Vraag een securityanalist naar een frustratie en je hoort niet zelden 'alert-vermoeidheid’. Het identificeren van de indicatoren voor ernstige dreigingen en het tegelijkertijd negeren en afhandelen van false positives blijft een worsteling. Wetenschappers hebben een naam voor deze balans tussen nuttige en irrelevante gegevens: de signaal-ruisverhouding.
Het signaal is de belangrijke data, terwijl de ruis al het andere is; de witte ruis die in de weg zit. Als de signaal-ruisverhouding te laag is, overstemt de ruis wat belangrijk is. Allerlei experts, van radio-operators tot genoomwetenschappers, worstelen met dit probleem.
Het verbeteren van de signaal-ruisverhouding is ook een probleem voor moderne incidentresponse-teams die te maken hebben met informatie-overload. Ze worden overspoeld met data over gebeurtenissen op het netwerk. Het doorzoeken van alle systemen op echte dreigingen kost veel moeite. Soms falen ze, met mogelijk desastreuze gevolgen.
Het probleem
Het probleem waarmee soc’s worden geconfronteerd, is tweeledig. Het eerste probleem is datavolume. Moderne netwerken brengen grote stromen aan gegevens voort. Betere netwerktelemetrie verhoogt dat volume ieder jaar. Het resultaat is een overschot aan alerts, die we ‘kandidaat-signalen’ kunnen noemen. Dit zijn interessante datapunten die nader onderzoek kunnen rechtvaardigen.
Dit wordt nog verergerd door het tweede probleem: schaarste van kundig personeel. Soc’s hebben veel moeite bij het vinden van voldoende talent om de stroom van gegevens uit steeds complexere infrastructuren het hoofd te bieden. Zonder die handmatige vaardigheden zijn velen overbelast en niet in staat om uit die grote stroom data die binnenkomt de intelligentie te destilleren die ze nodig hebben. De natuurlijke reactie als je niet genoeg van een signaal ontvangt, is om meer gegevens toe te voegen. Voor veel soc’s betekent dit dat er meer tools en telemetrie moeten worden aangeschaft, meestal in de vorm van endpoint detection and response (edr)- of endpoint protection platform (epp)-producten.
Dit is de verkeerde benadering. Veel incidentresponsplatforms van soc’s zijn al onsamenhangend en bevatten tools van verschillende leveranciers die in de loop van de tijd zijn aangeschaft en die niet goed samenwerken. Dit maakt het moeilijk om een totaalbeeld te krijgen van het incidentresponsproces, en in de meeste gevallen voorkomt het ook dat soc-operators interessante telemetrie-onderzoeken aan elkaar doorgeven.
Het toevoegen van deze platforms kan leiden tot relevantere signalen, maar het helpt soc’s niet om ze te herkennen. Het zal het tegenovergestelde in de hand werken: het creëren van meer ruis die de nuttige signalen overstemt. Elke poging om het SOC te repareren door meer gegevens te genereren, versterkt het onderliggende probleem.
Als de signaal-ruisverhouding laag blijft, wordt de groei van netwerktelemetrie een grotere risicofactor. Door een slechte filtering van het kandidaat-signaal weten operators niet waar ze moeten beginnen, waardoor ze echte, tijdkritische aanvallen over het hoofd zien. De resultaten kunnen rampzalig zijn.
De oplossing
Het genereren van meer gegevens is voor soc’s geen oplossing. In plaats daarvan moeten ze het onderliggende probleem aanpakken. Ze moeten betere manieren vinden om de juiste signalen te herkennen in de gegevens die ze al hebben. Dat betekent dat ze de signaal-ruisverhouding moeten wijzigen.
In de praktijk betekent dit het verminderen van het aantal kandidaat-signalen. Soc-platformen moeten soc-analisten minder waarschuwingen geven, zodat ze hun aandacht kunnen richten op wat er echt toe doet.
