Hierarchie potřeb v kyberbezpečnosti – 7. část

Původně jsem chtěl napsat něco rozsáhlého k nedávnému útoku na FN Brno, jak se tomu dalo zabránit a jak se to dalo lépe řešit, ale věřím, že vše, co by mohlo pomoci, jsem už napsal v nedávném článku o ransomware. Jsem jen rád, že nedošlo k většímu omezení chodu nemocnice a zejména provádění testů v současné situaci. A teď už k hierarchii potřeb v kyberbezpečnosti.

Stále pokračujeme s třetí potřebou – potřebou detekce. V minulých částech jsme se podívali specificky na detekci vzorů a detekci anomálií, jak na dva přístupy vytváření detekčních metod a řekli jsme si něco o výhodách a nevýhodách těchto přístupů. V této části se budu věnovat vybraným obecným vlastnostem detekčních metod, které mají velký vliv na kvalitu a vhodnost dané konkrétní detekční metody, nezávisle na tom, zda jde o detekci vzorů nebo anomálii.

Ověřitelnost

První obecnou vlastností detekčních metod je ověřitelnost. Jednoduše řečeno jde o to, zda víme přesně, jak daná detekční metoda funguje a následně jsme schopni ověřit, že zdrojová data o viditelnosti, např. NetFlow, byla vyhodnocena odpovídajícím způsobem. V případě jednoduchých vzorů, jako jsou AV signatury nebo IDS pravidla, je to poměrně jednoduchý úkol.

Na druhou stranu, při použití strojového učení častokrát nevíme, proč jde o anomálii a v konečném důsledku je taková metoda pro nás blackbox a zůstává nám jen jí důvěřovat. Do procesu také vstupuje to, že obsah detekčních metod je častokrát obchodním tajemstvím výrobců různých kyberbezpečnostních řešení a je jen logické, že ho nechtějí zveřejňovat. Nicméně, čím lepší vhled do detekční metody máme, tím méně pochybností budeme mít o jejích výsledcích. Velmi blízko k ověřitelnosti má druhá důležitá vlastnost detekčních metod, kterou bych nazval přesností.

Přesnost

Tento název není možná zcela správný, ale musím se přiznat, že nic lepšího mě nenapadlo. Mohl jsem tuto vlastnost nazvat i chybovostí, ovšem pokud bychom to chtěli vzít z pohledu chybovosti, je to trochu složitější a hned vysvětlím proč.

Korektní detekce jsou buď ty, kde proběhne nějaká neautorizovaná operace a je detekována, nebo neautorizovaná operace neproběhne a není detekována. O těchto dvou případech se hovoří jako o true positive a true negative. Z toho plyne, že by mělo existovat něco, čemu se říká false positive a false negative, nebo také statistická chyba typu I a chyba typu II. Chybovost pak vztahujeme právě na poměr těchto chyb ke všem detekcím, tzv. false positive rate a false negative rate.

Při false positive se jedná o to, že autorizovaná operace je vyhodnocena jako neautorizovaná, čili prostě falešný poplach. U false negative naopak nedojde k detekci neautorizované operace čili poplach se neděje, i když by měl. Nelze obecně říci, že by jeden typ chyby byl horší než druhý, stále závisí na konkrétních implikacích a požadavcích použití dané detekční metody.

Ilustrovat to můžeme např. na metodě, která vyhodnotí vícenásobné chybné přihlášení k serveru za nějaký čas jako útok. Pokud zvolíme příliš malé číslo a dlouhý časový interval, např. 3 chybné přihlášení za 5 minut, bude se nám často stávat, že se prostě někdo 3 krát splete nebo nechá špatné heslo v nějakém automatizovaném skriptu, čili máme relativně vysoký false positive rate a často budeme řešit falešné poplachy. Navíc nemusí jít ani o důležité servery. Naopak, pokud jde o server s citlivými daty, tam už nás může zajímat i jedno nesprávné přihlášení a nemůžeme si dovolit takový útok nedetekovat, čili potřebujeme snížit false negative rate, přičemž false positive rate není až tak důležitý. Podobně to bude při různých dalších detekčních metodách a jak jsem psal výše, stále záleží zejména na tom, jaké dopady, při našich požadavcích a v našem prostředí, chybná (ne) detekce může mít.

Můžeme hovořit i o dalších vlastnostech, jakými mohou být rychlost, možnost konfigurace apod., ale tyto jsou již záležitostí konkrétního technického provedení, zatímco ověřitelnost a přesnost jsou záležitostí návrhu detekčních metod jako takových, nezávisle na technickém provedení.

Ověřitelnost a přesnost, jako vlastnosti podmiňující kvalitu a vhodnost dané detekční metody, hrají velmi významnou roli v dalším stupínku hierarchie potřeb – Triage, o kterém si více řekneme v následující části.

Dávid Kosť, Lead Security Analyst, Axenta a.s.

Peter Jankovský, CTO, Axenta a.s.

Další články společnosti Axenta:

Hierarchie potřeb v kyberbezpečnosti – 1.část

Hierarchie potřeb v kyberbezpečnosti – 2. část

Hierarchie potřeb v kyberbezpečnosti – 3. část

Hierarchie potřeb v kyberbezpečnosti – 4.část

Jak se nenechat vydírat ransomwarem

Hierarchie potřeb v kyberbezpečnosti – 5. část

Hierarchie potřeb v kyberbezpečnosti – 6. část

V Brně bylo otevřeno první Junior Centrum Excelence pro kybernetickou bezpečnost v ČR

Axenta, bezpečnost, CyberSOC, kyberbezpečnost, partner, SIEM, SOC
security

security

Nejčastější chybou při přihlašování je opakované použití stejných hesel

Společnost GFI Software, dodavatel řešení bezpečnosti v podnikových sítích, uvedla, že podle jejího dotazování provedeného mezi českými a slovenskými partnery, je nejbezpečnějším způsobem přihlašování k

ČÍST DÁLE »

Radek Vyškovský 16 května, 2024

security

Češi se obávají kybernetických hrozeb více než krádeže osobních věcí

Češi považují kybernetické hrozby za vážnější než ty fyzického typu, například v podobě krádeže osobních věcí. Za největší riziko považuje 77 % respondentů podvody při

ČÍST DÁLE »

Radek Vyškovský 15 května, 2024

security

Black Basta Ransomware zasahuje 500+ subjektů v Severní Americe, Evropě a Austrálii

Operace Black Basta ransomware-as-a-service (RaaS) se od svého vzniku v dubnu 2022 zaměřila na více než 500 subjektů soukromého průmyslu a kritické infrastruktury v Severní

ČÍST DÁLE »

Radek Vyškovský 13 května, 2024