Cyber security e falsi positivi: si può migliorare l’analisi della sicurezza senza tradurla in migliaia o a volte milioni di avvisi al giorno che da soli non forniscono informazioni sufficienti?

La frase “falso positivo” suggerisce che ci sia un positivo che si è dimostrato falso. Tuttavia, come detto sopra, queste singole prove, senza contesto o correlazioni, non sono mai utilizzabili da sole. Per dimostare infatti che un allarme positivo, bisogna raccogliere, analizzare e contestualizzare le prove di supporto necessarie. Rispondere ai falsi allarmi – secondo una ricerca fornita dal Ponemon Institute – le organizzazioni sprecano in media 1,27 milioni di dollari ogni anno.

Dei 17.000 avvisi malware che un’organizzazione riceve ogni settimana, solo 3.230 sono considerati affidabili e solo 680 degli avvisi vengono effettivamente esaminati.

FireEye – Security Alerts: Stop the Noise

La società di cyber security Fire Eye nel rapporto “The Voice of the Analysts: Improving Security Operations Center Processes Through Adapted Technologies”, rileva che gli analisti stanno diventando “meno produttivi” a cauasa della diffusa “stanchezza degli avvisi” con conseguente allarme ignorato, aumento dello stress e paura di non rilevare minacce e di non poter prevenire gli incidenti. Ma nel rapporto vengono evidenziate anche le attività principali che gli stessi analisti ritengono sia meglio automatizzare per proteggere meglio i loro Centri operativi di sicurezza (SOC).

“Gli analisti della sicurezza sono sopraffatti da una marea di falsi avvisi positivi da soluzioni disparate, mentre crescono sempre più preoccupati di poter perdere una vera minaccia. Per risolvere queste sfide, gli analisti chiedono strumenti di automazione avanzati, come extended detection e response, che possano contribuire a ridurre la paura di incidenti mancanti rafforzando al contempo la sicurezza informatica del loro SOC.”

Chris Triolo, Vice President of Customer Success di FireEye.

Cyber Security: ridurre i falsi positivi

Gli intervistati hanno condiviso per il report gli strumenti principali che utilizzano per le loro analisi. Meno della metà utilizza tecnologie di intelligenza artificiale e machine learning (43%) ), strumenti soar (Security Orchestration Automation and Response), software SIEM (Security Information and Event Management) (45%) e altre funzioni di sicurezza.
Per ridurre l’affaticamento da “falsi positivi” e gestire i propri SOC, i team di sicurezza hanno bisogno di soluzioni automatizzate avanzate. Le soluzioni avanzate e meglio automatizzate permettono un rilevamento delle minacce più alto (18%), seguito dall’intelligence sulle minacce (13%) e dal triage degli incidenti (9%).

Il report di FireEye evidenzia che la maggior parte delle soluzioni di sicurezza informatica non distingue tra malware quotidiano e attacchi mirati avanzati. in questo modo gli avvisi importanti vengono confusi o persi con gli avvisi non importanti, consentendo agli attacchi di violare la sicurezza della rete.

Le procedure consigliate da FireEye sono:

• Ridurre i falsi positivi e consolidare gli eventi correlati
• Verificare, analizzare e fornire il contesto per gli avvisi
• Allineare la sicurezza ai rischi aziendali
• Assegnare priorità ed evidenziare gli avvisi importanti

Ci sono tuttavia delle soluzioni di sicurezza come software che raccolgono le singole prove, pesandole e analizzandole e contestualizzandole. Software che diminuisicono i falsi positivi collegando collega i punti di tutti i vari eventi di sicurezza, creando un quadro chiaro di una violazione.