Estimados amigos de Inseguros !!!
Si trabajas en un SOC o eres cliente seguramente te resultará sencillo entender el concepto de Fatiga de Alerta. Es muy descriptivo. Se produce cuando recibes al día 50 alertas con eventos sospechosos… pero que no dejan de ser un indicador de que el servicio está conectado … si un día no recibes esos correos, es porque el aplicativo o datasource se ha caído, poco valor más…
Mucho se ha escrito sobre este concepto, y sin duda, es algo que no se ha terminado de solucionar ya que hablando con clientes nos cuentan que sufren de este problema, que si bien una carencia de información les produce dudas sobre la calidad de la monitorización, un exceso produce la misma sensación.
Respecto al profesional que gestiona dichas alertas, la perspectiva es distinta.
Pongamos por ejemplo un médico de atención primaria en época pre-Covid. Tu ibas con un dolor de cabeza, mal cuerpo, y te recetaba ibuprofeno cada 8 horas y si aparecía fiebre, paracetamol.
Si tus síntomas se ampliaban a estornudos, tos, mucosidad, lo mismo, y algún paliativo contra los síntomas. Así paciente tras paciente… no literalmente ¡!! A ver… lo mismo hay un top 5 o top 10 diagnósticos habituales…
Pero imagina que en ese momento vienes de un país del centro de África con posibilidad de haber contraído una enfermedad peligrosa y mortal, ¿mediante un mosquito… y tus síntomas son dolor de cabeza… mal cuerpo… crees que te van a hacer 4 análisis, 1 Tac, 23 pruebas de no se que?
El profesional sanitario sufre de una fatiga de alerta, de una monotonía, y es casi imposible que advierta de esa pequeña “alerta” de que un síntoma pueda ser algo más complejo que un proceso gripal…
Pongamos el ejemplo actual con un Covid campando por las gentes. Tu vas al médico por cualquier síntoma, y eres candidato a Covid, por qué? Fatiga de alerta. Te van a hacer 101 test especiales para ver si tu enfermedad es algo distinto? El primer día seguro que no, que te meten el palito hasta lo más hondo…
Siguiendo con el símil sanitario que tanto me gusta emplear, vamos a hablar de la inteligencia artificial, en concreto del machine learning. Vamos a poner en Google nuestros síntomas, a ver que nos recomienda la “experiencia” del buscador. Busques lo que busques, tienes un cáncer… El modelo de ML del algoritmo muchas veces no está bien planteado, o sufre desviaciones, no entiendo mucho de este tema, pero casi siempre que busco algo tengo cáncer, o tengo que comprar viagra o un rolex .
Vamos a poner un caso sencillo de fatiga de alerta, por ejemplo, un antivirus que se desactiva para actualizarse, puede que no tengamos la información de que se está actualizando y no podamos correlarlo con el “power off” por lo que no sabemos si un hecho del sistema o de un atacante. Si. ¡!!
Podríamos ver los procesos e intentar sacarlo por ahí, pero vamos a imaginar que no tenemos esa visión.
En algunos clientes que implementamos estas alertas, nos dicen que “quitemos” la regla ya que genera muchos falsos positivos… pero si quitamos la regla… ya no podremos cazar cuando alguien pare el antivirus para campar por sus anchas…
Si cada vez que un antivirus realiza el update, podemos tener un patrón del tiempo que este tarda en actualizarse, ya que posiblemente tengamos cientos de equipos realizando esta acción. Con un entrenamiento de datos podríamos obtener una desviación, y alertar cuando se produzca un “power off” de un antivirus que lleve por ejemplo, 10 minutos apagado, cuando suele tardar 4 minutos en actualizarse… y hacer esto dinámico, que si un día hay un update grande, el sistema se “actualice” y dispare la anomalía con los valores necesarios.
En este caso quizás el machine learning nos pueda ayudar, sin duda, si nos permite seguir monitorizando cuando un antivirus se apaga, y nos permite no tener 120 falsos positivos al día, el ML nos habrá ayudado. Solucionado la vida? Despedimos a los humanos? Todo ahora es ML? NO ¡!! Con calma, con inteligencia, con sentido común…
Pero si la solución 100% efectiva no es la inteligencia artificial, deberíamos introducir algún concepto en la “inteligencia” normal de nuestros operadores. Otro concepto que no invento es el de la inteligencia situacional, o inteligencia 360… que tiene más nombre de producto.
No es lo mismo una alerta de una posible subida de una webshell a una empresa con un Wordpress, que una empresa con una fuerte presencia e-commerce, y que él mismo ha sufrido un cambio importante hace una semana. Es la misma alerta, pero el contexto informa de lo posible y lo probable. Es mucho más probable que el ataque sea en el segundo caso, que en el primero. Esto es lo que deberíamos llamar inteligencia situacional.
Al final todos los eventos, alertas, sospechas de incidentes son importantes. Si como le decimos a los clientes, lo suyo sería que nunca te enviemos un correo, pero por suerte o por desgracia, hay ocasiones en las que tenemos que decirte: “eh. ¡! Has sido tu” ¿
Pongamos el ejemplo de un usuario que se hace administrador del dominio…, a las 18:00, porque si es a las 4:00 am si le vamos a dar peso, pero imagina a las 18:00… ¿quien lo ha metido al grupo? Este usuario ha hecho login local o por vpn, o por rdp desde un equipo que no es el suyo habitual… al final hay maneras de investigar la alerta y no generar preocupación al cliente, pero muchas veces no es así, y la fatiga de alertas puede que nos lleve por el camino de la confianza, y dejemos de hacer bien nuestro trabajo.
Volviendo al principio, seguro que si eres del lado operador o del lado cliente, te suenan todas estas cosas, y tenemos claro que debemos mejorar, tanto por la parte humana, como por la parte “artificial”.
Qué opinas?
Como has podido ver, seguimos con esa visión de aportar elementos ofensivos y defensivos, según el role que te toque desempeñar.
Si estás interesado en servicios de formación donde puedas ampliar tu conocimiento tanto ofensivo como defensivo, puedes consultar el Master de Ciberseguridad en Entornos Microsoft que hemos preparado en Verne para este 2021-2022.
Como siempre, gracias por leerme ¡!!