[14/12/2021] Los falsos positivos -o alertas que indican incorrectamente que existe una amenaza a la seguridad en un ambiente específico- son un problema importante para los centros de operaciones de seguridad (SOC, por sus siglas en inglés). Numerosos estudios han demostrado que los analistas de SOC dedican una cantidad excesiva de tiempo y esfuerzo a perseguir alertas que sugieren una amenaza inminente para sus sistemas que terminan resultando benignas.
Una investigación, recientemente realizada por Invicti, descubrió que los SOC desperdician un promedio de 10 mil horas y unos 500 mil dólares al año en la validación de alertas de vulnerabilidad incorrectas y no confiables. Otra encuesta, que realizó Enterprise Strategy Group (ESG) para Fastly, encontró organizaciones que informan un promedio de 53 alertas al día desde sus aplicaciones web y herramientas de seguridad API. Casi la mitad (45%) son falsos positivos. Nueve de cada 10 de los encuestados describieron que los falsos positivos tienen un impacto negativo en el equipo de seguridad.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
"Para los equipos de los SOC, los falsos positivos son uno de los mayores puntos débiles”, afirma Chuck Everette, director de defensa de la ciberseguridad en Deep Instinct. El enfoque principal de un SOC es monitorear eventos de seguridad, e investigarlos y responder a ellos de manera oportuna. "Si se ven inundados con cientos o miles de alertas que no tienen un significado real para la seguridad, esto los distrae de responder de manera eficiente y efectiva a las amenazas reales”, afirma.
Eliminar los falsos positivos por completo del medio ambiente puede ser casi imposible. Sin embargo, hay formas en que los SOC pueden minimizar el tiempo que dedican a perseguirlas. A continuación, cinco maneras de hacerlo:
1. Céntrese en las amenazas que importan
Al configurar y ajustar las herramientas de las alertas de seguridad, como los sistemas de detección de intrusiones y los sistemas de gestión de eventos e información de seguridad (SIEM, por sus siglas en inglés), asegúrese de definir reglas y comportamientos que le avisen solo sobre las amenazas que son relevantes para su ambiente. Las herramientas de seguridad pueden agregar una gran cantidad de datos de registro, no todos los cuales son necesariamente relevantes desde el punto de vista de las amenazas para su ambiente.
La avalancha de falsos positivos que gestiona la mayoría de los SOC es el subproducto de una de tres cosas, afirma Tim Wade, director técnico del equipo de CTO de Vectra. "En primer lugar, las reglas basadas en la correlación a menudo carecen de la capacidad de expresar una cantidad suficiente de características necesarias para elevar tanto la sensibilidad de detección como la especificidad a niveles procesables”, señala. Como resultado, las detecciones a menudo pueden mostrar comportamientos de amenaza, pero no los distinguen de los comportamientos benignos.
El segundo problema es que las reglas basadas en el comportamiento, que se centran en las anomalías, son buenas para encontrar amenazas retrospectivamente, afirma. Sin embargo, a menudo no generan una señal para actuar. "En la escala de cualquier empresa, 'lo extraño es normal'”, afirma. Eso significa que las anomalías son la regla, no la excepción, por lo que perseguir cada anomalía es una pérdida de tiempo y esfuerzo.
"En tercer lugar, los SOC carecen de sofisticación en su propia clasificación de incidentes para distinguir los verdaderos positivos maliciosos de los verdaderos positivos benignos”. Esto da como resultado que los verdaderos positivos benignos se agrupen en la misma categoría que los falsos positivos, por lo que se entierran de manera efectiva los datos que pueden ayudar a permitir mejoras iterativas en los esfuerzos de la ingeniería de detección, afirma Wade.
