U sajber sigurnosti postoji tendencija da se prikupi što više podataka – logova, upozorenja (alerta) itd.
Centri za sigurnosne operacije (SOC) se svakodnevno suočavaju s desetinama hiljada upozorenja. To je više nego što bilo koja osoba može realno pratiti. Kada previše podataka dolazi odjednom, važne stvari mogu biti propuštene. Odgovori postaju sporiji, a s vremenom konstantan pritisak može dovesti do sagorijevanja (burnouta).
Prema anketi Vectra AI-a, 71% SOC stručnjaka brine da će propustiti pravi napad sakriven u gomili upozorenja, dok 51% vjeruje da ne mogu držati korak s rastućim brojem sigurnosnih prijetnji.
Fokusirajte se na ono što je važno
Većina upozorenja ne vodi ničemu ozbiljnom. Neka su bučna po dizajnu, dok su druga loše konfigurirana. Ako sve tretirate kao hitno, propustit ćete ono što zaista jeste.
Trik je u prepoznavanju obrazaca. Pogledajte šta je pomoglo u prethodnim istragama. Da li je to bila prijava s neobične lokacije? Administrator koji izvršava neuobičajene komande? Uređaj koji odjednom pokušava da komunicira sa čudnim domenama?
To su vrste detalja koje se ističu kada razumijete kako izgleda uobičajeno ponašanje sistema. Isprva to nećete znati – i to je u redu. Pročitajte stare izvještaje o incidentima. Posmatrajte kako tim reaguje na stvarna upozorenja. Naučite koja zaista dovode do istraga, a koja se ignorišu.
Primijetit ćete i da se neka upozorenja stalno ponavljaju. Prema istraživanju Devo Technology-ja, 84% organizacija navodi da njihovi analitičari više puta mjesečno istražuju iste incidente, a da to i ne shvataju. To se dešava zbog previše buke, premalo konteksta i nedostatka jasnoće o tome šta je važno.
Ovdje se radi o izgradnji procjene kroz stvarne situacije. Počet ćete prepoznavati signale – male znakove da nešto nije u redu – i postajat ćete bolji u filtriranju nepotrebnih informacija.
Zadržavanje znatiželje pomaže. Pitajte zašto je neko upozorenje eskalirano, šta ga je učinilo važnim, šta je ignorisano i zašto. Što više razumijete kontekst, brže ćete sami prepoznavati korisne signale.
Dobri analitičari ne znaju sve – oni samo znaju gdje da gledaju.
Praksa u radu s podacima
Počnite s uklanjanjem logova i upozorenja koja nemaju vrijednost. Mnogi logovi se nikada ne pregledaju jer ne sadrže korisne informacije. Logovi koji prikazuju svaku uspješnu prijavu možda nisu korisni ako su te prijave normalne. Neki logovi samo ponavljaju istu poruku o statusu sistema. Ako log ne pomaže u otkrivanju ili istraživanju prijetnji, obično ga je u redu prestati sakupljati.
Zatim, razmislite koliko dugo treba čuvati različite vrste logova. Nisu svi logovi jednako vrijedni tokom vremena. Logovi mrežnog saobraćaja mogu biti korisni samo nekoliko dana jer se prijetnje obično brzo pokažu. Ali zapisi o prijavama ili aktivnostima administratora možda trebaju biti sačuvani mjesecima, radi istraga ili ispunjavanja propisa. Dogovorite se s timom koliko dugo treba čuvati koju vrstu podataka. To pomaže sistemima da rade efikasno i izbjegava pretrpavanje podacima.
Ako se desi sigurnosni incident, odvojite vrijeme da pregledate koji su logovi i upozorenja pomogli da se prijetnja otkrije ili zaustavi. Pronađite izvore koji su pokazali neobično ponašanje i upozorenja koja su dovela do stvarnih istraga. Označite ih kao važne kako biste im u budućnosti posvetili više pažnje.
Većina sigurnosnih alata vam omogućava da filtrirate upozorenja ili promijenite njihovu važnost. Na primjer, ako vaš sistem šalje mnogo upozorenja za neuspješne pokušaje prijave, možete podesiti da šalje upozorenje samo kada dođe do više neuspjeha u kratkom vremenu, umjesto za svaki pojedinačni pokušaj. To smanjuje broj lažnih uzbuna i opterećenje upozorenjima. Naučite koristiti ove funkcije – pomoći će timu da otkrije stvarne probleme i izbjegne distrakcije.
Uloga vještačke inteligencije (AI)
AI alati postaju sve bolji u pomoći sigurnosnim timovima. Mogu analizirati velike količine podataka i otkriti obrasce koje ljudi lako mogu propustiti.
Šta AI radi dobro:
- Obrađuje podatke brže od ljudi
- Smanjuje zamor od upozorenja prepoznavanjem obrazaca visokog rizika
- Otkriva anomalije koje se mogu propustiti ručnim pregledom
Na šta treba paziti:
- AI još uvijek može propustiti prijetnje ili ih pogrešno klasificirati
- Rezultati zavise od kvalitete ulaznih podataka
- Ljudski nadzor i podešavanje su neophodni
AI nije magija. Funkcioniše dobro samo kada su ulazni podaci kvalitetni. Ako poboljšate podatke koje unosite, dobićete i bolje rezultate. Čak i male promjene mogu poboljšati performanse AI sistema.
Izvor:Help Net Security