Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het gedachtegoed van de redactie.

Zo stemt een soc zijn signaal-ruisverhouding af

Dit artikel delen:

Computable Expert

Sjoerd de Jong
Sales Engineer, SentinelOne. Expert van Computable voor de topics Mobility en Security.

Vraag een securityanalist naar een frustratie en je hoort niet zelden 'alert-vermoeidheid’. Het identificeren van de indicatoren voor ernstige dreigingen en het tegelijkertijd negeren en afhandelen van false positives blijft een worsteling. Wetenschappers hebben een naam voor deze balans tussen nuttige en irrelevante gegevens: de signaal-ruisverhouding.

Het signaal is de belangrijke data, terwijl de ruis al het andere is; de witte ruis die in de weg zit. Als de signaal-ruisverhouding te laag is, overstemt de ruis wat belangrijk is. Allerlei experts, van radio-operators tot genoomwetenschappers, worstelen met dit probleem.

Het verbeteren van de signaal-ruisverhouding is ook een probleem voor moderne incidentresponse-teams die te maken hebben met informatie-overload. Ze worden overspoeld met data over gebeurtenissen op het netwerk. Het doorzoeken van alle systemen op echte dreigingen kost veel moeite. Soms falen ze, met mogelijk desastreuze gevolgen.

Het probleem

"Soc's hebben veel moeite bij het vinden van voldoende talent om de stroom van gegevens uit steeds complexere infrastructuren het hoofd te bieden"

Het probleem waarmee soc's worden geconfronteerd, is tweeledig. Het eerste probleem is datavolume. Moderne netwerken brengen grote stromen aan gegevens voort. Betere netwerktelemetrie verhoogt dat volume ieder jaar. Het resultaat is een overschot aan alerts, die we 'kandidaat-signalen' kunnen noemen. Dit zijn interessante datapunten die nader onderzoek kunnen rechtvaardigen.

Dit wordt nog verergerd door het tweede probleem: schaarste van kundig personeel. Soc's hebben veel moeite bij het vinden van voldoende talent om de stroom van gegevens uit steeds complexere infrastructuren het hoofd te bieden. Zonder die handmatige vaardigheden zijn velen overbelast en niet in staat om uit die grote stroom data die binnenkomt de intelligentie te destilleren die ze nodig hebben. De natuurlijke reactie als je niet genoeg van een signaal ontvangt, is om meer gegevens toe te voegen. Voor veel soc's betekent dit dat er meer tools en telemetrie moeten worden aangeschaft, meestal in de vorm van endpoint detection and response (edr)- of endpoint protection platform (epp)-producten.

Dit is de verkeerde benadering. Veel incidentresponsplatforms van soc's zijn al onsamenhangend en bevatten tools van verschillende leveranciers die in de loop van de tijd zijn aangeschaft en die niet goed samenwerken. Dit maakt het moeilijk om een totaalbeeld te krijgen van het incidentresponsproces, en in de meeste gevallen voorkomt het ook dat soc-operators interessante telemetrie-onderzoeken aan elkaar doorgeven.

Het toevoegen van deze platforms kan leiden tot relevantere signalen, maar het helpt soc's niet om ze te herkennen. Het zal het tegenovergestelde in de hand werken: het creëren van meer ruis die de nuttige signalen overstemt. Elke poging om het SOC te repareren door meer gegevens te genereren, versterkt het onderliggende probleem.

Als de signaal-ruisverhouding laag blijft, wordt de groei van netwerktelemetrie een grotere risicofactor. Door een slechte filtering van het kandidaat-signaal weten operators niet waar ze moeten beginnen, waardoor ze echte, tijdkritische aanvallen over het hoofd zien. De resultaten kunnen rampzalig zijn.

De oplossing

Het genereren van meer gegevens is voor soc’s geen oplossing. In plaats daarvan moeten ze het onderliggende probleem aanpakken. Ze moeten betere manieren vinden om de juiste signalen te herkennen in de gegevens die ze al hebben. Dat betekent dat ze de signaal-ruisverhouding moeten wijzigen.

In de praktijk betekent dit het verminderen van het aantal kandidaat-signalen. Soc-platformen moeten soc-analisten minder waarschuwingen geven, zodat ze hun aandacht kunnen richten op wat er echt toe doet.

