Os dados da pesquisa da Palo Alto Networks mostram que os analistas do SOC só estão aptos a lidar com 14% dos alertas gerados pelas ferramentas de segurança. Quando você considera os dados IDC que mostram que a maioria dos alertas são falso-positivos, [1] os resultados são previsíveis: os alertas são ignorados, os analistas perdem tempo seguindo pistas falsas e as ameaças reais são perdidas. 

Além da prevenção inicial, a maioria das ferramentas de segurança são desenvolvidas para realizar uma função chave: criar e responder a alertas. A suposição otimista é que os analistas irão analisar e detectar comportamentos suspeitos com base em tais alertas. Mas essa estratégia cai por terra rapidamente quando os analistas começam a receber centenas de alertas de baixa-fidelidade por dia.

Lista de verificação da redução da fadiga de alertas

Se eliminarmos os sensores e sistemas que geram alarmes, criamos pontos cegos na segurança (ainda que muita informação seja tão ruim quanto nenhuma informação). Precisamos de alertas, mas precisamos de alertas mais precisos. Isso implica na adoção dos seguintes conceitos quando for ponderar sobre suas ferramentas e processos:

1. Automação

Primeiro, as organizações podem melhorar imensamente sua triagem de alertas usando a automação. A Palo Alto Networks acredita que as operações de segurança da Camada 1 (triagem de alertas) podem e devem ser automatizadas usando as tecnologias SOAR, que usam manuais de estratégias pré-definidas para automatizar as ações de resposta. Para a triagem de alertas, tais ações incluem a análise dos alertas, a atualização de um caso se for um problema conhecido, a abertura de um caso se não for um problema conhecido e então a realização da triagem da severidade do alerta e o seu envio para um analista. Automatizar esse processo reduz bastante o número de alertas que os analistas devem responder, permitindo que eles gastem o seu valioso tempo investigando problemas e não olhando registros.

2. Juntando os dados

Depois, as equipes de segurança devem começar a priorizar ferramentas integradas em vez das ferramentas em silos se quiserem melhorar a visibilidade. Se você tem sete ferramentas diferentes, cada uma vigiando uma parte específica da sua infraestrutura de rede, sem que conversem entre elas, as ferramentas não serão capazes de fornecer o contexto que ajude na caça às ameaças e nas investigações. Você não saberá se uma série de ações que parecem benignas por si só estão, na verdade, sendo realizadas numa sequência que possa indicar a presença de um adversário no seu sistema. Ou você pode gastar uma hora rastreando um malware que passou furtivamente pelo seu EPP e acabar descobrindo que ele foi bloqueado pelo firewall.

3. Aprendizado de máquina

Finalmente, uma ferramenta de EDR deve ter recursos de aprendizado de máquina que permitam que ela reconheça padrões para que ela possa aprender e melhorar. Sua EDR deve se basear nas suas fontes de dados para continuar refinando seu algoritmo, gerando alertas de alta fidelidade, priorizados e específicos.

O Cortex XDR entrega detecções mais inteligentes

O Cortex XDR provou que entrega a melhor combinação de alertas de alta fidelidade, muito úteis na identificação de ameaças, além de registros de telemetria correlacionados e aprimorados para investigação e caça às ameaças. Esses tipos de alertas podem ajudar as empresas a aproveitar o fluxo de falso-positivos para que os analistas possam focar na investigação de ameaças reais.

Um teste das ferramentas de EDR usando emulações reais de ataques do grupo APT 3 através do MITRE ATT&CK observou, recentemente, que o Cortex XDR e o Traps detectaram a maioria das técnicas de ataques de 10 fornecedores de endpoints de detecção e respostas. Essa avaliação apresentou uma das primeiras avaliações objetivas e abertas do setor sobre a real função e desempenho do mercado de EDR.

Palo Alto Networks 설문 조사 데이터에 따르면 SOC 분석가들은 보안 도구에서 생성된 알림 중 14%만을 처리할 수 있습니다. 대부분의 알림이 오탐(false positive)[1]임을 보여주는 IDC 데이터를 고려해 보면 그 결과를 다음과 같이 예측할 수 있습니다. 알림은 무시되고, 분석가는 잘못된 단서를 쫓는 데 시간을 낭비하며, 실제 위협을 놓치고 맙니다.

대다수의 보안 도구는 초기 예방 외에도 알림 생성 및 대응이라는 한 가지 핵심 기능을 수행합니다. 희망적인 가정은 분석가들이 이러한 알림을 토대로 의심스러운 동작을 검토하고 포착할 것이라는 점입니다. 그러나 분석가가 매일 충실도가 낮은 알림 수천 건을 받기 시작하면 이 전략은 빠르게 무용지물이 됩니다.

