Gli avvisi critici arrivano prima del caffè
Sono le 6:45 del mattino. Suona la sveglia e ti alzi dal letto in una camera da letto avvolta dal grigio intenso dell'alba. La prima cosa che fai è controllare le notifiche sul tuo telefono. Accidenti. È stato rilevato un allarme P0 e Danny, l'analista con sede nell'area EMEA che ha lavorato nel turno prima del tuo, si è già disconnesso. Non lo biasimi: i suoi genitori sono in visita. Quindi ti affretti a svolgere la tua routine mattutina e rinunci a mettere la caffettiera sul fornello. Andrà tutto bene: succede spesso e gli allarmi P0 ti scuotono sempre abbastanza da farti uscire dal torpore mattutino.
La notifica e-mail con l'allerta P0 rientra nella tua area geografica e nell'area di competenza assegnata, EDR, quindi la assegni a te stesso. Rapidamente, poiché il tempo è essenziale quando si tratta di avvisi critici, passi alla fase successiva: l'indagine. Utilizzando gli strumenti disponibili sulla piattaforma da cui proviene il rilevamento, esamini i registri e cerchi di rispondere mentalmente alle 3 domande principali di qualsiasi indagine sulle minacce alla sicurezza: 1) chi è stato, 2) cosa ha fatto e 3) perché sono stato avvisato.
Circa 45 minuti dopo, dopo aver consultato diversi strumenti e scorrendo molte righe di log, è possibile confermare che questo rilevamento era un vero positivo ma benigno. C'era un'attività sospetta, ma non era dannosa. Si rimuove il rilevamento dalla coda e si prende nota di scrivere un rapporto su questo avviso.
Guardi l'orologio: sono le 7:42 del mattino. Finalmente è ora di prendere un caffè, giusto in tempo per la riunione delle 8. Non pensi affatto alle altre 10 segnalazioni in coda.
Il segnale di allarme che gridava "al lupo" era in realtà un lupo
Una settimana dopo, ti senti bene. Hai trovato un certo ritmo anche con il numero schiacciante di avvisi in arrivo; hai gestito tutti gli avvisi prioritari durante il tuo turno e hai scritto alcune regole chiare e precise per evitare di ricevere notifiche per quegli avvisi positivi benigni che continuano ad arrivare. Anche il tuo manager ti ha dato una pacca virtuale sulla spalla per aver individuato lo schema di quei veri positivi e aver implementato una soluzione permanente per alleggerire il carico di lavoro di tutti.
Anche se ti stai godendo il successo di uno sprint SOC e finalmente ti stai godendo un pranzo che non consiste nell'alternare bocconi di sandwich e scorrimento dei log per indagare su un rilevamento, qualcosa non ti convince. Forse ti sei perso un avviso P1, ma no, non può essere perché il tuo collega te lo avrebbe segnalato. Forse hai lasciato acceso il bollitore del caffè. Dai un'occhiata: no, è stato spento ore fa.
È tutto tranquillo. La coda degli avvisi contiene una serie di rilevamenti, ma non sono prioritari e possono essere gestiti dopo pranzo. Non ci sono allarmi evidenti né segnalazioni in rosso. È tutto tranquillo. Decidi che è proprio questa tranquillità a disturbarti.
Un'ora dopo, stai sbrigando rapidamente i rilevamenti in coda. Quasi tutti non sono dannosi. Sembra una passeggiata e provi grande soddisfazione nel chiuderli uno dopo l'altro. Aggiorni il browser e ti siedi a guardare il buffer e il rendering dell'interfaccia utente. Valuti di concederti una conclusione anticipata della giornata. Magari potresti andare in palestra, dove ti sei iscritto mesi fa ma non hai mai avuto tempo di andare.
L'interfaccia utente termina l'aggiornamento e ti ritrovi davanti una serie di banner rossi che indicano una moltitudine di rilevamenti ad alta priorità. Ti si stringe lo stomaco. Che cosa è successo?
