یک رویکرد دواپس را برای کاهش امنیت مثبت و منفی کاذب امتحان کنید

  • 2021-06-2

Try a DevOps Approach to Reduce Security False Positives and Negatives

راه های بسیاری برای توصیف مشکلاتی که پاپ با مثبت کاذب و منفی کاذب در علم وجود دارد, سلامتی, ارقام, پزشکی قانونی, و فلسفه. از دیدگاه امنیتی, انشعابات عملی برای هر دو وجود دارد. ابزارهای امنیتی هشدار را ایجاد می کنند یا زمانی که هیچ اتفاقی نیفتاده است (مثبت کاذب) یا نشانه های از دست رفته که اتفاق بدی رخ داده است (منفی کاذب).

مثبت کاذب می تواند منجر به غرق شدن یک تیم و سپس نادیده گرفتن هشدارهای نامربوط شود – به نوعی مانند پسری که گرگ را گریه می کند. ظاهر خود را نیاز به تعقیب کردن سرنخ های بی شماری تنها برای پیدا کردن این موضوع است که واقعا یک مشکل نیست. و همچنین نیاز به اذیت کردن سیگنال های مثبت کاذب دارند که نشان می دهد چیزی رخ داده است اما مشکلی نیست زیرا محافظت در برابر وجود دارد. منفی های کاذب بسیار خطرناک تر هستند. ممکن است یک ایمیل عصبانی از سوی رییس شما ارسال شود که خواستار "چرا داده های مشتری ما در اینترنت فروخته می شود?"هر دو مثبت کاذب و منفی کاذب بخشی ذاتی از برخورد با امنیت هستند. همه میخواهند از یک رییس خشمگین دوری کنند بنابراین قوانین امنیتی بهتری را دنبال میکنند. اما قوانین امنیتی بهتر تولید مثبت کاذب بیشتر, که می تواند در خوشنودی منجر.

ابزارهای بهتر برای ایجاد زمینه برای قوانین پیچیده تر و گردش کار خودکار می توانند کمک کنند. ما که در یک دقیقه دریافت کنید.

خطای خطاهای نوع

به نظر می رسد بیشتر شیرجه های عمیق در مورد چگونگی بروز مثبت کاذب و منفی کاذب به طور مداوم در خطاهای نوع 1 (مثبت کاذب) و خطاهای نوع 2 (منفی کاذب) فرو می روند. برای مثال, است یک لک لک پرواز را از طریق محله به عنوان یک کودک است که اثبات تحویل داده است که لک لک نوزادان تحویل — و یا فقط یک تصادف?

در مورد هر موردی که شما در حال بررسی یک الگوی رفتاری تصادفی هستید مانند اینکه یک رویداد دسترسی نادر به یک حادثه امنیتی حیاتی را نشان می دهد یا فقط سر و صدا است. فیلسوفان متوجه شدند که بسیار ساده تر است که ثابت کنیم که مخالف فرضیه شما نادرست است و نه فرضیه شما درست است. به این می گویند رد فرضیه صفر. اگر شما می توانید ببینید که یک نوزاد متولد شد در یک روز زمانی که هیچ لک لک در اطراف, سپس شما می دانید فرضیه خود را نادرست است.

فیلسوفان به این دلیل که شاعر یا مهندس نبودند به ایده انواع خطاها پایبند بودند. هیچ کس تاکنون مشخص نکرده است که "نوع" دقیقا چیست با این تفاوت که شاید این فیلسوفان پیشگام با مفهوم مفیدتری دست و پنجه نرم می کردند. بعدا فیلسوفان دیگر با خطاهای مفصل تر نوع 3 و نوع 4 همراه شدند که موارد ظریف تری را توصیف می کردند. مثلا, یک نتیجه گیری ممکن است دقیق, مانند زمانی که یک نقض امنیتی رخ داده است, اما دلیل اشتباه است. یا اینکه نتیجه گیری صحیح است اما مهم نیست زیرا سایر اقدامات امنیتی در حال انجام است. خوشبختانه این ایده های پیچیده تر هرگز در بین فیلسوفان مورد توجه قرار نگرفت.

