Inteligentne zarządzanie alertami – Blogi Cisco

Kobieta Technologia

Wyzwanie

W dziedzinie cyberbezpieczeństwa wszyscy wiemy, czym jest zmęczenie alertami i wiemy, że nie ma srebrnej kuli, która pozwoliłaby się z niego wyzwolić. W naszym poprzednim wcieleniu nasz produkt również był winny. Komu chce się przeglądać 20 000 alertów jeden po drugim? I to tylko w przypadku jednego produktu.

Budowanie mechanizmu wykrywania

Ten artykuł jest częścią serii, w której przeanalizujemy kilka cech, zasad i podstaw tego, co uważamy za elementy składowe mechanizmu wykrywania zagrożeń w ramach produktu XDR (Extended Detection and Response).

W tym pierwszym artykule zajmiemy się zmęczeniem alertami i tym, jak go uniknąć poprzez tworzenie inteligentnych alertów.

Znamy kilka tradycyjnych sposobów radzenia sobie ze zmęczeniem alertami. Niektórzy mówią: „Zwracamy uwagę tylko na alerty wysokie i krytyczne”. To z pewnością pomaga, ale kosztem tego, że na pokładzie pojawia się więcej problemów. Poza tym, że umyka nam duża część niekiedy godnego uwagi komunikatu, który produkt bezpieczeństwa próbuje przekazać, skrzynka odbiorcza produktu staje się śmietnikiem niezamkniętych alertów.

„Niektórzy pytają: „Czy w następnym wydaniu moglibyście dodać rozbudowane filtry i pola wyboru, abym mógł masowo zamykać te alerty? Próbowaliśmy tego sposobu, ale znaleźliśmy się pośród widoków zawierających tabele w tabelach – bardzo barokowy system, którego delikatność i prostota dorównuje promowi kosmicznemu.

„Poddaliśmy się i kupiliśmy SIEM i SOAR!” – usłyszeliśmy od innych. To wszystko jest w porządku, jeśli ktoś chce przenieść swoich pracowników SOC z roli specjalistów ds. bezpieczeństwa do roli integratorów inżynieryjnych.

Podsumowując, zauważyliśmy, że w każdym przypadku tak naprawdę zamienialiśmy jeden problem na inny. Zamiast próbować radzić sobie z problemem zmęczenia alertami, zmieniliśmy nasze podejście, aby w ogóle nie dopuścić do jego pojawienia się. Wprowadziliśmy rozwiązanie Alert Fusion.

Alert Fusion

W systemie Alert Fusion podstawową jednostką pracy jest alert. Zamiast tworzyć jeden alert na każde zdarzenie bezpieczeństwa, budujemy alerty w sposób inteligentny, tak aby naśladowały jednostkę pracy analityka bezpieczeństwa.

Poniżej znajduje się przykład takiej jednostki pracy. Obejmuje on dwa zasoby, na których wykryto identyczny zestaw zagrożeń. Łatwo zauważyć, że WannaCry, wykrywanie usług SMB i nadmierna komunikacja prawdopodobnie idą w parze. Podczas usuwania tych infekcji warto przyjrzeć się również infekcji Emotet. W sumie, zaniedbanie tej jednostki pracy jest uważane za ryzyko krytyczne, więc z łatwością trafia na szczyt listy alertów.

Drugi przykład to pojedyncze zagrożenie ArcadeYum obejmujące większą bazę 78 zasobów. Jest to jedno z tych uciążliwych zagrożeń zmieniających przeglądarkę i promujących dodatkowe oprogramowanie, które należy eliminować masowo, a nie pojedynczo. Co prawda, nie jest on tak problematyczny jak WannaCry, więc jest uważany za zagrożenie średniego ryzyka.

Łącznie te dwa alerty obejmują prawie sto istotnych zdarzeń związanych z bezpieczeństwem i wiele innych kontekstowych. Oprócz tego, że nie ma potrzeby ręcznej korelacji, możemy natychmiast rozpoznać naturę, zakres i głębokość przedstawionych zagrożeń.

Podsumowując, alert służy do zestawiania wniosków, które analityk może chcieć rozwiązać w zespole, albo pracując nad nimi jako incydentami, albo pozbywając się ich z wybranych przez siebie powodów. Aby nadać priorytet swojej pracy, każdy alert ma przypisane ryzyko, a alerty są porządkowane według tej wartości.