알림 피로 감소 체크리스트

알림 생성 센서와 시스템을 제거하면 보안 사각지대가 발생하지만 정보가 너무 많으면 정보가 전혀 없는 것과 다를 바 없습니다. 그렇더라도 알림이 필요하며 좀 더 정확한 알림이 필요합니다. 다시 말해, 도구와 프로세스를 고려할 때 다음 개념을 수용해야 합니다.

1. 자동화

첫째, 기업은 자동화를 사용하여 알림 분류 프로세스를 크게 개선할 수 있습니다. Palo Alto Networks는 사전정의 플레이북을 사용하여 대응 작업을 자동화하는 SOAR 기술을 활용하여 모든 Tier 1(알림 분류) 보안 작업을 자동화할 수 있어야 한다고 생각합니다. 알림 분류의 경우, 이러한 작업에는 알림 분석, 알려진 문제인 경우 사례 업데이트, 알려진 문제가 아닌 경우 사례 열기, 알림의 심각도를 분류하여 분석가에게 보내는 작업이 포함됩니다. 이 프로세스를 자동화하면 분석가가 대응해야 하는 알림 수가 크게 줄어 분석가는 귀중한 시간을 로그를 확인하기보다는 문제를 조사하는 데 할애할 수 있습니다.

2. 데이터 연결

둘째, 보안팀은 가시성을 향상시키기 위해 격리된 도구보다 통합 도구를 우선순위에 두어야 합니다. 서로 통신하지 않고 각기 보안 인프라의 특정 부분을 살펴보는 7가지 도구를 사용하는 경우, 이러한 도구는 위협 추적과 조사에 도움이 되는 컨텍스트를 제공할 수 없습니다. 즉, 자체적으로는 양호해 보이는 일련의 작업이 실제로는 시스템에 악의적인 사용자가 있음을 나타내는 순서로 실행되고 있는지 알 수 없을 것입니다. 또는 EPP를 통과한 멀웨어 일부가 방화벽을 통해 차단되었다는 사실을 찾기까지 한 시간이 걸릴 수도 있습니다.

3. 머신 러닝

마지막으로 EDR 도구에는 패턴을 인식하여 학습을 통해 개선이 가능한 머신 러닝 기능이 있어야 합니다. EDR은 데이터 소스에서 가져와 우선순위에 따라 충실도가 높은 특정 알림을 생성하는 알고리즘을 지속적으로 세분화해야 합니다.

Cortex XDR이 제공하는 보다 스마트한 탐지

Cortex XDR은 보안 위협을 식별하는 데 가장 유용한 충실도 높은 최상의 알림 조합뿐 아니라, 조사 및 위협 추적을 위한 풍부한 관련 원격 분석 로그를 제공하는 것으로 입증되었습니다. 이러한 유형의 알림을 통해 기업은 오탐(false positive) 정보의 범람을 차단하므로 분석가들은 실제 위협을 조사하는 데 집중할 수 있습니다.

최근 MITRE ATT&CK를 통해 APT 3 그룹의 실제 공격 에뮬레이션을 사용하는 EDR 도구를 테스트한 결과, Cortex XDR 및 Traps가 엔드포인트 탐지 및 대응 벤더 10개 중 가장 많은 공격 기법을 탐지한 것으로 나타났습니다. 이 평가는 EDR 시장의 실제 기능과 성능에 대한 업계 최초의 객관적인 공개 평가였습니다.

Palo Alto Networks 的調查數據顯示，對於安全工具產生的警示，SOC 分析師只能處理其中的 14%。將顯示大部份警示的 IDC 數據視為誤判時，[1] 自然會出現下列想當然發生的結果：忽視警示，分析師浪費時間追蹤虛假線索，遺漏實際威脅。

除了初始防禦之外，大部份安全工具都能夠執行一項關鍵功能：建立和回應警示。可預期的假設是，分析師將根據這些警示審查並捕捉任何可疑行為。不過，如果分析師每天收到數以千計的低真實性警示，這種策略很快就會失效。

警示麻痺減少檢查清單

如果沒有產生警示的感測器和系統，就會產生安全盲點 - 不過資訊過多和沒有資訊同樣糟糕。我們仍然需要警示，但我們需要的是更為準確的警示。這表示，在考慮工具和流程時，可涵蓋下列概念：

1.自動化

首先，組織可以使用自動化大幅改善警示分類流程。Palo Alto Networks 認為，所有第 1 層級 (警示分類) 安全作業都可以而且應該使用 SOAR 技術實現自動化，這項技術使用預先定義的腳本來自動執行回應動作。對於警示分類，這些動作包括分析警示、更新案例 (如果是已知問題)、開啟案例 (如果不是已知問題)，然後對警示的嚴重性分類以便傳送給分析師。此流程的自動化可大幅減少分析師必須回應的警示數量，分析師便可以將寶貴的時間用來調查問題，而不是緊盯日誌。