اما گاهی اوقات شما ممکن است بر یک دوست در یک مهمانی که احساس می کند مجبور به صحبت در مورد "اشتباهات نوع تلو تلو خوردن."شاید شما باید در مورد پیامدهای رایانه های کوانتومی که قادر به اجرای عباراتی هستند که به طور همزمان درست و نادرست هستند بپرسید. ممکن است دیدگاه جالبی در مورد اینکه نامحتمل بودن گربه شررمدینگر در نهایت قضیه ناقص بودن گوردل را مغلوب خواهد کرد یا خیر. گورگدل اطمینان داشت که یک برنامه هرگز نمی تواند اظهاراتی مانند "این بیانیه غیرقابل اثبات است.”

اصطلاحات مفیدتر

مهندسان رادار جنگ جهانی دوم به روش بهتری برای حل این مشکل دست یافتند که برای تیم های امنیتی نیز مفید است: حساسیت و ویژگی.

حساسیت نرخ مثبت واقعی است که مشخصه نسبت مواردی است که یک تست چیزی شبیه به یک رویداد امنیتی یا بیماری را تشخیص می دهد.

ویژگی نرخ منفی واقعی است که نسبت دفعاتی را مشخص می کند که چیزی مانند یک بیماری یا رویداد امنیتی رخ نداده است و نتیجه منفی را از تست دریافت می کند.

مبادلات واضحی بین هر تست وجود دارد و اغلب ترکیب این تست ها برای کاهش محدودیت هر تست خاص مفید است. برای مثال شما ممکن است یک تست بسیار حساس برای شناسایی فرصت ها برای تحقیقات بیشتر ایجاد کنید. این نتایج را می توان با یک تست بسیار خاص و شاید کندتر برای شناسایی مواردی که نیاز به توجه انسان دارند بیشتر کرد.

یکی از رایج ترین بحث ها در جامعه پزشکی پیرامون چگونگی تجزیه و تحلیل داده های تست ماموگرافی توسط کشورهای مختلف است. در ایالات متحده حدود 15 درصد از زنان به اشتباه تست مثبت برای سرطان. در هلند اگرچه با یک تست مشابه شروع می شود اما این مثبت های اولیه با تجزیه و تحلیل دوم از داده های مشابه بررسی می شود و در نتیجه تنها 1 درصد از زنان به اشتباه تست مثبت می دهند.

پارادوکس مثبت کاذب

یک تصور غلط رایج با مثبت کاذب زمانی ایجاد می شود که سعی می کنید دریابید که چگونه نرخ های مثبت کاذب پایین می تواند منجر به درصد بسیار بالایی از هشدارهای بد شود. در نگاه اول ممکن است به نظر برسد که 15 درصد میزان خطا به این معنی است که تنها 15 درصد از زنانی که اعلان دریافت می کنند در واقع به این بیماری مبتلا هستند.

اما در واقع بسته به نادر بودن رویداد می تواند بسیار بدتر از این باشد. اگر فقط 1 درصد از جمعیت در واقع سرطان سپس 15 بار به عنوان بسیاری از مردم مطلع می شوند این بیماری برای هر یک که در واقع است! و این نسبت برای پدیده های حتی نادرتر نیز افزایش می یابد.

مثلا اگر نوع خاصی از رویداد امنیتی رخ دهد .01% از زمان و حکومت است 1% نرخ مثبت کاذب, سپس تیم را دریافت 100 هشدار برای هر حادثه واقعی.

رویکردهای ریاضی زیادی برای رسیدن به همان نتیجه در موارد پیچیده تر مانند تجزیه و تحلیل درخت گسل و قضیه بیز وجود دارد. ماتیسفون یک پیشرفت ساده در مورد نحوه عملکرد این کار در عمل دارد. اما نتیجه این است که تیم اغلب تا پایان با هشدار امنیتی مثبت کاذب به مراتب بیشتر از ممکن است توسط نرخ مثبت کاذب از یک قانون خاص پیشنهاد.

