Gotcha! Betere detectie van hackers middels advanced analytics

In dit tweede deel van een serie van drie blogs legt consultant Marleen van Emmerik u uit hoe u met behulp van advanced analytics het succes van uw SIEM kunt vergroten. In het eerste deel werden reeds de term SIEM en de bijbehorende KPI's geïntroduceerd. Nu is het tijd om verder de diepte in te gaan. 

Verbeter je SIEM met Advanced Analytics

Advanced Analytics bieden een mogelijkheid om uw SIEM te verbeteren. Een succesvolle implementatie van een SIEM is, zoals beschreven in de eerste blog in deze serie, te meten met een tweetal Key Performance Indicators: de False-Positive-Ratio, en de Time-To-Action. Advanced Analytics kan vooral helpen om de False-Positive-Ratio naar beneden te halen, de Time-To-Action kan worden verbeterd door goede informatievoorziening. In deze blog wordt uitgelegd hoe Advanced Analytics de False-Positive-Ratio van uw SIEM kunnen verbeteren.

Gangbare methoden binnen Advanced Analytics

Advanced Analytics wordt gebruikt om de unknown-knowns te ontdekken. De False-Positive-Ratio wordt hiermee verbeterd, omdat er door Advanced Analytics meer true-positives en minder false-positives worden gevonden. Er is een aantal analyse-mogelijkheden om deze onbekende unknown-knowns in de data te ontdekken. Welke vaak genoemd worden zijn patroonherkenning, predictive analysis en machine learning.

Patroonherkenning

Bij patroonherkenning haal je het meeste voordeel door up-to-date informatie over dreigingen en kwetsbaarheden te verzamelen en deze rule-based toe te passen op de data. Een Advanced Analytic is hierbij om dit over tijd te doen in een scenarioanalyse. Waar SIEM-oplossingen tekort schieten bij APT’s, kan een scenarioanalyse die data over tijd correleert, dit aanvullen. Vaak bestaat een APT uit verschillende fases. Deze fases zijn vaak niet te onderscheiden van normaal verkeer en worden dus niet door de SIEM als uitbuiting beschouwd. Een scenarioanalyse houdt data die aan fases van een APT voldoen bij. Pas als alle fases doorlopen zijn, geeft de analyse een alert. Dit is een goede aanvulling op de SIEM-oplossing, omdat het een positief effect heeft op de False-Positive-Ratio.

Predictive analysis

Predictive analysis betreft onderzoek met een voorspellende waarde. Ziet een SIEM een uitbuiting pas als iemand het ook probeert, met predictive analysis probeer je een uitbuiting te toetsen waarvan je niet weet of die al binnen je netwerk bestaat. Aan predictive analysis gaat gedegen exploratief onderzoek vooraf. Een analist gaat alle uitbuitingen bestuderen in combinatie met gegevens uit onderzoek van andere bedrijven en instanties. De analist komt daarbij tot hypotheses over welke variabelen het beste een mogelijke uitbuiting kunnen voorspellen. Deze variabelen kunnen vervolgens worden meegenomen in nieuwe regels van de SIEM-oplossing, zodat er minder false-positives worden gevonden.

castle-2070777_1920

Machine learning

Machine learning verwijst naar het leren van een systeem zonder dat het geleerde expliciet aan het systeem is gegeven. Dit betekent dat je het systeem geen beoordeling van de data (labels) meegeeft. Dit leren kan geheel zonder labels gaan, het zogenaamde ‘unsupervised learning’, of gedeeltelijk met labels, ‘semi-supervised learning’. Semi-supervised learning gaat ervan uit dat sommige input labels heeft en dat het systeem de rest van de data labelt aan de hand hiervan. Dit laatste zou een nuttige aanvulling zijn op een rule-based SIEM-oplossing. De uitbuitingen die door de regels van de SIEM-oplossing als zodanig worden herkend, zijn de gelabelde input. De overige data in het netwerk vormen niet gelabelde input voor een semi-supervised analyse. Deze analyse maakt groepen van alle data op basis van ‘features’. Een voorbeeld van een feature kan zijn dat een systeem 40% van alle bytes naar poort 25 stuurt. Wanneer dit systeem vervolgens in een groep terecht komt met allemaal systemen die als uitgebuit gelabeld zijn, kan dat een aanwijzing zijn dat dit systeem toch nagekeken moet worden, ondanks dat het niet voldeed aan een regel van de SIEM-oplossing. Zo kan semi-supervised learning bijdragen aan de prestaties van een SIEM-oplossing, omdat het de False-Positive-Ratio verbetert.

Voorwaarden om het te laten slagen

Wat je nodig hebt voor deze oplossingen is een goed team statistici met een passie voor security en netwerkdata. Daarnaast is natuurlijk een omgeving nodig om de analyses te doen. Dit kan een commerciële applicatie zijn of een opensource omgeving.

De volgende blog geeft meer inzicht in de noodzaak om de informatievoorziening voor de analist goed op peil te brengen en houden.

Deze blog is de tweede in een serie van drie:

Blog 1: Hoe goed is uw security monitoring?

Blog 2: Gotcha! Betere detectie van hackers middels advanced analytics

Blog 3 behandelt de informatievoorziening voor analisten en verschijnt binnenkort!

Deel dit bericht via:Tweet about this on TwitterShare on LinkedInEmail this to someoneShare on FacebookShare on Google+Pin on PinterestPrint this page

Door de site te te blijven gebruiken, gaat u akkoord met het gebruik van cookies. meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten