साइबर सुरक्षा उद्योग में झूठी सकारात्मकता की अवधारणा को वर्षों से धकेला और खींचा गया है। अनगिनत विक्रेता-प्रायोजित अध्ययन इस विचार को पुष्ट करते हैं कि झूठी सकारात्मकता सीधे चेतावनी थकान की समस्या में योगदान दे रही है। और एक सुरक्षा विक्रेता के रूप में, यह कोई आश्चर्य की बात नहीं है कि हमारे ग्राहकों के मन में सबसे ज्वलंत प्रश्नों में से एक है, “हमारी झूठी-सकारात्मक दर क्या है?”

इसमें कोई संदेह नहीं है कि सुरक्षा विश्लेषक और आईटी व्यवस्थापक निराश हैं अलर्ट का एक निरंतर बैराज. लेकिन झूठी सकारात्मक केवल दोष देने के लिए नहीं हैं; इसका कारण काफी हद तक खराब लक्षित डिटेक्शन लॉजिक है। अनुभवी टीमों और बड़े डेटासेट के बिना, खतरे का पता लगाने को लक्षित करने से बड़ी मात्रा में शोर हो सकता है। और क्योंकि प्रशासनिक कार्य की प्रकृति भी हमलावर पैटर्न के साथ ओवरलैप हो सकती है, व्यवहार को ट्यून करने या बनाने के प्रयास- या हस्ताक्षर-आधारित खतरे की पहचान के लिए समय और प्रयास की आवश्यकता होती है जो अधिकांश संगठनों के पास नहीं होती है।

इसके अलावा, तर्क द्वारा उत्पन्न ये अलर्ट कुछ ऐसे हैं जो उद्योग जल्दी से आदी हो जाते हैं। यदि आपने पहले अपने फ़ायरवॉल की घुसपैठ रोकथाम प्रणाली से बाहरी स्कैन से सैकड़ों अलर्ट देखे थे और अब आप शून्य देखते हैं, तो यह स्वीकार करना कठिन हो सकता है कि यह एक महत्वपूर्ण समस्या के बजाय पृष्ठभूमि शोर था।

निगरानी व्यवहार का महत्व
यदि आपका पासवर्ड मैनेजर पासवर्ड स्प्रेइंग व्यवहार में परिणामित हो रहा है, तो यह गलत सकारात्मक नहीं है – यह एक नो-एक्शन खोज है जिसके लिए शोर को कम करने और सटीकता में सुधार के लिए डिटेक्शन लॉजिक की सुरक्षित-सूचीकरण और ट्यूनिंग की आवश्यकता हो सकती है। हालांकि, ऐतिहासिक रूप से, उद्योग में अधिकांश लोगों को यह सोचने के लिए प्रशिक्षित किया जाता है, “एक सक्रिय खतरा नहीं है? एक गलत सकारात्मक होना चाहिए।”

हमें उस सोच को फिर से परिभाषित करना चाहिए, “इन व्यवहारों को क्या बना रहा है? क्या व्यवहार हुआ, और क्या मुझे परवाह है कि यह हुआ / फिर से होगा?” नकारात्मक व्यवहार के आसपास आप जो देखना चाहते हैं, उसके लिए अपनी कार्यप्रणाली को लक्षित करके, यह आम तौर पर एक उच्च सच्ची-सकारात्मक दर को बनाए रखना आसान बनाता है। जब संगठन खतरों का पता लगाने के साथ अनुपालन या बुनियादी ढांचे की चेतावनी के प्रयास को जोड़ते हैं, तो यह व्यवहार टीमों के भीतर तेजी से बढ़ सकता है। मोटे तौर पर, उद्योग को दोहराव के माध्यम से प्रशिक्षित किया जाता है ताकि जोर से अलार्म को अनदेखा किया जा सके या नाराज हो जो सही नहीं है।

चेतावनी की प्रकृति के कारण यह व्यवहार खतरे का पता लगाने में विस्तार करता है और खतरों को रोकने के लिए छूटे हुए अवसरों का परिणाम हो सकता है। यह सोचना आसान हो सकता है कि आप किसी ऐसी चीज़ को नज़रअंदाज़ कर रहे हैं जिसे आपने पहले देखा है; शायद आपके इंटरनेट सूचना सेवा (IIS) परिवेश की एक फ़ाइल जो सामान्य Exchange गतिविधि की तरह दिखती है, बड़ी संख्या में POST निष्पादित कर रही है और cmd.exe के साथ सहभागिता कर रही है। यह धारणा बनाना कि यह सामान्य शोर है क्योंकि कुछ ऐसा ही पहले देखा गया है और तुरंत “झूठी सकारात्मक” पर कूद सकता है और इसके परिणामस्वरूप ऐसी स्थितियां उत्पन्न होती हैं जहां समय पर फैशन में उल्लंघन का जवाब नहीं दिया जाता है। चूंकि रक्षकों को शीघ्रता से कार्य करना चाहिए, इसलिए बिना किसी पूर्वाग्रह के रुकने और समीक्षा करने की आवश्यकता पहले से कहीं अधिक महत्वपूर्ण है।

