False negative versus false positive: hoe kan Next-Gen SIEM helpen?

  1. 19 okt 2018
  2. 0 reacties
Rob_Pronk_062016

Rob Pronk is ‘Regional Director Central-, Northern & Eastern Europe bij LogRhythm

Organisaties krijgen op dit moment te maken met een ander kaliber cyberbedreigingen dan in het verleden. De moderne hacker is in staat om de maatregelen van oude en nieuwe security-infrastructuren te omzeilen waardoor er in feite dagelijks kans is dat een aanval lukt. Securityteams krijgen op deze manier te maken met aanvallers die gebruikmaken van zero-day zwakheden, gerichte en moeilijk te traceren malware ontwikkelen en soms binnen het netwerk opereren als een kwaadaardige insider of ongewenste gast.

Om dit type bedreigingen te detecteren, moet je als organisatie de juiste balans vinden tussen de risico’s van een false negative en een false positive. Met een technologie als artificial intelligence (AI) is het mogelijk om de bedreigingsdetectie te versnellen en de inspanningen van een Security Operations Centre te verminderen.

False negative versus false positive

Een false negative is een beveiligingsincident dat niet tijdig is ontdekt. Denk aan een phishing-aanval waarna een gebruikersaccount is gecompromitteerd zonder dat het securityteam het opmerkt. Dat gebeurt pas als er sprake is van zichtbare schade. Een false positive is een alarm dat er iets mis is, terwijl er niets aan de hand is.

Het is zaak om een goede balans tussen beide meldingen te vinden. Want wie het aantal false negatives wil verminderen, zal moeten accepteren dat het aantal false positives toeneemt. Wat betekent dat er meer personeel nodig is in het Security Operations Centre.

Ongelukkigerwijs zijn er leveranciers die op artificial intelligence en machine learning gebaseerde gedragsanomaliedetectie aanbieden als de gemakkelijke weg naar geavanceerde bedreigingsdetectie en false positive-reductie. Dit is te mooi om waar te zijn. Bedrijven die het voor zoete koek aannemen, lopen een grote kans dat ze achter de waarheid komen als ze het slachtoffer zijn van een hack.

Volgende generatie-SIEM

Analytics op basis van artificial intelligence en machine learning zorgt voor een revolutie op het gebied van bedreigingsdetectie. En dat zal de komende jaren zo blijven. De grootste impact van beide technologieën komt te liggen bij holistische bedreigingsanalyses. De systemen kunnen hier bedreigingen accuraat detecteren en kwalificeren. Bovendien kunnen ze aangeven waar de bedreigingen zich op richten: endpoint, server, applicatie, device, of gebruiker.

Maar een volgende-generatie SIEM-platform gaat verder en stelt een organisatie in staat om inzicht te krijgen in bekende en onbekende bedreigingen over het gehele aanvalsvlak. Dit complete en gecentraliseerde inzicht is de basis voor holistische bedreigingsdetectie en zorgt voor brede mogelijkheden voor AI-technologieën. Met compleet inzicht is het mogelijk om geavanceerde scenario’s te ontwikkelen voor het continu modeleren van data. Hiermee zijn vervolgens de tactieken, technieken en procedures van bekende bedreigingen te herkennen.

Met dit inzicht zijn ook gedragsanalytics uit te voeren, waarbij een doorsnede van gedragingen binnen een IT-infrastructuur te modelleren zijn. Op deze manier zijn kleine gedragswijzigingen te detecteren als mogelijke aanvallen. Next-Gen SIEM-systemen moeten bedrijven in staat stellen om de balans tussen de risico’s op false negatives en het aantal false positives te optimaliseren.

Op artificial intelligence gebaseerde analytics staat in de securitywereld nog in de kinderschoenen. Het is aan de leveranciers in deze sector om hierin voorop te lopen en klanten te voorzien van geavanceerde en pragmatische oplossingen die hen beschermen tegen de bedreigingen die continu doorontwikkelen. Er is daarbij geen sprake van ‘grote stappen, snel thuis’. Organisaties moeten Next-Gen SIEM beschouwen als een platform. Daarom is belangrijk dat ze een leverancier kiezen die pragmatisch kan inspelen op hun eisen.

Wilt u meer weten over hoe Next-Gen SIEM uw organisatie kan helpen voor een veiligere toekomst? Bezoek op 31 oktober en 1 november onze stand op de Infosecurity, Data & Cloud Expo in de Jaarbeurs. Inschrijven kan via deze link.