Waarom Machine Learning je SOC nog niet volledig over kan nemen, maar wel kan helpen bij routinetaken

Abonneer je gratis op Techzine!

Om geavanceerde bedreigingen aan het licht te brengen die de detectie van preventieve securityoplossingen kunnen ontwijken, moeten securityprofessionals veel informatie analyseren. Het is dus geen verrassing dat de hoge werkdruk de meest voorkomende reden is dat securityspecialisten hun baan opzeggen. Op basis van een Kaspersky-studie noemt 46 procent van de respondenten met een IT security-rol dit als de reden van het vertrek van collega’s.

Natuurlijk kan een bedrijf meer security-analisten inhuren om alle taken onderling te verdelen. Echter, gezien de forse salarissen van deze professionals is deze oplossing niet altijd rendabel. Daarom overwegen bedrijven om machine learning (ML) te implementeren om zo automatisch geavanceerde bedreigingen te detecteren. Maar er zijn enkele valkuilen bij deze aanpak.

Tussen twee vuren

Als iets duidelijk kwaadaardig is, is het vrij eenvoudig om dat automatisch te detecteren. Het is juist de uitdaging om complexe en verborgen dreigingen te herkennen. Denk aan cybercriminelen die zich voordoen als legitieme gebruiker of als IT-beheerder om hun sporen uit te wissen.

Om dergelijke bedreigingen automatisch te detecteren, moeten detectiemechanismen een groot aantal verdachte acties kunnen vaststellen, die niet per se schadelijk zijn. Dit verkleint de kans op het missen van een dreiging, maar verhoogt ook het aantal false positives. Dit leidt tot extra taken voor de security-analisten, die al deze gebeurtenissen moeten bekijken en analyseren, op zoek naar de werkelijke aanvallen. In de praktijk betekent dit dat hoe meer verborgen bedreigingen worden gedetecteerd, hoe meer false positives moeten worden geanalyseerd. Dit kan leiden tot meer dan 90 procent false positives.

De enige manier om deze eentonige taken voor SOC-analisten te vermijden, is op het eerste oog het sluiten van een compromis met betrekking tot de cybersecurity. Je focust alleen op die waarschuwingen die overduidelijk een gevaar vormen. Je negeert andere waarschuwingen die wellicht ook grondig onderzoek vereisen. Deze benadering kan leiden tot het missen van bedreigingen, wat schadelijk is voor de reputatie van gerenommeerde SOC’s.

Waarom kan ML al deze waarschuwingen niet afhandelen zonder menselijke interactie? Doorgaans zijn er twee soorten ML: leertechnieken mét en leertechnieken zonder supervisie. In het eerste geval krijgt ML gelabelde trainingsdata en ziet de technologie welke veiligheidswaarschuwingen door analisten gemarkeerd zijn als een bedreiging. Daarna zal het soortgelijke activiteiten kunnen spotten. ML zonder supervisie analyseert enorme datasets zelf op abnormaal gedrag en licht deze eruit.

Voor beide typen gelden beperkingen voor op ML gebaseerde detectie. ML met supervisie zal een aanval niet kunnen identificeren als deze volledig nieuw is en een security-analist deze niet heeft gezien en eerder heeft laten zien hoe een dergelijke techniek te vinden is. Voor ML zonder supervisie kan de detectie mislukken wanneer de trainingssteekproef niet groot genoeg is om te herkennen wat normaal is en wat een afwijking is.

Nieuwe focus toevoegen

Toen we onze Managed Detection and Response-service (MDR) bij Kaspersky aan het ontwikkelen waren, viel ons iets op in de manier waarop onze SOC-analisten werkten. Dit gaf ons inzicht in hoe we ML kunnen gebruiken om detectie van bedreigingen extra te automatiseren. 

Events die door verschillende sensoren zijn verzameld, werden eerder verwerkt door detectietechnologieën, met ondersteuning van ML. Zij genereerden alerts of events wanneer iets verdachts werd gedetecteerd. SOC-analisten gingen daarmee aan de slag. Zij bekeken normaal gesproken wat er gebeurde vóór en na een event, creëerden een tijdlijn, analyseerden aanvullende informatie om te bevestigen dat het om een incident ging en importeerden events als een case voor een nauwkeuriger onderzoek en om aanvullende verrijking uit te voeren. Het bleek dat het voor een groot deel van signaleringen niet nodig was om deze als case te importeren. Er was dan genoeg informatie in de alert zelf om aan te geven dat het geen incident was en dat het een false positive was die gefilterd moest worden. 

We besloten dat het mogelijk is om deze ‘filtering’-taak ook aan ML te geven, zodat menselijke analisten niet hoeven te kijken naar duidelijke false positives.

Het ML-model wordt getraind op historische alert-data die geanalyseerd zijn door SOC-medewerkers: zij zien welke events werden gescreend als false positives zonder grondige analyse. Het model geeft elke alert een score: een cijfer van 0 tot 1. Als het hoger is dan een bepaalde drempel, wordt een alert als positief beoordeeld. Zo niet, dan wordt het uitgefilterd als een false positive en belandt deze niet op het bureau van een analist. Dit vermindert het aantal alerts dat analisten moeten verwerken.

Natuurlijk houden de ML-mogelijkheden niet op bij het identificeren van false positives. Op basis van de score kan ML helpen bij het wegen van alerts, het indelen op belangrijkheid en het geven van hints voor analyse.

Zeker, een algoritme heeft onderhoud nodig. We monitoren dan ook constant de kwaliteitsstatistieken. Rond de 3 tot 5 procent van de meest controversiële alerts, geclassificeerd door ML, worden vervolgens doorgestuurd naar een SOC-analist om te dubbelchecken dat alles goed werkt. Dat betekent niet dat hun werklast aanzienlijk wordt verhoogd. Wij zijn ervan overtuigd dat ML correct handelt.

Daarnaast trainen we de algoritmen regelmatig met nieuwe data. Bijvoorbeeld wanneer een nieuwe klant met zijn eigen IT-infrastructuur nieuwe patronen inbrengt, duurt het enkele weken voor de ML deze nieuwe details opneemt.

In het algemeen betekent deze aanpak dat we geen behoefte hebben aan tier-1 SOC-analisten, die false positives op basis van playbooks moeten analyseren en incidenten naar meer ervaren collega’s doorsturen. ML kan dit prima doen. Intussen kunnen de mensen binnen de teams zich richten op de verantwoordelijkheden waar hun ervaring en kennis van essentieel belang zijn – bijvoorbeeld threat hunting of proactief zoeken naar complexe bedreigingen.

Zal ML in de toekomst in staat zijn om deze geavanceerde problemen op te lossen en menselijke banen overbodig te maken? Het is onwaarschijnlijk dat robots de securityspecialisten werkloos zullen maken. Menselijke rollen transformeren juist naar regisseurs, die robots leren hun werk te doen en kwaliteit te leveren.

Dit is een ingezonden bijdrage van Sergey Soldatov, Head of Security Operations Center bij Kaspersky. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.