Původně jsem chtěl napsat něco rozsáhlého k nedávnému útoku na FN Brno, jak se tomu dalo zabránit a jak se to dalo lépe řešit, ale věřím, že vše, co by mohlo pomoci, jsem už napsal v nedávném článku o ransomware. Jsem jen rád, že nedošlo k většímu omezení chodu nemocnice a zejména provádění testů v současné situaci. A teď už k hierarchii potřeb v kyberbezpečnosti.
Stále pokračujeme s třetí potřebou – potřebou detekce. V minulých částech jsme se podívali specificky na detekci vzorů a detekci anomálií, jak na dva přístupy vytváření detekčních metod a řekli jsme si něco o výhodách a nevýhodách těchto přístupů. V této části se budu věnovat vybraným obecným vlastnostem detekčních metod, které mají velký vliv na kvalitu a vhodnost dané konkrétní detekční metody, nezávisle na tom, zda jde o detekci vzorů nebo anomálii.
Ověřitelnost
První obecnou vlastností detekčních metod je ověřitelnost. Jednoduše řečeno jde o to, zda víme přesně, jak daná detekční metoda funguje a následně jsme schopni ověřit, že zdrojová data o viditelnosti, např. NetFlow, byla vyhodnocena odpovídajícím způsobem. V případě jednoduchých vzorů, jako jsou AV signatury nebo IDS pravidla, je to poměrně jednoduchý úkol.
Na druhou stranu, při použití strojového učení častokrát nevíme, proč jde o anomálii a v konečném důsledku je taková metoda pro nás blackbox a zůstává nám jen jí důvěřovat. Do procesu také vstupuje to, že obsah detekčních metod je častokrát obchodním tajemstvím výrobců různých kyberbezpečnostních řešení a je jen logické, že ho nechtějí zveřejňovat. Nicméně, čím lepší vhled do detekční metody máme, tím méně pochybností budeme mít o jejích výsledcích. Velmi blízko k ověřitelnosti má druhá důležitá vlastnost detekčních metod, kterou bych nazval přesností.
Přesnost
Tento název není možná zcela správný, ale musím se přiznat, že nic lepšího mě nenapadlo. Mohl jsem tuto vlastnost nazvat i chybovostí, ovšem pokud bychom to chtěli vzít z pohledu chybovosti, je to trochu složitější a hned vysvětlím proč.
Korektní detekce jsou buď ty, kde proběhne nějaká neautorizovaná operace a je detekována, nebo neautorizovaná operace neproběhne a není detekována. O těchto dvou případech se hovoří jako o true positive a true negative. Z toho plyne, že by mělo existovat něco, čemu se říká false positive a false negative, nebo také statistická chyba typu I a chyba typu II. Chybovost pak vztahujeme právě na poměr těchto chyb ke všem detekcím, tzv. false positive rate a false negative rate.
Při false positive se jedná o to, že autorizovaná operace je vyhodnocena jako neautorizovaná, čili prostě falešný poplach. U false negative naopak nedojde k detekci neautorizované operace čili poplach se neděje, i když by měl. Nelze obecně říci, že by jeden typ chyby byl horší než druhý, stále závisí na konkrétních implikacích a požadavcích použití dané detekční metody.
Ilustrovat to můžeme např. na metodě, která vyhodnotí vícenásobné chybné přihlášení k serveru za nějaký čas jako útok. Pokud zvolíme příliš malé číslo a dlouhý časový interval, např. 3 chybné přihlášení za 5 minut, bude se nám často stávat, že se prostě někdo 3 krát splete nebo nechá špatné heslo v nějakém automatizovaném skriptu, čili máme relativně vysoký false positive rate a často budeme řešit falešné poplachy. Navíc nemusí jít ani o důležité servery. Naopak, pokud jde o server s citlivými daty, tam už nás může zajímat i jedno nesprávné přihlášení a nemůžeme si dovolit takový útok nedetekovat, čili potřebujeme snížit false negative rate, přičemž false positive rate není až tak důležitý. Podobně to bude při různých dalších detekčních metodách a jak jsem psal výše, stále záleží zejména na tom, jaké dopady, při našich požadavcích a v našem prostředí, chybná (ne) detekce může mít.
Můžeme hovořit i o dalších vlastnostech, jakými mohou být rychlost, možnost konfigurace apod., ale tyto jsou již záležitostí konkrétního technického provedení, zatímco ověřitelnost a přesnost jsou záležitostí návrhu detekčních metod jako takových, nezávisle na technickém provedení.
Ověřitelnost a přesnost, jako vlastnosti podmiňující kvalitu a vhodnost dané detekční metody, hrají velmi významnou roli v dalším stupínku hierarchie potřeb – Triage, o kterém si více řekneme v následující části.
Dávid Kosť, Lead Security Analyst, Axenta a.s.
Peter Jankovský, CTO, Axenta a.s.
Další články společnosti Axenta:
Hierarchie potřeb v kyberbezpečnosti – 1.část
Hierarchie potřeb v kyberbezpečnosti – 2. část
Hierarchie potřeb v kyberbezpečnosti – 3. část
Hierarchie potřeb v kyberbezpečnosti – 4.část
Jak se nenechat vydírat ransomwarem
Hierarchie potřeb v kyberbezpečnosti – 5. část
Hierarchie potřeb v kyberbezpečnosti – 6. část
V Brně bylo otevřeno první Junior Centrum Excelence pro kybernetickou bezpečnost v ČR