Yanlış pozitifler kavramı, siber güvenlik endüstrisinde yıllardır itilip kakıldı. Tedarikçi sponsorluğundaki sayısız araştırma, yanlış pozitiflerin uyarı yorgunluğu sorununa doğrudan katkıda bulunduğu fikrini güçlendiriyor. Ve bir güvenlik sağlayıcısı olarak, müşterilerimizin kafasındaki en önemli sorulardan birinin “Yanlış pozitif oranımız nedir?” olması şaşırtıcı değil.
Güvenlik analistlerinin ve BT yöneticilerinin hayal kırıklığına uğradığına hiç şüphe yok. sürekli bir uyarı barajı. Ancak yanlış pozitifler yalnızca suçlu değildir; nedeni büyük ölçüde kötü hedeflenmiş algılama mantığından kaynaklanmaktadır. Deneyimli ekipler ve büyük veri kümeleri olmadan, tehdit algılamayı hedeflemek büyük hacimlerde gürültüye neden olabilir. Yönetimsel çalışmanın doğası da saldırgan kalıplarıyla örtüşebileceğinden, davranış veya imza tabanlı tehdit tanımlamasını ayarlama veya oluşturma çabası, çoğu kuruluşun sahip olmadığı zaman ve çabayı gerektirir.
Üstelik mantığın ürettiği bu uyarılar, endüstrinin hızla bağımlı hale geldiği bir şey. Daha önce güvenlik duvarınızın izinsiz giriş önleme sisteminden yapılan harici bir taramadan yüzlerce uyarı gördüyseniz ve şimdi sıfır görüyorsanız, bunun önemli bir sorundan ziyade arka plan gürültüsü olduğunu kabul etmek zor olabilir.
Davranışları İzlemenin Önemi
Parola yöneticiniz parola püskürtme davranışıyla sonuçlanıyorsa, bu yanlış bir pozitif değildir – paraziti azaltmak ve doğruluğu artırmak için güvenli listeleme ve algılama mantığının ayarlanmasını gerektirebilecek eylemsiz bir bulgudur. Bununla birlikte, tarihsel olarak, sektördeki çoğu insan, “Aktif bir tehdit değil mi? Yanlış bir pozitif olmalı” diye düşünmek üzere eğitilmiştir.
Bu düşünceyi, “Bu davranışları yaratan nedir? Davranış gerçekleşti mi ve bunun tekrar olmasını/olmasını umursuyor muyum?” şeklinde yeniden çerçevelendirmeliyiz. Metodolojinizi olumsuz davranış etrafında görmek istediklerinize hedefleyerek, genellikle yüksek bir gerçek-pozitif oranı korumayı kolaylaştırır. Kuruluşlar, uyumluluk veya altyapı uyarısı çabalarını tehditlerin tespiti ile birleştirdiğinde, bu davranış ekipler içinde hızla büyüyebilir. Genel olarak endüstri, doğru olmayan yüksek sesli alarmları görmezden gelmek veya bunlara sinirlenmek için tekrarlama yoluyla eğitilmiştir.
Bu davranış, uyarının doğası gereği tehdit algılamaya yayılma eğilimindedir ve tehditleri durdurmak için hızla kaçırılan fırsatlarla sonuçlanabilir. Daha önce gördüğünüz bir şeyi görmezden geldiğinizi düşünmek kolay olabilir; normal Exchange etkinliği gibi görünen Internet Information Services (IIS) ortamınızdaki bir dosya, çok sayıda POST yürütüyor ve cmd.exe ile etkileşim kuruyor olabilir. Benzer bir şey daha önce görüldüğü için bunun normal bir gürültü olduğu varsayımı yapmak ve hemen “yanlış pozitif”e atlamak, bir ihlale zamanında yanıt verilmediği durumlarla sonuçlanabilir ve sonuçlanmıştır. Savunucuların hızlı hareket etmesi gerektiğinden, durup önyargısız inceleme ihtiyacı her zamankinden daha önemli.
