – que torna a soma da equipe homem-máquina maior do que a peças.
Mas uma estratégia de automação mais agressiva é cada vez mais necessária para evitar ataques na velocidade da máquina ou ao detectar ataques nos últimos estágios da cadeia de eliminação, por exemplo, exfiltração de dados, em que um processo manual pode não agir com rapidez suficiente. Os agentes de ameaças também estão adotando ativamente a automação. A velocidade será cada vez mais importante.
Quais elementos-chave são necessários para garantir que os dados que sustentam a automação de segurança sejam confiáveis?
Se, por exemplo, quisermos automatizar a resposta e contenção de ameaças, podemos tolerar apenas uma quantidade muito pequena de falsos positivos. Em primeiro lugar, devemos garantir que estamos coletando as fontes de dados corretas e que nossa coleta de dados seja confiável e consistente. Também precisaremos de uma maneira de determinar quando iniciar uma resposta por meio de regras de detecção ou correlação ou, mais comumente hoje, usando algo como um modelo de aprendizado de máquina . Detecções precisas podem exigir fontes de dados adicionais, por exemplo, feeds de inteligência de ameaças legíveis por máquina ou contexto de função de usuário e ativo.
Todos esses dados devem estar disponíveis no formato certo e na hora certa, quando necessário. Também precisaremos de mais lógica de tomada de decisão para orquestrar o processo de resposta automatizada, como um manual de resposta em uma solução SOAR. Cada etapa desse processo multissequencial requer um alto nível de qualidade, integridade e confiabilidade dos dados. Especialmente ao automatizar algo, o ditado ‘dados ruins entram, dados ruins saem’, assume um significado mais imediato. Automatizar quase tudo, mesmo processos aparentemente simples, geralmente resulta em playbooks complexos, com muitos pontos únicos de falha, especialmente para dados.
O que também está se tornando cada vez mais importante, especialmente quando se trata de construir confiança na automação , são a interpretabilidade e a explicabilidade do modelo. Ser capaz de confiar nos dados usados para conduzir as automações é crucial. É difícil confiar em uma caixa preta, especialmente quando os falsos positivos ainda são comuns.
Por que os líderes de segurança se sentem à vontade para automatizar tarefas básicas, mas têm reservas sobre tarefas mais avançadas? O que diferencia essas duas categorias?
Acho difícil generalizar porque o apetite pela automação e a tolerância aos riscos associados dependem de muitos fatores, incluindo experiência anterior, comportamento competitivo e de colegas, pressões de negócios e maturidade e recursos técnicos. De forma mais geral, porém, como uma organização como um todo aborda a automação é um fator importante. As equipes de segurança lutam para liderar a mudança de cultura sem patrocínio executivo.
Alguns fatores geralmente impulsionam a vontade de automatizar a segurança. Um fator é se o risco de não automatizar exceder o risco de uma automação dar errado: se você conduzir negócios em um ambiente de alto risco, o potencial de danos ao não automatizar pode ser maior do que o risco de acionar uma resposta automatizada com base em um falso positivo. A fraude financeira é um bom exemplo, em que os bancos rotineiramente bloqueiam automaticamente as transações que consideram suspeitas, porque um processo manual seria muito lento.
Outro fator é quando o potencial de dano de uma automação dando errado é baixo. Por exemplo, não há dano potencial ao tentar buscar um arquivo inexistente de um sistema remoto para análise forense.
Mas o que realmente importa é a confiabilidade da automação. Por exemplo, muitos agentes de ameaças hoje usam técnicas de sobrevivência, como o uso de utilitários de sistema comuns e benignos, como o PowerShell. Do ponto de vista da detecção, não há características de identificação exclusiva, como um hash de arquivo ou um binário malicioso para inspecionar em um sandbox. Em vez disso, o que importa é quem está usando o utilitário. O invasor provavelmente também roubou credenciais de administrador, portanto, mesmo isso não é suficiente para detectar com precisão o comportamento malicioso.
O que também importa é como o powershell está sendo usado. No entanto, isso requer conhecimento profundo sobre o que outros usuários normalmente fazem, em quais ativos eles geralmente trabalham e assim por diante. É por isso que você geralmente vê o aprendizado de máquina não supervisionado sendo aplicado a esses tipos de problemas, pois ajuda a detectar anomalias em vez de precisar de conhecimento prévio de indicadores de comprometimento. Mas também significa que os falsos positivos são comuns. Essa é a compensação.
Então, o que realmente se resume é a confiabilidade e a confiança na lógica de tomada de decisão. Infelizmente, também não existem muitas regras rígidas. A dificuldade de detectar algo nem sempre está relacionada à quantidade de risco que uma ameaça representa.
Então você também deve considerar que estamos enfrentando adversários reais que mudam frequentemente a forma como atacam e que também respondem evasivamente às nossas defesas. A detecção e a automação da análise em geral são problemas difíceis que resolvemos apenas parcialmente. Mesmo os LLMs não poderão ajudar totalmente.
