El concepto de falsos positivos ha sido empujado y tirado durante años en la industria de la ciberseguridad. Innumerables estudios patrocinados por proveedores refuerzan la idea de que los falsos positivos contribuyen directamente al problema de la fatiga de alerta. Y como proveedor de seguridad, no sorprende que una de las principales preguntas candentes en la mente de nuestros clientes sea: "¿Cuál es nuestra tasa de falsos positivos?"
No hay duda de que los analistas de seguridad y los administradores de TI se sienten frustrados por un aluvión constante de alertas. Pero los falsos positivos no son los únicos culpables; la razón se debe en gran medida a una lógica de detección mal orientada. Sin equipos experimentados y grandes conjuntos de datos, enfocarse en la detección de amenazas puede resultar en grandes volúmenes de ruido. Y debido a que la naturaleza del trabajo administrativo también puede superponerse con los patrones de los atacantes, el esfuerzo para ajustar o crear una identificación de amenazas basada en firmas o comportamientos requiere tiempo y esfuerzo que la mayoría de las organizaciones no tienen.
Además, estas alertas generadas por la lógica son algo a lo que la industria se vuelve adicta rápidamente. Si anteriormente vio cientos de alertas de un análisis externo del sistema de prevención de intrusiones de su firewall y ahora ve cero, puede ser difícil aceptar que se trataba de un ruido de fondo en lugar de un problema importante.
La importancia de monitorear los comportamientos
Si su administrador de contraseñas genera un comportamiento de rociado de contraseñas, eso no es un falso positivo: es un hallazgo sin acción que puede requerir una lista segura y un ajuste de la lógica de detección para reducir el ruido y mejorar la precisión. Sin embargo, históricamente, la mayoría de las personas en la industria están capacitadas para pensar: “¿No es una amenaza activa? Debe ser un falso positivo.
Deberíamos replantear ese pensamiento a, “¿Qué está creando estos comportamientos? ¿Ocurrió el comportamiento y me importa que sucediera/suceda de nuevo?” Al orientar su metodología a lo que quiere ver en torno al comportamiento negativo, hace que sea más fácil mantener en general una alta tasa de verdaderos positivos. Cuando las organizaciones combinan el esfuerzo de cumplimiento o alertas de infraestructura con la detección de amenazas, este comportamiento puede crecer rápidamente dentro de los equipos. En general, la industria está entrenada a través de la repetición para ignorar o molestarse con las alarmas fuertes que no son correctas.
Este comportamiento tiende a expandirse hacia la detección de amenazas debido a la naturaleza de las alertas y puede resultar rápidamente en oportunidades perdidas para detener las amenazas. Puede ser fácil pensar que está ignorando algo que ha visto antes; quizás un archivo de su entorno de Internet Information Services (IIS) que parece una actividad normal de Exchange está ejecutando una gran cantidad de POST e interactúa con cmd.exe. Asumir que se trata de un ruido normal porque se ha visto algo similar antes e inmediatamente saltar a "falso positivo" puede dar lugar a situaciones en las que no se responde a una infracción de manera oportuna. Dado que los defensores deben actuar con rapidez, la necesidad de detenerse y revisar sin prejuicios es más importante que nunca.
Los atacantes solo pueden realizar una cantidad finita de acciones para obtener acceso a un entorno, aunque los atacantes están adaptando sus metodologías para evadir las herramientas antivirus y de detección de puntos finales. Estos métodos podrían incluir el uso de IEX en PowerShell, o podrían ser patrones asociados con Word generando procesos inesperados. A menudo, cuando un atacante ha aterrizado con éxito un documento de Word malicioso en un entorno, tendrá una macro que contiene la lógica del ataque real. Cuando el usuario habilita las macros en su máquina, Word ejecuta inmediatamente el Visual Basic Script dentro del documento de una manera que generalmente no es identificable por el usuario o el antivirus a menos que se vea comúnmente.
Cuando se ejecuta ese script, da como resultado que el proceso de Word real (winword.exe) genere otros procesos como cmd.exe o powershell.exe para cargar su puerta trasera en la máquina. Los cargadores de puerta trasera como Cobalt Strike son muy buenos para evitar los sistemas antivirus, y los atacantes suelen actualizar Cobalt Strike y kits de explotación similares para evadir firmas continuamente. Al buscar Word que genera estos procesos, los defensores pueden identificar rápidamente cuándo una macro o un usuario está realizando acciones maliciosas o al menos extrañas dentro del entorno de Word.
La detección pura basada en firmas es importante, pero las herramientas de seguridad deberían centrarse más en las amenazas potenciales. comportamientos. Las detecciones que le indican cuándo una dirección IP ha intentado y no ha podido iniciar sesión en al menos 20 usuarios en el controlador de dominio o en el host durante un período de 10 minutos siempre le indicarán que se está produciendo un patrón de difusión de contraseñas. Sin embargo, decirle que 20 usuarios no pudieron iniciar sesión durante un período de 10 minutos es una detección de falso positivo garantizada en la mayoría de los casos, y esto sucede mucho más de lo que la mayoría de las organizaciones creen. Si bien esta puede ser información útil, los informes diarios sobre inicios de sesión de usuarios fallidos lo ayudarán a resolver problemas operativos, mientras que la detección basada en el comportamiento respaldará su esfuerzo para detener las amenazas rápidamente.
Desarrollo de la madurez de la seguridad a través de la detección
La realidad es que las detecciones derivadas de los propios productos siempre tienen algún bache de falsos positivos. Las herramientas de punto final que se basan en la detección de IA, por ejemplo, nunca serán perfectas, ni pueden serlo, y encontrarán cosas que no son amenazas, especialmente en situaciones donde la ingeniería se lleva a cabo internamente.
En ese momento, es importante que decida si tiene tiempo para revisar este tipo de hallazgos o, si solo desea revisar las amenazas positivas para sus entornos, ya sean comportamientos de Sysmon o detecciones generales de CrowdStrike.
De cualquier manera, monitorear los comportamientos siempre conducirá al crecimiento de la madurez de la seguridad interna. A medida que monitorea los comportamientos, comenzará a reconocer patrones y desarrollará una comprensión más profunda de lo que sucede dentro de su red. Tener esa visibilidad es uno de los primeros pasos para madurar la postura de seguridad de su organización.
