Nel panorama della cybersecurity, la precisione è fondamentale. Ogni allerta emessa dai sistemi di sicurezza dovrebbe rappresentare una potenziale minaccia da affrontare con tempestività. Tuttavia, la realtà quotidiana per molti professionisti IT è ben diversa. Spesso, gran parte delle risorse è dedicata a gestire i cosiddetti falsi positivi, allarmi che segnalano un problema infondato.
I falsi positivi non sono solo un fastidio; sono un ostacolo significativo per l'efficienza operativa. Ogni allarme falso richiede tempo e attenzione, portando a una dispersione delle risorse e aumentando il rischio che un reale incidente passi inosservato.
In questo articolo, esaminiamo il fenomeno dei falsi positivi nelle attività di rilevamento, mostrando come l’approccio di Certego, basato sulla visibilità dei dati telemetrici, uno stack tecnologico proprietario avanzato e il contributo di Analisti esperti, permette di ridurre drasticamente il numero dei falsi positivi a carico del cliente, migliorando così l'efficacia complessiva dei servizi MDR.
1. Visibilità del Dato Telemetrico
La visibilità dei dati telemetrici degli endpoint costituisce il fondamento della capacità di Certego di migliorare l’individuazione delle minacce e ridurre i falsi positivi per i propri clienti.
Attraverso la tecnologia avanzata della piattaforma Unified Security Operations, PanOptikon®, Certego è in grado di raccogliere, arricchire e analizzare i dati grezzi provenienti dagli endpoint distribuiti nelle infrastrutture dei clienti.
Questo approccio offre un enorme vantaggio rispetto all'affidarsi esclusivamente ai dati generati dalle soluzioni EDR, poiché va oltre la semplice analisi degli allarmi prodotti dagli endpoint. La capacità di Certego di analizzare in profondità ai dati grezzi provenienti dai sensori permette infatti una visibilità più completa dell'attività degli endpoint. Questo garantisce una rilevazione delle minacce più precisa ed efficace, basata sull’arricchimento dei dati grezzi di telemetria.
2. Applicazione delle regole di Threat Detection e Correlazione degli Eventi
Una volta che i dati grezzi degli endpoint vengono raccolti all'interno della piattaforma PanOptikon®, la fase successiva consiste nell’applicare le regole di rilevamento (Threat Detection) di Certego ai dati telemetrici, sfruttando una combinazione di analisi comportamentale e indicatori di compromissione per rilevare vari tipi di minacce di ultima generazione di tipo malware, furto di credenziali, ransomware, etc.
I dati telemetrici, raccolti dai sensori distribuiti sugli endpoint, vengono arricchiti con l’applicazione delle regole di Threat Detection di Certego per identificare attività sospette, come accessi non autorizzati, script dannosi o comportamenti anomali dei processi. In Certego fruttiamo la correlazione multi-evento per collegare queste attività, fornendo una visione completa delle potenziali minacce.
Ad esempio, se la piattaforma PanOptikon® rileva l’esecuzione di PowerShell con un comando codificato o un binario sconosciuto in esecuzione, correla queste azioni con il traffico di rete, la creazione di processi o le modifiche ai file per determinare se il comportamento fa parte di un attacco più ampio.
La correlazione degli eventi è un elemento chiave del processo, poiché consente di collegare tra loro eventi che, presi singolarmente, potrebbero sembrare isolati, ma che, una volta uniti, rivelano una sequenza di attività potenzialmente legate a un attacco complesso. Questo approccio consente di identificare minacce sofisticate che potrebbero sfuggire ai sistemi tradizionali di rilevamento sugli endpoint.
Solo grazie alle attività svolte dai team di Threat Intelligence e Threat Detection di Certego, che studiano quotidianamente le tecniche di attacco emergenti, è possibile sviluppare specifiche regole di rilevamento, applicabili al dato telemetrico, per intercettare minacce di ultima generazione, molto spesso difficili da identificare.
L’analisi multi-step contribuisce inoltre a migliorare l’efficacia del rilevamento riducendo i falsi positivi nelle fasi iniziali. In questo modo, solo le minacce reali vengono segnalate agli Analisti di Certego, consentendo loro di concentrarsi su indagini approfondite e interventi mirati.
3. Analisi degli Allarmi e riduzione dei Falsi Positivi
Una volta che gli eventi sono stati correlati, le correlazioni rilevate all'interno della piattaforma PanOptikon® generano allarmi che segnalano potenziali minacce da sottoporre a un'ulteriore analisi.
Quando viene attivato un allarme sulla piattaforma PanOptikon®, gli Analisti del team di Security Operations di Certego lo classificano in base alla gravità e al rischio. Esaminano ogni allarme sfruttando la visibilità dei dati telemetrici degli endpoint e i dati correlati dall'ecosistema di sicurezza per condurre analisi approfondite. In questa fase, verificano la presenza di attività anomale o indicatori di compromissione (IOC), come comportamenti sospetti dei file, processi insoliti o anomalie nel traffico di rete, per avere una visione completa del contesto dell'allarme.
Una volta confermata la minaccia, gli Analisti prendono le misure necessarie per contenere e neutralizzare l'attacco. Le azioni correttive possono includere l'isolamento dei sistemi compromessi, la rimozione dei file dannosi e il ripristino della sicurezza dell'infrastruttura. Gli Analisti collaborano strettamente con i team di sicurezza interni alle aziende clienti per assicurare che tutte le misure siano tempestive ed efficaci, minimizzando l’impatto sull’organizzazione.
Questo processo accurato e strutturato permette di ridurre significativamente i falsi positivi, assicurando che le risorse vengano utilizzate solo per gestire le minacce reali.
4. Esempio pratico
Esaminiamo un caso concreto relativo a una PMI operante nel settore manifatturiero, che chiameremo Gamma.
Nel corso di un anno, Certego ha elaborato e analizzato 14,6 miliardi di dati telemetrici grezzi provenienti dai sensori endpoint distribuiti nell'infrastruttura aziendale di Gamma.
In seguito all'acquisizione dei dati, la piattaforma PanOptikon® ha applicato automaticamente le regole di rilevamento (Detection Engine) sviluppate dal team di Threat Detection.
Queste regole hanno inizialmente generato oltre 270 mila eventi sospetti, che hanno richiesto un'analisi approfondita. Attraverso l’attività di correlazione, che ha collegato i vari eventi sospetti, PanOptikon® ha ridotto il numero complessivo, generando 14.200 allarmi da sottoporre a ulteriore analisi. A questo punto, gli Analisti del team di Security Operations di Certego sono intervenuti: grazie alla possibilità di condurre analisi dettagliate sui dati telemetrici direttamente all’interno della piattaforma PanOptikon®, hanno ridotto i falsi positivi del 94%, gestendo infine 796 incidenti nel periodo di riferimento.
Infine, ma non per importanza, dei 796 incidenti gestiti solo 6 erano compresi tra un livello di rischio 4 e 5, quello potenzialmente più elevato.
Grazie al servizio di Managed Detection and Response (MDR) di Certego, l'azienda Gamma beneficia di una soluzione avanzata in grado di esaminare in più fasi e in maniera più approfondita gli eventi di cybersecurity, riducendo drasticamente i falsi positivi e ottimizzando i processi interni di gestione degli incidenti.