Que riscos ou armadilhas potenciais você acha que as organizações percebem ao considerar a automação de processos de segurança mais complexos?
Do ponto de vista técnico, e condicionado por anos de experiências negativas com experimentos históricos fracassados, como filtros anti-spam e sistemas ativos de prevenção de intrusão, a quantidade e a proporção de falsos negativos e falsos positivos são percebidas como críticas. O ROI da automação diminui rapidamente se você acabar gastando o tempo que economizou fazendo análises de causa raiz para detecções falsas e ajustando e otimizando a lógica e as regras de automação. Isso é ainda agravado pelo fato de que as automações de segurança especialmente mais complexas agora dependem de aprendizado de máquina ou técnicas de análise de dados semelhantes, que podem sofrer com a falta de interpretabilidade e explicabilidade .
É possível focar seletivamente apenas em automações altamente precisas e confiáveis, mas como a precisão é altamente variável independente do tipo de risco de ameaça, você manterá um conjunto muito misto de automações e lacunas na cobertura. É por isso que também é crucial selecionar as tecnologias certas para uma abordagem que prioriza a automação. As equipes de segurança que desejam automatizar pesadamente serão aconselhadas a selecionar tecnologias que incluam recursos de automação e se prestem a aumentar a automatização.
Muitas equipes de segurança cibernética parecem estar sobrecarregadas, assumindo várias responsabilidades. Como você vê a automação ajudando a aliviar esse problema sem comprometer a segurança?
Experimentamos a automação desde o início do hacking e da segurança cibernética, desde o primeiro scanner de porta que automatizou o processo de telnet para portas TCP/IP para ver o que está sendo executado nelas, até hoje e a detecção como código. Mas fomos prejudicados pela falta de dados e computação, e a maioria dos recursos de automação foi aplicada de maneira aleatória ou incorporada. Veja o SOAR, por exemplo. Faz tanto sentido colocar a automação em tudo quanto separar a cabeça do corpo. Embora automatize alguns processos, ele não o faz onde os dados estão ou onde o trabalho é feito, e depende de playbooks que precisam ser criados e mantidos manualmente. Além da dúzia ou duas cartilhas mais comuns, criar mais provavelmente custa mais tempo do que economiza. Precisamos mudar uma mentalidade de automação em primeiro lugar,
Também precisamos aprender como maximizar o potencial da equipe homem-máquina e como desenvolver fluxos de trabalho que combinem as vantagens da automação e de um analista humano. Isso significa automatizar tarefas como contexto e enriquecimento de inteligência, mapear eventos para modelos de ameaças, pré-buscar dados forenses ou criar visualizações de dados, tudo para colocar os dados na forma certa para que um humano entenda e decida o que vem a seguir.
Também temos alguns aprendizados básicos a fazer, por exemplo, como podemos usar processos human-in-the-loop e human-on-the-loop para tornar a automação mais eficaz e segura.
Por fim, se você fosse aconselhar as organizações que buscam alavancar a automação de segurança, quais deveriam ser suas principais considerações? O que eles devem evitar ou prestar atenção especial?
Eu diria antes de mais nada, seja estratégico. Cultivar uma mentalidade de automação leva tempo e sucessos verificáveis. Comece com frutas fáceis de manusear, automatizando tarefas rotineiras e repetitivas para liberar os especialistas em segurança cibernética para que se concentrem em atividades de alto valor. Isso também fornecerá métricas para criar casos de negócios para justificar mais automação e ajudar a convencer os céticos.
Comece a pensar ergonomicamente sobre como a integração da automação nos fluxos de trabalho pode oferecer suporte aos analistas de segurança e caçadores de ameaças para permitir que eles se concentrem na análise e na tomada de decisões, minimizando a carga de trabalho cognitiva e a troca de contexto.
No caso de automatizar a contenção, concentre-se nas ameaças que exigem resposta rápida, onde a resposta manual pode não agir com rapidez suficiente, como ataques na velocidade da máquina e ameaças detectadas nos estágios posteriores da cadeia de eliminação.
Se você estiver usando aprendizado de máquina ou abordagens semelhantes para automatizar, busque soluções com boa interpretabilidade e explicabilidade para entender melhor o processo de tomada de decisão e gerar confiança nos resultados. A adoção da automação depende da confiança. Se um usuário receber alguns alertas falsos, ele começará a duvidar de todos os resultados no futuro.
Geralmente, escolha tecnologias de automação que incorporem recursos de automação e se prestem a aumentar a automatização à medida que você se torna mais confiante e maduro. Tente maximizar o potencial da equipe homem-máquina combinando os pontos fortes da automação e dos analistas humanos em fluxos de trabalho bem definidos, utilizando processos humanos no loop e humanos no loop.
Por fim, adote uma mentalidade de aprendizado e meça e refine continuamente os processos de automação. Na verdade, automatize isso.
FONTE: HELP NET SECURITY