Falešné poplachy jsou problémem nejen proto, že zatěžují personál a vyžadují čas na řešení, ale také proto, že mohou pozornost firmy odvádět od řešení skutečných bezpečnostních problémů.
Podle zprávy „Data-Driven Security Reloaded“ z roku 2015 od výzkumné firmy EMA (Enterprise Management Associates) uvedla polovina z více než 200 dotázaných správců IT a personálu zabezpečení, že jim příliš mnoho falešných poplachů znemožňuje spoléhat se na detekci narušení.
Při dotazu na to, co považují za klíčový přínos softwaru pro pokročilou analytiku, uvedlo 30 procent dotázaných organizací snížení počtu falešných poplachů.
„Falešné poplachy byly vždy problémem bezpečnostních nástrojů, ale jak se přidává více vrstev ochrany zabezpečení, roste kumulativní dopad těchto nepravých alarmů,“ uvádí Paul Cotter, architekt bezpečnostní infrastruktury v poradenské společnosti West Monroe Partners.
Nejběžnější jsou falešné poplachy v produktech, jako jsou detekce a prevence narušení sítě, platformy pro ochranu koncových bodů a také nástroje detekce a reakce pro koncové body, popisuje Lawrence Pingree, ředitel výzkumu bezpečnostních technologií v Gartneru.
„Každé z těchto řešení používá různé metody detekce útoků, jako jsou například charakteristické signatury, detekce chování atd.,“ uvádí Pingree. „Falešné poplachy jsou problémem, protože podstata pokusů detekovat špatné chování se někdy překrývá s příznaky dobrého chování.“
Dobrým příkladem toho, jaký mohou mít falešné poplachy dopad, je známý únik dat ze společnosti Target, „kde technologie použitá k monitorování narušení generovala mnoho upozornění v různých případech podezřelých aktivit,“ vysvětluje Pritesh Parekh, ředitel zabezpečení informací ve finanční společnosti Zuora.
„Relevantní varování se ztratila ve stovkách falešných poplachů a nezískala prioritu v seznamu bezpečnostních problémů, takže výsledkem byl velký únik dat,“ popisuje Parekh.
Důležitá rovnováha
Existuje zde jemná rovnováha, kterou musejí bezpečnostní profesionálové zajistit při řešení problémů, popisuje Cotter. Na jedné straně musejí zabezpečit, aby nástroj nenarušoval každodenní provoz a negeneroval další práci pro organizaci.
Na straně druhé však musejí zohlednit, že i jediný opodstatněný poplach (například nezjištěné vniknutí) může mít mnohem větší dopad na organizaci než mnoho poplachů falešných.
„Největším rizikem falešných poplachů je, že nástroj vygeneruje tolik upozornění, že je nakonec vnímán jako jakýsi generátor šumu a všechny skutečné problémy se začnou ignorovat v důsledku únavy osob, které tyto nástroje spravují,“ varuje Cotter.
Často podle něj tento problém lze vidět u nástrojů, které nejsou správně používané, jako například když dojde k nainstalování a použití výchozích nastavení a profilů.
Typickým takovým příkladem je software pro monitoring integrity souborů, který upozorní správce na libovolné změny souborů v monitorovaném systému, což může být příznak malwaru či aktivity vetřelce.
„Při použití výchozího nastavení vygeneruje instalace jednoduché opravy velké množství změn souborů a v souhrnu to u středně velkého podniku může snadno vytvořit mnoho desítek tisíc varování,“ upozorňuje Cotter.
Všechna významná varování se snadno v takové záplavě informací ztratí a správci je mohou považovat za důsledek aktualizací.
„Pro vyřešení tohoto problému je nutné zavést důkladný proces testování aktualizací a je potřeba vytvořit určitou podobu ‚otisků prstů‘, jejich změn, aby bylo možné taková specifická upozornění odfiltrovat, a aby tak zůstala jen jasná množina upozornění, která by měli správci skutečně přezkoumat,“ popisuje Cotter.