Il tuo team sta inviando messaggi nella chat di gruppo. Nessuno capisce cosa stia succedendo e perché la piattaforma sia stata improvvisamente inondata di avvisi ad alta priorità. C'è un crescente senso di panico da parte di tutti, te compreso. Forse tu più di tutti, perché quando clicchi su ogni rilevamento, ti accorgi che molti dei log ti sembrano familiari. Gli ID, i dispositivi, i sistemi operativi: tutto ti sembra familiare. Ma ovviamente le regole che hai scritto per bloccarli non hanno funzionato, perché erano uniche e gli attuali rilevamenti, evidenziati in rosso, li hanno riuniti tutti insieme.
Tutto ciò ha portato a un grave attacco alla sicurezza che ha sconvolto il mondo degli affari.
Cosa è andato storto
Dopo giorni di lavoro incessante per rispondere e porre rimedio alla situazione, tu e il tuo team siete riusciti a bloccare l'attacco impedendogli di causare ulteriori danni. Nessuna parte dell'azienda è stata compromessa, il che è sicuramente un successo per tutti. Ma è stata un'esperienza stressante e opprimente e, accidenti, cosa è andato storto?
Inizialmente ti senti in colpa per aver potenzialmente etichettato un rilevamento come positivo benigno, ma il tuo lavoro è stato controllato e verificato da altre due persone del tuo team. Quando sei tornato indietro, si è trattato effettivamente di un positivo benigno ed è stato gestito di conseguenza. Quindi dai la colpa alla piattaforma. Qualcosa nel suo algoritmo o nella sua segnalazione non ti ha permesso di svolgere correttamente il tuo lavoro, ma sai che la stai solo usando come capro espiatorio.
Mentre esamini gli eventi e i dati dei tre giorni precedenti e redigi un rapporto post mortem, noti come i rilevamenti convergano in un unico attacco e ti rendi conto che non sei stato tu né la piattaforma a causare l'errore e la confusione: il problema risiede nei rilevamenti stessi.
Le rilevazioni sono numerose, soprattutto isolate e provenienti da varie superfici di attacco. In genere si dedica la maggior parte del tempo a una piattaforma che raccoglie informazioni da queste varie superfici di attacco, ma si tratta di una grande quantità di informazioni e alla fine si finisce comunque per ricorrere a questi strumenti. Il problema risiede nel numero di rilevazioni: erano semplicemente troppe e molte di esse avevano una priorità bassa, quindi non si prestava loro tutta l'attenzione necessaria.
Ma come avresti potuto saperlo? Erano considerati minori e tu avevi altre cose da fare. Quindi, cosa può risolvere questo dilemma?
Il quadro generale
Gli avvisi e i rilevamenti non tengono conto del quadro generale: gli aggressori sono intelligenti e adattabili, il che significa che passeranno da un luogo all'altro, sfrutteranno le lacune nella copertura e le backdoor non protette e si presenteranno come rilevamenti solo leggermente pericolosi prima di raccogliere tutte le informazioni necessarie per un attacco su larga scala.
È qui che la prioritizzazione basata sulle entità può risolvere il problema. Un'entità non è un avviso né un rilevamento. È un insieme di eventi correlati che rientrano in un'unica entità. In alcuni casi, include host, account e rilevamenti. Grazie alle entità, gli analisti possono avere una visione più ampia e individuare gli aggressori che agiscono nel lungo periodo.
Come analista SOC, hai completamente frainteso la situazione. Non è colpa tua. È il modo in cui le tecnologie di sicurezza considerano gli avvisi e i rilevamenti. Una volta che le tecnologie adotteranno un tipo di prioritizzazione che antepone le entità agli avvisi e ai rilevamenti, non solo ti ritroverai con meno avvisi da monitorare e gestire, ma potrai anche individuare più falsi positivi a un ritmo più veloce e con maggiore sicurezza.
E, cosa più importante, potrai goderti la tua tazza di caffè al mattino.