2.數據整合

其次，如果想要提高可視性，安全團隊必須開始優先考慮整合工具，而摒棄孤立的工具。如果您有七種不同的工具，每種工具都只能查看安全基礎架構的特定部份，而且不能相互通訊，則這些工具將無法提供有助於威脅捕捉和調查的脈絡。您無法得知看似無害的一系列動作實際上是否在您的系統中按照順序執行而構成某種攻擊活動。或者，您可能花費需要一小時追蹤躲過 EPP 的惡意軟體，不過卻發現該軟體已經由防火牆阻止。

3.機器學習

最後，EDR 工具應該具備機器學習功能，允許識別模式，藉此進行學習和改進。您的 EDR 應該從數據來源中獲取資訊，持續調整演算法，最終產生高真實性、優先處理的特定警示。

Cortex XDR 提供更有智慧的偵測

Cortex XDR 已經證明能夠提供最多的高真實性警示，這些警示對於識別威脅最實用，而且提供多樣化的相關遙測日誌，適用於調查和威脅捕捉。這些類型的警示可以協助組織阻止大量誤判，以便分析師可以專注於調查真正的威脅。

使用 APT 3 群組提供的真實攻擊模擬並透過 MITER ATT&CK 進行的 EDR 工具測試最近發現，Cortex XDR 和 Traps 偵測到 10 個端點偵測與回應廠商的大部份攻擊技術。這項評估對 EDR 市場真實功能和效能，提供了業界首次公開客觀的評量。

Palo Alto Networks 调查数据表明，SOC 分析师只能处理 14% 由安全工具产生的警报。当考虑到 IDC 数据表明大部分警报都是误报时，[1]结果便可想而知：警报被忽略，分析师将时间浪费在追踪误报上，从而错过了真正的威胁。

除了初始的防护之外，大部分安全工具只用于执行一种主要功能：创建并响应警报。预期的假设是，分析师能够根据这些警报检查并捕捉可疑的行为。但是，当分析师每天都收到数以千计的低准确率警报时，这个策略会很快分崩离析。

警报疲劳消除清单

如果我们取消生成警报的传感器和系统，会产生安全盲区——然而信息过多与没有信息一样性质恶劣。我们仍然需要警报，但需要的是更加准确的警报。这意味着，在考虑工具和流程时加入下列概念：

1.自动化

首先，组织能够通过自动化，极大程度地改善警报分类流程。Palo Alto Networks 相信，所有第 1 层（警报分类）安全操作不但能够，而且应该通过 SOAR 技术进行自动化处理，使用预定义的脚本自动执行响应操作。对于警报分类，这些操作包括分析警报、更新案例（如果是已知问题）、开放案例（如果不是已知问题），然后划分警报的严重性以发送给分析师。将此流程自动化，极大程度地降低了警报分析师必须响应的警报数，允许分析师将宝贵的时间用于调查问题，而不是盯着日志记录。

2.数据拼接

其次，如果要改善可视性，安全团队必须优先使用集成工具，而不是孤立的工具。如果您有七种不同的工具，每种工具只能看到安全基础架构中的一个具体方面而无法互相沟通，那么这些工具就无法提供威胁搜寻和调查所需的情境。您没法知道一系列看似无害的操作，在实际上按照一定顺序执行时，是否表明系统中存在攻击者。或者，您可能花上一个小时的时间追踪一个偷偷溜过 EPP 的恶意软件，结果发现该恶意软件已被防火墙阻截。

3.机器学习

最后，EDR 工具应该具有能使其识别模式的机器学习功能，从而实现学习和改进。您的 EDR 应从数据源中获取信息，持续更新算法，从而生成高准确性、划分过优先级的具体警报。

Cortex XDR 提供更加智能的检测

经证实，Cortex XDR 能够提供最优质的高精确度警报组合，为识别威胁，增强、关联遥测日志以进行调查和威胁搜寻提供极大帮助。这些类型的警报能够帮助企业阻挡大量的误报，使分析师能够专注于调查真正的威胁。

最近，一次由 MITRE ATT&CK 进行的，通过仿真 APT 3 小组的真实攻击进行的 EDR 工具测试表明，Cortex XDR 和 Traps 在 10 家端点检测和响应供应商中检测到最多的攻击技术。该评估提供了业界首次对 EDR 市场中产品的真实功能和表现的开放、客观评估。

您还可以在此处了解有关我们的新SOAR产品DEMISTO的更多信息。