Definování, vyladění, implementace a vykonávání tohoto procesu zvyšují úsilí potřebné k podpoře provozu nástroje, mohou však drasticky snížit dlouhodobé náklady na vlastnictví i zvýšit efektivitu rozlišení užitečných informací od šumu a v důsledku toho i zlepšit použitelnost samotného systému, uvádí Cotter.
„Mnoho dalších nástrojů zabezpečení má podobný problém s nadměrným množstvím varování, která se často ignorují pro nízký poměr užitečných informací vůči šumu,“ tvrdí Cotter.
„Mezi příklady lze uvést systémy IDS (detekce narušení), firewally webových aplikací a další systémy, které monitorují koncové body dostupné z internetu.“
Pochopení podstaty
Řešení problému falešných poplachů by mělo začínat důkladným pochopením toho, co má daný nástroj řešit, a také jak funguje.
„Při implementaci nástroje zajistěte, aby personál pracující na zavádění plně chápal záměr nasazení nástroje, a aby tak nedocházelo ke zbytečným dohadům o obvyklých případech použití nebo jen k pouhé instalaci nástroje s výchozími nastaveními,“ radí Cotter.
Z provozního a vzdělávacího pohledu ovlivní každé nasazení nástroje zabezpečení existující zásady a postupy včetně reakce na incidenty a všechny provozní postupy pro systémy, na které má nástroj vliv, vysvětluje Cotter.
„Tento dopad by se měl přezkoumat a schválit a dokumentace pro zásady i postupy by se měla společně s nasazením nástroje zaktualizovat, aby se zajistilo, že změna bude mít na provozní činnosti jen minimální dopad,“ dodává Cotter.
Personál zabezpečení potřebuje zejména pochopit, že ne každý detekovaný případ má škodlivou podstatu, prohlašuje Pingree. Podle něj existuje celá řada způsobů, jak kategorizovat incidenty za účelem identifikace falešných poplachů.
Vyšetřovatel například zkontroluje detekovanou škodlivou událost a poté určí pravděpodobnost, že je tato aktivita skutečně škodlivá.
„Tito lidé musejí udělat řadu kroků, aby mohli stanovit škodlivost příslušné události. Například prozkoumat, zda došlo k úniku dat nebo jestli chování vypadá při bližším přezkoumání jako přijatelné,“ vysvětluje Pingree.
Většina produktů poskytne více podrobností k určení, zda něco vypadá jako detekce falešného poplachu, tvrdí Pingree. Vyšetřovatel může porovnat detekovanou událost se známými dobrými vzorky souborů, jako jsou například whitelisty.
V případě, že jde o zkoumání varování týkající se sítě, mohou vyšetřovatelé prozkoumat další zdroje dat, například informace o IP adrese, doménové jméno, a využít další funkce hodnocení škodlivosti, jako jsou třeba skóre reputace IP adresy či malwarové skenování adresy URL.
„Někdy jsou tato skóre odvozená ze zkoumání minulého chování nebo účasti určité URL či IP adresy na útocích v minulosti,“ vysvětluje Pingree.
Podle něj zde existuje určitá míra nejistoty, ale většinou je možné pomocí bližšího přezkoumání protokolů, zachycených paketů a dalších uživatelských aktivit souvisejících s incidentem určit, zda je něco více než pravděpodobně falešným poplachem nebo reálnou hrozbou.
Síla v ladění
Při konfiguraci a ladění nových bezpečnostních nástrojů pro snížení počtu falešných poplachů i zajištění dostatečného pokrytí...
Tento příspěvek vyšel v Security Worldu 2/2016. Oproti této variantě je obsáhlejší a obsahuje řadu dalších rad, které můžete využít u sebe ve firmě.
Časopis (starší čísla i předplatné těch nadcházejících) si můžete objednat na adrese našeho vydavatelství.
PŘEDPLATNÉ
ČLÁNKY DO MAILU