De sleutel tot het verhogen van de signaal-ruisverhouding is een strak geïntegreerde end-to-end tool chain. Dit is een set tools die naadloos samenwerkt met weinig overlap, en die allemaal soepel gegevens met elkaar kunnen uitwisselen gedurende de gehele cyclus van detectie, isolatie, mitigatie, remediation en analyse na incidenten.

Deze aanpak helpt op verschillende manieren. Ten eerste vermindert het de ruis van verschillende tools die elkaar anders zouden overlappen. Dit elimineert de schaduwsignalen die operators (die toch al druk zijn) kunnen afleiden.

Het correleert ook gebeurtenissen en waarschuwingen tot incidenten. Dit zijn grotere, beter zichtbare gegevenselementen die gemakkelijker te volgen zijn. Dit geeft analisten een top-down-overzicht van kandidaat-signalen zonder zich door low-level-events te hoeven loodsen en deze handmatig te correleren.

Ten slotte stelt het soc's in staat om de detectie, analyse en rapportage van incidenten beter te automatiseren. Deze automatisering is een belangrijk onderdeel van het correlatieproces voor gebeurtenissen. Een goed gevormde keten van tools detecteert kandidaat-signalen vroegtijdig en ontwikkelt ze door verschillende analysefasen. Dit stelt een soc-team in staat kwaadaardige signalen tijdig te escaleren of direct te negeren wanneer ze goedaardig blijken te zijn. Dit helpt om veel incidenten automatisch te mitigeren, zonder dat er een menselijke factor op het kritieke pad nodig is. Dit zorgt ervoor dat specialisten zich kunnen concentreren op  waarschuwingen die wél hun aandacht nodig hebben.

Het resultaat

"De hogere signaal-ruisverhouding verschijnen op schermen van analisten, waardoor hun cognitieve belasting wordt verminderd"

Soc's die in tool chain-integratie investeren, zullen profiteren van een kleinere, verfijnde set waarschuwingen die wordt geleverd met de juiste gegevens, klaar voor menselijke operators om er efficiënt mee om te gaan.

Deze hogere signaal-ruisverhouding wordt weergegeven op schermen van analisten, waardoor hun cognitieve belasting wordt verminderd. Het betekent minder incidenten die onderzoek behoeven en daarmee kortere opsporingstijden. Dit zal leiden tot betere resultaten voor soc's in de vorm van kortere doorlooptijd voor het mitigeren en oplossen van een incident en een algehele verkorting van de responstijden. Idealiter voorkomt dit dat aanvallers in de buurt van uw infrastructuur komen, maar in het geval van een succesvolle aanval kan het ook de tijd verkorten dat de aanvaller binnen is, waardoor het effect van de aanval wordt verzacht.

Als het gaat om het afhandelen van snel bewegende cyberbeveiligingsincidenten, kan de scherpere focus vanwege een minder rommelige dataset het verschil maken tussen een incident onder controle houden voordat het schade aanricht, en de krantenkoppen halen om de verkeerde redenen.

De verandering

Dit optimalisatieproces moet zo vroeg mogelijk in het incidentresponsproces beginnen. Hoe langer het soc de afhandeling van minder relevante kandidaat-signalen uitstelt, hoe meer ze zich zullen verspreiden en hoe moeilijker het zal zijn om te onderscheiden wat echt belangrijk is. Door kandidaat-signalen zo snel mogelijk af te handelen, worden analisten vrijgemaakt om hun vaardigheden toe te passen op de signalen die ertoe doen. In een branche waar het moeilijk is aan talent te komen, is het absoluut noodzakelijk om die analisten zo productief mogelijk te houden.

Met dat in gedachten is dit het moment om de procesketen te herzien en op zoek te gaan naar verbetermogelijkheden. Neem even de tijd en doe een stap terug om uw algehele toolset en teamstructuur te onderzoeken. Op een gegeven moment zult u misschien merken dat het genereren van meer telemetrie resultaten oplevert, maar alleen als u over de mogelijkheden beschikt om de ruis snel te verwijderen. Tot die tijd geldt ‘less is more’.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Uw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met uw persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden
Nieuwsbrief

Wil je dagelijks op de hoogte gehouden worden van het laatste ict-nieuws, trends en ontwikkelingen? Abonneer je dan op onze gratis nieuwsbrief.

Vul een geldig e-mailadres in

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2021-03-19T15:40:00.000Z Sjoerd de Jong
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.