Las causas principales de los falsos positivos son que los SOC no entienden cómo se ve un verdadero indicador de compromiso en su ambiente específico y carecen de datos adecuados para probar las reglas, afirma John Bambenek, principal cazador de amenazas de NetEnrich. Muchas organizaciones de seguridad emiten de forma rutinaria indicadores de compromiso como parte de su investigación, pero a veces un indicador válido de compromiso no es suficiente por sí solo para indicar una amenaza para un ambiente específico. El autor de las amenazas puede usar Tor. Entonces, su presencia [de Tor] es relevante. Eso no significa que cada uso de Tor sea una señal de la presencia de una amenaza específica en una red. "La mayoría de las investigaciones requieren información contextual y muchas empresas están detrás de la pelota en la creación de detecciones contextuales”, afirma.
2. No caiga presa de la falacia de la tasa base
Los profesionales de la seguridad a menudo cometen el error de tomar demasiado literalmente las afirmaciones de un proveedor sobre las bajas tasas de falsos positivos. El hecho de que una herramienta de SOC pueda tener una tasa de falsos positivos de 1% y una tasa de falsos negativos de 1% no significa que la probabilidad de un verdadero positivo sea del 99%, afirma Sounil Yu, CISO de JupiterOne. Debido a que el tráfico legítimo tiende a ser magnitudes más altas que el tráfico malicioso, las tasas de verdaderos positivos a menudo pueden caer muy por debajo de lo que los gerentes de seguridad intrínsecamente podrían esperar al principio. "La probabilidad real de que sea un verdadero positivo es mucho menor, y esa probabilidad disminuye aún más dependiendo de cuántos eventos totales se procesen”, afirma.
Como ejemplo, señala un SOC que podría estar manejando 100 mil eventos diarios, de los cuales 100 son alertas reales y 99.900 son falsas alarmas. En este escenario, una tasa de falsos positivos del 1% significa que el equipo de seguridad tendría que perseguir 999 alertas falsas y la probabilidad de un verdadero positivo es solo del 9%, afirma Yu. "Si aumentamos el número de eventos a un millón mientras mantenemos el número de alarmas reales en cien, la probabilidad se reduce aún más, a menos del 1%”.
La principal conclusión para los administradores es que las pequeñas diferencias en una tasa de falsos positivos pueden afectar significativamente la cantidad de falsas alarmas que los equipos de SOC deben perseguir, señala Yu. Por lo tanto, es importante que las reglas de detección se ajusten continuamente para reducir las tasas de falsos positivos y automatizar la investigación inicial de las alertas tanto como sea posible. Los equipos de seguridad también deben resistir la tendencia a introducir más datos de los necesarios en sus motores de detección. "En lugar de rellenar arbitrariamente más datos en sus canales de detección, asegúrese de tener solo los datos que necesita para procesar sus reglas de detección y deje los demás datos para el enriquecimiento automático después”, afirma.
3. Hackee su propia red
Los analistas de los SOC suelen dedicarse más a perseguir alertas de seguridad de bajo impacto que tratando con falsos positivos, afirma Doug Dooley, director de operaciones de Data Theorem. Esto puede suceder, por ejemplo, cuando los equipos de seguridad están organizados para buscar problemas de higiene del código que pueden o no ser explotados en la aplicación de producción, en lugar de enfocarse en problemas que tienen un impacto importante sobre el negocio. "El equipo de SecOps puede empantanarse fácilmente con alertas que no son de misión crítica y que se clasifican injustamente como 'falsos positivos'”, afirma Dooley.
Solo cuando el equipo de seguridad trabaja en estrecha colaboración con los líderes del negocio, pueden concentrarse en lo que realmente importa y filtrar el ruido. "Si un robo de datos de su aplicación móvil más popular podría dañar sustancialmente su marca, bajar el precio de sus acciones y probablemente hacerle perder clientes, entonces concentrarse en las vulnerabilidades explotables en su stack de aplicaciones tiene una alta prioridad para el negocio”.
En lugar de centrarse en escenarios y ataques teóricos, Dooley recomienda que las organizaciones realicen pruebas de brecha en sus propios sistemas para verificar si las vulnerabilidades explotables que puedan existir pueden verse comprometidas. Dichas pruebas y verificación pueden generar confianza y credibilidad entre los equipos de operaciones de seguridad y los equipos de DevOps, afirma.