Saldırganlar, metodolojilerini antivirüs ve uç nokta algılama araçlarından kaçmak için uyarlıyor olsa da, saldırganlar bir ortama erişim sağlamak için yalnızca sınırlı sayıda eylem gerçekleştirebilir. Bu yöntemler, PowerShell’de IEX’in kullanılmasını içerebilir veya Word’ün beklenmedik süreçler oluşturmasıyla ilişkili kalıplar olabilir. Genellikle bir saldırgan kötü amaçlı bir Word belgesini bir ortama başarıyla indirdiğinde, gerçek saldırı mantığını içeren bir makroya sahip olur. Kullanıcı kendi makinesinde makroları etkinleştirdiğinde, Word, genellikle kullanıcı veya antivirüs tarafından yaygın olarak görülmedikçe genellikle tanımlanamayan bir şekilde Visual Basic Komut Dosyasını belge içinde çalıştırır.
Bu komut dosyası çalıştırıldığında, gerçek Word işleminin (winword.exe) arka kapılarını makinenin kendisine yüklemek için cmd.exe veya powershell.exe gibi diğer işlemleri ortaya çıkarmasına neden olur. Cobalt Strike gibi arka kapı yükleyicileri, virüsten koruma sistemlerinden kaçınmakta çok iyidir ve saldırganlar, sürekli olarak imzalardan kaçınmak için Cobalt Strike ve benzeri açıklardan yararlanma kitlerini günceller. Savunucular, bu süreçleri oluşturan Word’ü arayarak, bir makronun veya kullanıcının Word ortamında kötü niyetli veya en azından garip eylemler gerçekleştirdiğini hızlı bir şekilde belirleyebilir.
Saf, imza tabanlı algılama önemlidir, ancak güvenlik araçları daha çok potansiyel tehditlere odaklanmalıdır. davranışlar. Bir IP adresinin 10 dakikalık bir süre boyunca etki alanı denetleyicisinde veya ana bilgisayarın kendisinde en az 20 kullanıcıya giriş yapmaya çalıştığını ve başarısız olduğunu bildiren algılamalar, size her zaman bir parola püskürtme modelinin oluştuğunu söyleyecektir. Bununla birlikte, size 20 kullanıcının 10 dakikalık bir süre içinde giriş yapmadığını söylemek, çoğu durumda garantili bir yanlış pozitif algılamadır – ve bu, çoğu kuruluşun fark ettiğinden çok daha fazla olur. Bu yararlı bilgiler olsa da, başarısız kullanıcı oturum açmalarına ilişkin günlük raporlama, operasyonel sorunları çözmenize yardımcı olurken, davranışa dayalı algılama, tehditleri hızla durdurma çabalarınızı destekleyecektir.
Algılama Yoluyla Güvenlik Olgunluğu Oluşturma
Gerçek şu ki, ürünlerin kendilerinden elde edilen tespitler her zaman yanlış pozitiflerde bir miktar artışa sahiptir. Örneğin, AI tespitine dayanan uç nokta araçları asla mükemmel olmayacak – ve olamazlar – ve özellikle mühendisliğin kurum içinde gerçekleştiği durumlarda tehdit olmayan şeyleri bulacaktır.
Bu tür bulguları gözden geçirmek için zamanınız olup olmadığına veya yalnızca ortamlarınıza yönelik olumlu tehditleri gözden geçirmek istiyorsanız, bunların Sysmon’dan gelen davranışlar mı yoksa genel CrowdStrike algılamaları mı olduğuna karar vermeniz bu noktada sizin için önemlidir.
Her iki durumda da, izleme davranışları her zaman iç güvenlik olgunluğu büyümesine yol açacaktır. Davranışları izledikçe, kalıpları tanımaya ve ağınızda neler olup bittiğine dair daha derin bir anlayış geliştirmeye başlayacaksınız. Bu görünürlüğe sahip olmak, kuruluşunuzun güvenlik duruşunu olgunlaştırmanın ilk adımlarından biridir.