Pôvodne som chcel napísať niečo rozsiahle k nedávnemu útoku na FN Brno, ako sa tomu dalo zabrániť a ako sa to dalo lepšie riešiť, ale verím, že všetko, čo by mohlo pomôcť, som už napísal v nedávnom článku o ransomwari. Som len rád, že nedošlo k väčšiemu obmedzeniu chodu nemocnice a najmä vykonávania testov v súčasnej situácii. A teraz už k hierarchii potrieb v kyberbezpečnosti.
Stále pokračujeme s treťou potrebou – potrebou detekcie. V minulých častiach sme sa pozreli špecificky na detekciu vzorov a detekciu anomálii, ako na dva prístupy vytvárania detekčných metód a povedali sme si niečo o výhodách a nevýhodách týchto prístupov. V tejto časti sa budem venovať vybraným všeobecným vlastnostiam detekčných metód, ktoré majú veľký vplyv na kvalitu a vhodnosť danej konkrétnej detekčnej metódy, nezávisle od toho, či ide o detekciu vzorov alebo anomálii.
Overiteľnosť
Prvou všeobecnou vlastnosťou detekčných metód je overiteľnosť. Jednoducho povedané ide o to, či vieme presne, ako daná detekčná metóda funguje a následne sme schopní overiť, že zdrojové dáta o viditeľnosti, napr. NetFlow, boli vyhodnotené zodpovedajúcim spôsobom. V prípade jednoduchých vzorov, ako sú AV signatúry alebo IDS pravidlá, je to pomerne jednoduchá úloha.
Na druhú stranu, pri použití strojového učenia častokrát nevieme, prečo ide o anomáliu a v konečnom dôsledku je takáto metóda pre nás blackbox a zostáva nám len jej dôverovať. Do procesu taktiež vstupuje to, že obsah detekčných metód je častokrát obchodným tajomstvom výrobcov rôznych kyberbezpečnostných riešení a je len logické, že ho nechcú zverejňovať. Ničmenej, čím lepší vhľad do detekčnej metódy máme, tým menej pochybností budeme mať o jej výsledkoch. Veľmi blízko k overiteľnosti má druhá dôležitá vlastnosť detekčných metód, ktorú by som nazval presnosťou.
Presnosť
Tento názov nie je možno úplne správny, ale musím sa priznať, že nič lepšie ma nenapadlo. Mohol som túto vlastnosť nazvať aj chybovosťou, avšak ak by sme to chceli zobrať z pohľadu chybovosti, je to trochu zložitejšie a hneď vysvetlím prečo.
Korektné detekcie sú buď tie, kde prebehne nejaká neautorizovaná operácia a je detekovaná, alebo neautorizovaná operácia neprebehne a nie je detekovaná. O týchto dvoch prípadoch sa hovorí ako o true positive a true negative. Z toho plynie, že by malo existovať niečo, čomu sa hovorí false positive a false negative, alebo tiež štatistická chyba typu I a chyba typu II. Chybovosť potom vzťahujeme práve na pomer týchto chýb ku všetkým detekciám, tzv. false positive rate a false negative rate.
Pri false positive sa jedná o to, že autorizovaná operácia je vyhodnotená ako neautorizovaná, čiže jednoducho falošný poplach. U false negative naopak nedôjde k detekcii neautorizovanej operácie, čiže poplach sa neudeje, aj keď by sa mal. Nedá sa všeobecne povedať, že by jeden typ chyby bol horší ako druhý, stále závisí na konkrétnych implikáciách a požiadavkách použitia danej detekčnej metódy.
Ilustrovať to môžeme napr. na metóde, ktorá vyhodnotí viacnásobné chybné prihlásenie k serveru za nejaký čas ako útok . Ak zvolíme príliš malé číslo a dlhý časový interval, napr. 3 chybné prihlásenia za 5 minút, bude sa nám často stávať, že sa proste niekto 3 krát pomýli, alebo nechá zlé heslo v nejakom automatizovanom skripte, čiže máme relatívne vysoký false positive rate a často budeme riešiť falošné poplachy. Navyše nemusí ísť ani o dôležité servery. Naopak, ak ide o server s citlivými dátami, tam už nás môže zaujímať aj jedno nesprávne prihlásenie a nemôžeme si dovoliť takýto útok nedetekovať, čiže potrebujeme znížiť false negative rate, pričom false positive rate nie je až tak dôležitý. Podobne to bude pri rôznych ďalších detekčných metódach a ako som písal vyššie, stále záleží najmä na tom, aké dopady, pri našich požiadavkách a v našom prostredí, chybná (ne)detekcia môže mať.
Môžeme hovoriť aj o ďalších vlastnostiach, akými môžu byť rýchlosť, možnosť konfigurácie a pod., ale tieto sú už záležitosťou konkrétneho technického prevedenia, zatiaľčo overiteľnosť a presnosť sú záležitosťou návrhu detekčných metód ako takých, nezávisle od technického prevedenia.
Overiteľnosť a presnosť, ako vlastnosti podmieňujúce kvalitu a vhodnosť danej detekčnej metódy, hrajú veľmi významnú úlohu v ďalšom stupienku hierachie potrieb – triage, o ktorom si viac povieme v nasledujúcej časti.
Dávid Kosť, Lead Security Analyst, Axenta a.s.
Peter Jankovský, CTO, Axenta a.s.
Obrázek: Matt Swann