4. Mantenga buenos registros y métricas
Mantener registros de las investigaciones que se convirtieron en una búsqueda inútil es una buena manera de minimizar las posibilidades de que eso vuelva a suceder. Para mejorar la detección y ajustar las alertas, los SOC deben poder filtrar el ruido de las señales procesables. Eso solo puede suceder cuando las organizaciones tienen datos que pueden mirar en retrospectiva y aprender.
"En un mundo en el que el tiempo, los recursos y la atención son limitados, cada vez que se invierte un esfuerzo en un falso positivo, la empresa corre el riesgo de que se ignore una señal procesable”, afirma Wade en Vectra. "Es difícil exagerar la necesidad de que los SOC mantengan registros y métricas efectivos de sus investigaciones para mejorar sus esfuerzos de ingeniería de detección a lo largo del tiempo”. Desafortunadamente, para muchos SOC, el caos del momento tiende a sobrepasar los esfuerzos de planificación a largo plazo necesarios para mejorar, afirma.
Las herramientas de alerta de seguridad deben tener un mecanismo de retroalimentación y métricas que permitan a los defensores rastrear las tasas de falsos positivos por parte de proveedores y fuentes de información, afirma Bambenek. "Si está utilizando un lago de datos de telemetría de seguridad, también puede mirar los indicadores y las nuevas reglas en comparación con los datos anteriores para tener una idea de las tasas de falsos positivos”, afirma.
5. La automatización por sí sola no es suficiente
La automatización, cuando se implementa correctamente, puede ayudar a aliviar los desafíos relacionados con la sobrecarga de alertas y la escasez de habilidades en los SOC modernos. Sin embargo, las organizaciones necesitan un personal capacitado -o tener acceso a uno a través de un proveedor de servicios gestionados, por ejemplo- para aprovechar al máximo su tecnología.
"Con el tiempo para confirmar manualmente cada vulnerabilidad en una hora, los equipos podrían estar gastando 10 mil horas al año controlando falsos positivos”, afirma Sonali Shah, directora de productos de Invicti. Sin embargo, más de las tres cuartas partes de los encuestados por Invicti afirmaron que siempre, o frecuentemente, verifican manualmente las vulnerabilidades. En estas situaciones, la automatización que se integra dentro de los flujos de trabajo existentes puede ayudar a aliviar los desafíos asociados con los falsos positivos.
Para aprovechar al máximo la tecnología, los SOC necesitan operadores que puedan ajustar las herramientas de registro y detección, y desarrollar los scripts o herramientas personalizadas que unen las herramientas de los proveedores, afirma Daniel Kennedy, analista de S&P Global Market Intelligence. Los operadores que, a lo largo del tiempo, han adquirido conocimientos sobre la naturaleza personalizada de la naturaleza tecnológica de su organización son especialmente útiles, afirma. Pueden ayudar a los SOC a ahorrar tiempo examinando los informes diarios en busca de patrones, desarrollando guías, ajustando las herramientas de los proveedores, e introduciendo niveles de respuesta automatizada apropiados.
Las alertas, eventos y registros deben estar ajustados, afirma Everette de Deep Instinct. Los expertos en la materia deben configurar el sistema para garantizar que solo las alertas de alta fidelidad salgan a la superficie, y que los activadores de eventos correspondientes estén configurados para garantizar una respuesta de mayor prioridad cuando sea necesario. Para hacer esto de manera efectiva, las organizaciones deben correlacionar y analizar datos de múltiples fuentes, como registros de seguridad, eventos y datos de amenazas. Las herramientas de alerta de seguridad "no son un mecanismo del tipo 'configúralo y olvídate'”, afirma. Para aprovechar al máximo las herramientas de alerta, los SOC deben buscar oportunidades para aumentar y mejorar las capacidades de cada herramienta y así reducir el número de falsos positivos y aumentar la efectividad de su postura de seguridad general.
Basado en el artículo de Jaikumar Vijayan (CSO) y editado por CIO Perú
Puede ver también: