Le soluzioni di cybersecurity possono generare falsi positivi, ben noti ai team SOC e in parte responsabili della stanchezza da allerta. Questo fenomeno, emerso negli ultimi anni, si riferisce all'accumulo di eventi di sicurezza e di "rumore" che un amministratore deve gestire quotidianamente. Ma può anche causare il blocco dell'attività dei dipendenti. Falsi positivi e sicurezza informatica: decifriamo un fenomeno IT.
Secondo lo studio The Orca Security 2022 Alert Fatigue Report, il 20% degli alert di sicurezza nel cloud sono classificati come falsi positivi. Al di là dell'impatto diretto sulla capacità dei dipendenti di svolgere il proprio lavoro e dell'impatto morale sui team IT, quali sono le ripercussioni sulla sicurezza aziendale? Qual è la fonte e come possiamo contenerla? Ecco alcune riflessioni.
Quel granello di sabbia dei falsi positivi
Che cos'è un falso positivo? Un falso positivo è un avviso, una notifica o una reazione errata in seguito a una situazione considerata un problema o addirittura una minaccia per un asset IT o una rete aziendale. Questi falsi positivi possono essere generati, ad esempio, da un'interpretazione errata da parte dei team SOC oppure direttamente a livello di soluzioni di cybersecurity – come gli EDR (Endpoint Detection & Response), i firewall e altri sistemi di prevenzione della perdita di dati (Data Loss Prevention – DLP) – sotto forma di un flusso legittimo considerato pericoloso, di un sito web legittimo considerato dannoso o di un messaggio legittimo considerato indesiderato...
Quali sono i rischi legati alla generazione di falsi positivi? La generazione di falsi positivi nella cybersecurity può avere un impatto su tutta o parte dell'azienda e generare una serie di malfunzionamenti nella catena decisionale dei sistemi informativi.
- Impatto sulle operazioni aziendali: l’avvio di azioni correttive automatiche legate ai falsi positivi può causare interruzioni del servizio. Analizzando erroneamente le informazioni, alcune soluzioni di protezione impediscono il funzionamento di uno strumento o l'accesso a una risorsa, entrambi legittimi. E quindi impediscono ai dipendenti di lavorare.
- Riduzione della fiducia nelle soluzioni di rilevamento: la generazione ripetuta di falsi positivi può portare a una perdita di fiducia dei dipendenti nelle soluzioni e nella protezione, e anche degli analisti nella pertinenza dei sistemi di rilevamento. Il tasso di utilizzo delle soluzioni, ma anche il livello di vigilanza, così diminuisce, favorendo l'emergere di minacce reali.
- Spreco di tempo e risorse: in un’era in cui il carico di lavoro dei team di sicurezza è già molto pesante, la presenza di falsi positivi comporta la necessità di effettuare controlli aggiuntivi. Questo passaggio inutile fa perdere tempo ed efficienza operativa, distogliendo gli esperti dai comportamenti che devono essere realmente prioritari. Nello stesso studio di Orca, più della metà degli intervistati ha dichiarato che in passato il proprio team ha perso avvisi critici a causa di un'inefficace definizione delle priorità degli alert, spesso su base settimanale o addirittura giornaliera.
Questo fenomeno si osserva anche negli ambienti industriali a causa di problemi di comunicazione, come riferisce Vincent Nicaise, responsabile dei partenariati e dell'ecosistema industriale di Stormshield: "Non è raro che venga programmata una manutenzione su una macchina senza che il team SOC sia stato informato in anticipo. In questo caso, il tecnico arriva sul posto ed esegue le sue modifiche. Questa operazione di manutenzione genera un traffico che può essere interpretato come un'anomalia dal team SOC. Viene quindi avviata un'indagine: il team SOC informa il team locale di una potenziale anomalia e richiede una verifica in loco. Ma alla fine si scopre che si trattava semplicemente di un'operazione di manutenzione e l'intera fase di rilevamento e verifica ha consumato tempo e risorse per nulla".
Allora come ridurre questi falsi positivi?
Dietro questa prima domanda se ne cela una più ampia, che include il rischio opposto di falsi negativi: dobbiamo bloccare troppo piuttosto che troppo poco? E dietro questa formula volutamente provocatoria si nasconde l'eterno dibattito che incombe sui progetti di sicurezza e persino sull'integrazione dei prodotti di sicurezza nelle operazioni quotidiane dei team. Perché se un prodotto di sicurezza blocca "troppo", in particolare utilizzi e programmi legittimi, il rischio è che il prodotto venga rifiutato dagli utenti stessi, che cercheranno di evitare il prodotto di sicurezza o addirittura di disinstallarlo... È tutta una questione di misura, spiega Edouard Simpère, Responsabile Threat Intelligence di Stormshield: "con un prodotto che blocca meno, il perimetro di sicurezza è giocoforza più ristretto, ma lo sono anche i rischi di blocco delle attività. E soprattutto, il prodotto non incontra la resistenza degli utenti. La linea di demarcazione tra comportamento dannoso e legittimo è a volte così sottile che, nel tentativo di bloccare gli aggressori, si finisce per bloccare sé stessi". E per rendere la protezione informatica più efficace, le soluzioni EDR vengono rafforzate; il focus non è più cercare di bloccare tutto a tutti i costi, ma di bloccare meglio, in reazione al rilevamento. In questo modo, gli utenti non vengono disturbati, perché il prodotto di sicurezza è trasparente e i dipartimenti IT (e di cybersecurity) ottengono i giusti avvisi di sicurezza.