برخورد موثر با ایشان

پس از یک حد معینی از بررسی مثبت کاذب هیچ جا می رود, تیم خود راضی ممکن است. در نهایت, ممکن است وسوسه انگیز به چشم پوشی از طبقات خاصی از حوادث امنیتی, به خصوص اگر مثبت کاذب به طور قابل توجهی تعداد مثبت واقعی. در عین حال شایان ذکر است که هشدارهای بلند مانند سیل سیگنال های ناشی از یک حمله انکار سرویس توزیع شده ممکن است تیم شما را از تلاش های ظریف تر و پیچیده تر در پس زمینه برای تخلیه حساب های بانکی منحرف کند.

کوین ون ایمپه, پاسخ حادثه و تهدید مدیر اطلاعات در نویسو امنیت, پیشنهاد کرده است که تیم های یک رویکرد اندازه گیری به محدود کردن فرکانس و تاثیر مثبت کاذب در طرح پاسخ به حادثه خود. شما می خواهید برای حفظ مثبت کاذب کردن گزارش تهدید اینتل خود را. شما همچنین می خواهید راه هایی برای استفاده از این داده ها برای بهبود زمینه برای از بین بردن مثبت کاذب پیدا کنید.

مقابله با منفی های کاذب مستلزم یافتن راه هایی برای ایجاد الگوریتم های تشخیص بهتر است. قطعا بهتر است از تجربیات دیگران بیاموزید تا اینکه دریابید که پس از این واقعیت مورد نقض قرار گرفته اید. این همه برای یک دامنه خاص توسط سرویس دهنده ابزارهای امنیتی شما خودکار است. به عنوان مثال پلتفرم امنیتی و قابل مشاهده هوش مصنوعی قابل ردیابی به طور خودکار قوانین شناسایی نقاط ضعف امنیتی را با کشف الگوهای حمله جدید به روز می کند.

چرخه عمر سیاست را خودکار کنید

هرچه روند شما برای ساده سازی چرخه عمر سیاست امنیتی خودکار تر باشد احتمال بهبود در طول زمان بیشتر است. اگر مراحل دستی درگیر تیم خواهد بود در معرض هشدار خستگی و شاخص های ضروری را از دست ندهید.

این فرایند باید به به روزرسانی های خط مشی مانند به روزرسانی های نرم افزار نزدیک شود. این شامل خودکار سازی فرایندها برای توصیف مثبت کاذب, شناسایی زمینه مناسب برای کاهش این, و سپس به روز رسانی سیاست های امنیتی خود را.

گارتنر این قابلیت به عنوان ارکستراسیون امنیتی توصیف کرده است, اتوماسیون, و پاسخ (اوج) ابزار. جان اوتسیک, تحلیلگر اصلی در شرکت استراتژی گروه, نشان می دهد که تیم این یک گام بیشتر با یک رویکرد معماری او عملیات امنیتی و تجزیه و تحلیل معماری پلت فرم خواستار (صابون).

همچنین یافتن راه هایی برای ادغام داده ها از منابع مختلف تا حد امکان ضروری است تا بتوانید نکات مثبت کاذب را ساده تر کنید. اوتسیک پیشنهاد می کند تیم ها از یک رویکرد لایه ای برای ایجاد یک خط لوله داده استاندارد برای همبستگی داده های امنیتی در انواع تجزیه و تحلیل ها استفاده کنند. این به تیم ها اجازه می دهد تا در مورد چگونگی یکپارچه سازی قابلیت هایی مانند امنیت اطلاعات و مدیریت رویداد فکر کنند.