हमलावर केवल एक पर्यावरण तक पहुंच प्राप्त करने के लिए सीमित संख्या में कार्य कर सकते हैं – हालांकि हमलावर एंटीवायरस और एंडपॉइंट डिटेक्शन टूल से बचने के लिए अपनी कार्यप्रणाली को अपना रहे हैं। इन विधियों में पावरशेल में आईईएक्स का उपयोग शामिल हो सकता है, या यह वर्ड स्पॉनिंग अनपेक्षित प्रक्रियाओं से जुड़े पैटर्न हो सकता है। अक्सर जब कोई हमलावर किसी दुर्भावनापूर्ण वर्ड दस्तावेज़ को किसी वातावरण में सफलतापूर्वक उतारा है, तो उसके पास एक मैक्रो होगा जिसमें वास्तविक हमले का तर्क होगा। जब उपयोगकर्ता अपनी मशीन पर मैक्रोज़ को सक्षम करता है, तो Word दस्तावेज़ के भीतर विज़ुअल बेसिक स्क्रिप्ट को तुरंत इस तरह से चलाता है जो आमतौर पर उपयोगकर्ता या एंटीवायरस द्वारा पहचाने जाने योग्य नहीं होता है जब तक कि आमतौर पर देखा न जाए।

जब उस स्क्रिप्ट को चलाया जाता है, तो इसका परिणाम वास्तविक वर्ड प्रोसेस (winword.exe) में होता है, जो अन्य प्रक्रियाओं जैसे cmd.exe या powershell.exe को मशीन पर ही उनके पिछले दरवाजे को लोड करने के लिए उत्पन्न करता है। कोबाल्ट स्ट्राइक जैसे बैकडोर लोडर एंटीवायरस सिस्टम से बचने में बहुत अच्छे हैं, और हमलावर अक्सर हस्ताक्षर से बचने के लिए कोबाल्ट स्ट्राइक और इसी तरह के शोषण किट को अपडेट करते हैं। इन प्रक्रियाओं को उत्पन्न करने वाले वर्ड की तलाश करके, डिफेंडर जल्दी से पहचान सकते हैं कि कोई मैक्रो या उपयोगकर्ता वर्ड वातावरण के भीतर दुर्भावनापूर्ण या कम से कम अजीब क्रियाएं कर रहा है।

शुद्ध, हस्ताक्षर-आधारित पहचान महत्वपूर्ण है, लेकिन सुरक्षा उपकरणों को संभावित खतरे पर अधिक ध्यान देना चाहिए व्यवहार. ऐसी पहचान जो आपको बताती हैं कि कब एक आईपी पते ने डोमेन नियंत्रक पर कम से कम 20 उपयोगकर्ताओं में लॉग इन करने का प्रयास किया और विफल रहा या 10 मिनट की अवधि में खुद को होस्ट किया, हमेशा आपको बताएगा कि एक पासवर्ड छिड़काव पैटर्न हो रहा है। हालांकि, आपको यह बताना कि 10-मिनट की अवधि में 20 उपयोगकर्ता लॉग इन करने में विफल रहे, अधिकांश मामलों में एक गारंटीकृत झूठी-सकारात्मक पहचान है – और यह अधिकांश संगठनों के एहसास से कहीं अधिक होता है। हालांकि यह उपयोगी जानकारी हो सकती है, असफल उपयोगकर्ता लॉगिन पर दैनिक रिपोर्टिंग आपको परिचालन संबंधी मुद्दों को हल करने में मदद करेगी, जबकि व्यवहार-आधारित पहचान खतरों को जल्दी से रोकने के आपके प्रयास का समर्थन करेगी।

पहचान के माध्यम से सुरक्षा परिपक्वता का निर्माण
वास्तविकता यह है कि स्वयं उत्पादों से प्राप्त डिटेक्शन में हमेशा झूठी सकारात्मकता में कुछ टक्कर होती है। एआई डिटेक्शन पर भरोसा करने वाले एंडपॉइंट टूल, उदाहरण के लिए, कभी भी सही नहीं होंगे – और न ही वे हो सकते हैं – और ऐसी चीजें पाएंगे जो खतरे नहीं हैं, खासकर उन परिस्थितियों में जहां इंजीनियरिंग घर में हो रही है।

उस समय आपके लिए यह तय करना महत्वपूर्ण है कि क्या आपके पास इस प्रकार के निष्कर्षों की समीक्षा करने का समय है, या, यदि आप केवल अपने वातावरण के लिए सकारात्मक खतरों की समीक्षा करना चाहते हैं, चाहे वे Sysmon या सामान्य क्राउडस्ट्राइक डिटेक्शन के व्यवहार हों।

किसी भी तरह से, निगरानी व्यवहार हमेशा आंतरिक सुरक्षा परिपक्वता वृद्धि की ओर ले जाएगा। जैसे-जैसे आप व्यवहार की निगरानी करते हैं, आप पैटर्न को पहचानना शुरू कर देंगे और आपके नेटवर्क के भीतर क्या हो रहा है, इसकी गहरी समझ विकसित करेंगे। उस दृश्यता का होना आपके संगठन की सुरक्षा स्थिति को परिपक्व करने के पहले चरणों में से एक है।


Source link

LEAVE A REPLY

Please enter your comment!
Please enter your name here