La riduzione dei falsi positivi rimane comunque un tema rilevante: come possono i sistemi di sicurezza ridurli al minimo? La risposta sta nella regolazione dei criteri di rilevamento, nell'apprendimento e nell'intelligenza artificiale. Sulla base dei dati in tempo reale del traffico di rete e dei registri di sicurezza, i criteri di rilevamento verranno regolati e adattati alla realtà dell'azienda e ai suoi metodi operativi. Gli aggiornamenti regolari (o addirittura automatici) dei criteri di protezione predefiniti e dei database di sicurezza, così come la generazione di regole speciali per alcune applicazioni ampiamente utilizzate ma soggette a specifici trigger di falsi positivi, sono elementi chiave per la protezione delle aziende. Tuttavia, questo processo iterativo deve essere finemente controllato per non abbassare la soglia di rilevamento. E per completare la protezione, individuando nuove tecniche di attacco e i relativi comportamenti sospetti, è importante affidarsi alle analisi degli attacchi informatici e a strumenti specifici come MITRE ATT&CK. Tutte queste misure possono essere complesse e richiedono una conoscenza approfondita delle soluzioni di sicurezza, del funzionamento dei loro motori e dei log che inviano. Diverse altre strade a livello di comunicazione all'interno dell'azienda sono percorribili per contribuire a ridurre i falsi positivi senza ridurre il livello di protezione:
- Contestualizzare i dati in base alle attività in loco: i dati telemetrici devono essere contestualizzati in base all'ambiente di produzione. Senza contestualizzazione, infatti, i dati grezzi potrebbero essere interpretati in modo errato. Lato rete, ad esempio, il motore IPS (Intrusion Prevention System) si basa sull'analisi mirata dei protocolli dei pacchetti di rete. Un altro esempio a livello di terminali è la contestualizzazione delle connessioni Wi-Fi
- Comprendere meglio gli ambienti IT e OT: poiché ogni ambiente presenta caratteristiche tecniche specifiche, i meccanismi di rilevamento devono incorporare la nozione del contesto. Senza una comprensione preliminare, l'analista non sarà in grado di determinare se le informazioni segnalate sono legittime o meno.
- Stabilire lo stesso livello di comunicazione tra i team di sicurezza informatica e di produzione: solo stabilendo un processo di comunicazione rigoroso, ad esempio a livello di interventi e manutenzione, si possono evitare gli errori.
Falsi positivi: quali sono le prospettive future?
EDR, NDR, XDR, MDR: gli acronimi si moltiplicano, a testimonianza della specializzazione dell'approccio Detection & Response nei prodotti di cybersecurity. Inoltre, i team di Threat Intelligence e Threat Hunting stanno migliorando la nostra capacità di rilevare gli attacchi informatici più sofisticati. Questi team cercano gli Indicatori di attacco (IoA) e gli Indicatori di compromissione (IoC) con il duplice obiettivo di comprendere la minaccia e ridurre i falsi positivi. Va notato che, oltre al rilevamento, rimane essenziale che gli strumenti di protezione degli endpoint incorporino la capacità di bloccare la minaccia.
Lo sviluppo di un'architettura chiamata SOAPA (Security Operations and Analytics Platform Architecture) potrebbe essere un'altra risposta. Sviluppata da John Oltsik, analista principale di Enterprise Strategy Group nel 2016, l'architettura SOAPA è composta da diverse categorie di prodotti che consentono di raccogliere, elaborare, condividere e analizzare i dati in modo efficiente. Il vantaggio di questa architettura risiede nel fatto che gli alert vengono generati nel SOAR solo quando si ha la certezza che siano legittimi. Sebbene sulla carta questa soluzione possa arginare il problema, rimane la questione dei tempi di elaborazione.
Perciò, fino a quando questa architettura non diventerà la norma, le aziende dovranno continuare ad affidarsi alle buone pratiche e al buon senso per ridurre la superficie di attacco e applicare la bonifica automatica solo per gli asset IT più sensibili. L'implementazione di best practice nella gestione degli alert (utilizzo di analisi comportamentali correlate a un repository di cybersecurity in aggiunta a regole di rilevamento, automazione dei processi, formazione degli analisti, ecc.) unita a un ciclo di miglioramento continuo dei processi SOC può aumentare la capacità operativa di questo centro nevralgico della sicurezza informatica.
In risposta all'espressione "troppi dati uccidono i dati", l'automazione dell'analisi dei dati è un'opzione interessante. La formazione di algoritmi di intelligenza artificiale che tengano conto dei vincoli dell'ambiente di produzione potrebbe consentire di elaborare almeno gli avvisi più semplici, lasciando agli analisti i casi più complessi. Anche altre strade, come la messa in discussione della rilevanza dei dati e della loro durata, potrebbero contribuire a ridurre il volume generato. Tutti argomenti per articoli futuri.