به خاطر داشته باشید که همیشه بین ابزارها مبادله وجود دارد. مثلا, ابزارهایی که بر جلوگیری از حملات منطقی کسب و کار متمرکز شده اند, مانند امنیت رابط های برنامه کاربردی قابل ردیابی, تجزیه و تحلیل داده های امنیتی رابط های برنامه کاربردی در سراسر رابط های برنامه کاربردی موثرتر از ممکن است زمانی که این داده ها در سراسر ابزار های شخص ثالث دست. همچنین می تواند از به روزرسانی های خودکار حاصل از جدیدترین تحقیقات امنیتی خاص برای کاهش درد به روزرسانی قوانین استفاده کند.

یکی دیگر از مزایای قابل ردیابی این است که نیاز به به روز رسانی دستی قوانین را کاهش می دهد. به عنوان هوش مصنوعی قابل ردیابی (هوش مصنوعی) ناهنجاری ها را در برابر مجموعه قوانین مشترک بررسی می کند. این سیستم را قادر می سازد تا نه تنها در برابر حملات شناخته شده بلکه از حملات ناشناخته نیز محافظت کند, بدون نیاز به کسی برای به روزرسانی قوانین. هوش مصنوعی خود را به روز می کند.

هنگامی که تیم کشف یک راه جدید برای افتراق مثبت کاذب از مثبت واقعی با فایروال های نرم افزار وب سنتی کسی که در رفتن و دستی به روز رسانی یک قانون است. در موارد دیگر, کسی ممکن است به صورت دستی توجه داشته باشید تمام ویژگی های مثبت کاذب و ارسال این تماس به فروشنده. تیم با طراحی قابل ردیابی فقط باید توجه داشته باشد که کدام هشدارها مثبت کاذب بوده اند و سیستم به طور خودکار این بازخورد را با به روزرسانی مدل هوش مصنوعی خود مرتبط می کند. این امر باعث کاهش بار تیم های فناوری اطلاعات در هر دو موضوع گزارش می شود اما همچنین تعداد مثبت کاذب مورد نیاز برای بررسی را کاهش می دهد.

لک لک ها, شرگدینگر, و امنیت نرم افزار

روش های مدرن امنیت سایبری با تمام قدرت خود هنوز پر از عدم اطمینان و پارادوکس هستند. فقط به عنوان گربه شررگدینگر لحاظ نظری می تواند مرده یا زنده بسته به حضور یک ناظر, یک هشدار امنیتی شبکه می تواند سیگنال خطر قریب الوقوع — و یا چیزی بیش از منفی کاذب مزاحم. همچنین ممکن است حواس پرتی از حمله اصلی در پس زمینه باشد.

هیچ ابزار امنیتی هرگز هر حادثه را نمی گیرد. و حتی اگر این کار را انجام دهند هکرها راهی در اطراف خود پیدا می کنند. با این حال تیم ها می توانند روند خود را برای بهبود سیاست های امنیتی خود بهبود بخشند. این به معنای ساده سازی گردش کار برای بررسی هشدارها است و نشان می دهد چه زمانی نادرست هستند و دیگر مرتبط نیستند یا به نوعی به عنوان بخشی از یک مشکل واحد به هشدارهای دیگر متصل هستند. انواع گردش کار هوش مصنوعی ساخته شده در ابزارهای قابل مشاهده قابل ردیابی می توانند از این داده ها برای تربیت قوانین بهتر استفاده کنند تا مردم مجبور نباشند.

درباره نویسنده

جورج لاوتون یک نویسنده تکنولوژی و همکار به طور منظم به ردیابی در داخل است.

برچسب ها

ثبت دیدگاه

مجموع دیدگاهها : 0در انتظار بررسی : 0انتشار یافته : ۰
قوانین ارسال دیدگاه
  • دیدگاه های ارسال شده توسط شما، پس از تایید توسط تیم مدیریت در وب منتشر خواهد شد.
  • پیام هایی که حاوی تهمت یا افترا باشد منتشر نخواهد شد.
  • پیام هایی که به غیر از زبان فارسی یا غیر مرتبط باشد منتشر نخواهد شد.