Ryzyko, jak również sposób grupowania, są określane

automatycznie przez system na podstawie tego, co wie o wykryciach. Przyjrzyjmy się teraz dokładniej podstawowym składnikom książki kucharskiej: zagrożeniom i zasobom.

Zagrożenia

Zagrożeniem jest wszystko, co możemy określić jako ryzyko dla bezpieczeństwa. W tym przykładzie jest to Shlayer. Należy zauważyć, że zagrożenia przedstawiamy w języku wywiadu o zagrożeniach i zarządzania ryzykiem – „co” zostało wykryte, w przeciwieństwie do technicznego języka środków wykrywania – „dlaczego” zostało wykryte. Dokładne sposoby wykrywania omówimy w innym artykule. Na razie załóżmy, że w jakiś sposób wykryliśmy to zagrożenie.

Zagrożenie ma swoją dotkliwość, w tym przykładzie jest to dotkliwość krytyczna, która służy jako podstawa do obliczania ryzyka. Zagrożenia są dostarczane z domyślnymi poziomami nasilenia, które można dowolnie zmieniać, aby dostosować je do modelu zagrożeń poszczególnych klientów. Na przykład niektórzy klienci mogą nie przejmować się tak bardzo wydobywaniem kryptowalut na swoich aktywach, jak inni klienci.

Zdajemy sobie sprawę, że metody wykrywania nie są nieomylne, zwłaszcza w świecie uczenia maszynowego. Dlatego po wykryciu zagrożenia przypisujemy mu wartość zaufania. Obecnie może ona być wysoka lub średnia. Ta druga wartość oznacza, że detektor nie jest do końca pewien wykrycia, więc ryzyko jest zmniejszane.

Aktywa

Podobnie organizujemy aktywa w Grupy Aktywów, które mają wartość biznesową. Organizacja zależy od klienta i jego modelu zagrożeń. Niektórzy klienci mają bardziej zróżnicowane potrzeby, podczas gdy inni mają bardziej płaską strukturę. Tam, gdzie jest to możliwe, proponujemy zgadywaną wartość domyślną dla danej grupy aktywów. Na przykład serwery otrzymują wysoką wartość, a goście niską. W każdym przypadku wartości te można dowolnie zmieniać. Średnia wartość biznesowa nie ma wpływu na ryzyko, podczas gdy inne wartości odpowiednio je zwiększą lub zmniejszą.

System reaktywny

Podsumowując, widzimy, że Alert Fusion prezentuje alerty, które działają jak jednostki pracy i są uszeregowane pod względem ryzyka, obliczonego na podstawie ustawień wprowadzonych przez klienta, takich jak stopień zagrożenia i wartość aktywów.

Nie jest realistyczne oczekiwanie, że cała konfiguracja, jeśli w ogóle, została przeprowadzona w systemie z góry. Na przykład, wykrycie w sieci gości może uświadomić, że wartość biznesowa tej grupy aktywów może wymagać obniżenia. Dlatego zapewniamy możliwość dostosowywania alertów na bieżąco. Wspieramy reaktywny model przepływu pracy.

Istniejące alerty mogą być w każdej chwili przeorganizowane poprzez zmianę kilku pokręteł, a mianowicie stopnia zagrożenia i wartości aktywów. Daje to możliwość bezpiecznej eksploracji. Jeśli zmiana nie jest satysfakcjonująca, można ją po prostu cofnąć, wypłukać i powtórzyć.

Podsumowując

:

Czy udało nam się rozwiązać problem zmęczenia alarmami? Jak mówi przysłowie, czas pokaże. Już teraz zaczyna to robić.

Od czasu wprowadzenia tego systemu w 2020 r. zaobserwowaliśmy znaczne zmniejszenie liczby alertów na klienta, zwykle o kilka rzędów wielkości. Nasz interfejs użytkownika nie musi już tak ciężko pracować, jeśli chodzi o pola wyboru, paginację i filtrowanie. W rezultacie więcej klientów osiąga pożądany stan zerowej liczby alertów w skrzynce odbiorczej, w której 100% alertów zostało przejrzanych i poddanych interakcji.

Chętnie poznamy Twoje zdanie. Zadaj pytanie, skomentuj poniżej i bądź na bieżąco z Cisco Secure w serwisie społecznościowym!

Kanały społecznościowe Cisco Secure

Instagram
Facebook
Twitter
LinkedIn

Udostępnij

:

Czytaj dalej: https://blogs.cisco.com/security/inteligentne-zarządzanie-alertami

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.