De sleutel tot het verhogen van de signaal-ruisverhouding is een strak geïntegreerde end-to-end tool chain. Dit is een set tools die naadloos samenwerkt met weinig overlap, en die allemaal soepel gegevens met elkaar kunnen uitwisselen gedurende de gehele cyclus van detectie, isolatie, mitigatie, remediation en analyse na incidenten.
Deze aanpak helpt op verschillende manieren. Ten eerste vermindert het de ruis van verschillende tools die elkaar anders zouden overlappen. Dit elimineert de schaduwsignalen die operators (die toch al druk zijn) kunnen afleiden.
Het correleert ook gebeurtenissen en waarschuwingen tot incidenten. Dit zijn grotere, beter zichtbare gegevenselementen die gemakkelijker te volgen zijn. Dit geeft analisten een top-down-overzicht van kandidaat-signalen zonder zich door low-level-events te hoeven loodsen en deze handmatig te correleren.
Ten slotte stelt het soc’s in staat om de detectie, analyse en rapportage van incidenten beter te automatiseren. Deze automatisering is een belangrijk onderdeel van het correlatieproces voor gebeurtenissen. Een goed gevormde keten van tools detecteert kandidaat-signalen vroegtijdig en ontwikkelt ze door verschillende analysefasen. Dit stelt een soc-team in staat kwaadaardige signalen tijdig te escaleren of direct te negeren wanneer ze goedaardig blijken te zijn. Dit helpt om veel incidenten automatisch te mitigeren, zonder dat er een menselijke factor op het kritieke pad nodig is. Dit zorgt ervoor dat specialisten zich kunnen concentreren op waarschuwingen die wél hun aandacht nodig hebben.
Het resultaat
Soc’s die in tool chain-integratie investeren, zullen profiteren van een kleinere, verfijnde set waarschuwingen die wordt geleverd met de juiste gegevens, klaar voor menselijke operators om er efficiënt mee om te gaan.
Deze hogere signaal-ruisverhouding wordt weergegeven op schermen van analisten, waardoor hun cognitieve belasting wordt verminderd. Het betekent minder incidenten die onderzoek behoeven en daarmee kortere opsporingstijden. Dit zal leiden tot betere resultaten voor soc’s in de vorm van kortere doorlooptijd voor het mitigeren en oplossen van een incident en een algehele verkorting van de responstijden. Idealiter voorkomt dit dat aanvallers in de buurt van uw infrastructuur komen, maar in het geval van een succesvolle aanval kan het ook de tijd verkorten dat de aanvaller binnen is, waardoor het effect van de aanval wordt verzacht.
Als het gaat om het afhandelen van snel bewegende cyberbeveiligingsincidenten, kan de scherpere focus vanwege een minder rommelige dataset het verschil maken tussen een incident onder controle houden voordat het schade aanricht, en de krantenkoppen halen om de verkeerde redenen.
De verandering
Dit optimalisatieproces moet zo vroeg mogelijk in het incidentresponsproces beginnen. Hoe langer het soc de afhandeling van minder relevante kandidaat-signalen uitstelt, hoe meer ze zich zullen verspreiden en hoe moeilijker het zal zijn om te onderscheiden wat echt belangrijk is. Door kandidaat-signalen zo snel mogelijk af te handelen, worden analisten vrijgemaakt om hun vaardigheden toe te passen op de signalen die ertoe doen. In een branche waar het moeilijk is aan talent te komen, is het absoluut noodzakelijk om die analisten zo productief mogelijk te houden.
Met dat in gedachten is dit het moment om de procesketen te herzien en op zoek te gaan naar verbetermogelijkheden. Neem even de tijd en doe een stap terug om uw algehele toolset en teamstructuur te onderzoeken. Op een gegeven moment zult u misschien merken dat het genereren van meer telemetrie resultaten oplevert, maar alleen als u over de mogelijkheden beschikt om de ruis snel te verwijderen. Tot die tijd geldt ‘less is more’.
