Per ridurre al minimo il rischio di non riuscire a rilevare i cyberattacchi, è necessario gestire un numero elevato di falsi positivi nella logica di rilevamento. Secondo il report di analisi MDR per il 2023, il team SOC di Kaspersky ha esaminato 431.512 security alert, ma solo 32.294 sono stati identificati come risultato di 14.160 incidenti segnalati ai clienti. In questi casi, c'è molto spazio per l'automazione, tra cui l'uso di machine learning (ML), deep learning e intelligenza artificiale (IA). In particolare, Autoanalyst basato sull'AI, utilizzato nell'MDR, ha esaminato in media quasi il 30% dei falsi positivi nel 2023, riducendo il carico del team SOC di circa il 25%.
Come AI/ML aiuta a rilevare gli incidenti
L'applicazione più comune del machine learning nella cybersecurity è il rilevamento degli attacchi, dove possono essere impiegati sia l'apprendimento supervisionato che in quello non supervisionato. Nel machine learning supervisionato, il modello viene addestrato sui dati relativi all'attività degli aggressori con l'obiettivo di identificare comportamenti dannosi simili. Al contrario, l'apprendimento non supervisionato prevede la profilazione del comportamento legittimo di sistemi e servizi per rilevare anomalie, divergenze e casi fuori dalla norma. Nonostante la loro efficacia, entrambi gli approcci sono soggetti a errori, il che significa che i falsi positivi sono ancora una sfida per i sistemi di rilevamento automatico.
“Conoscendo bene l'aspetto degli attacchi moderni e sapendo che il loro rilevamento spesso si traduce in un grande volume di avvisi, i SOC stanno studiando come ridurre il carico di lavoro degli analisti con l'aiuto del ML, come migliorare l'efficienza del triage, filtrando i falsi positivi nel flusso di avvisi generato e spostando le operazioni di automazione dal semplice rilevamento degli attacchi al filtraggio delle attività legittime”, ha dichiarato Sergey Soldatov, Head of Security Operation Center di Kaspersky. “La soluzione al problema del filtraggio dei falsi positivi è Autoanalyst basato sull'IA. Questo modello di machine learning supervisionato impara dagli avvisi elaborati dal team SOC e cerca quindi di replicarne il comportamento in modo indipendente”.
Riducendo di almeno un quarto il numero di avvisi che richiedono un'indagine da parte degli analisti SOC, Autoanalyst consente di preservare le risorse del team. Inoltre, Autoanalyst gestisce gli avvisi più comuni e di routine, consentendo agli analisti SOC di concentrarsi sui casi più interessanti che richiedono un'indagine più approfondita da parte dell'uomo.
I vantaggi di AI/ML per la tecnologia MDR
Il mondo attuale è segnato da una lotta senza fine tra forze opposte e il campo della sicurezza informatica non fa eccezione. Da un lato, ci si sforza a ridurre al minimo il rischio di incidenti non rilevati, creando un numero crescente di regole di detection, comprese quelle basate su AI/ML. Questo approccio si traduce in un elevato volume di avvisi che richiedono l'attenzione del team SOC, portando a un maggior numero di falsi positivi e riducendo la capacità di reazione del sistema di rilevamento.
D'altro canto, l’obiettivo principale è ridurre i falsi positivi e alleggerire gli analisti dal carico di lavoro. Il modo più semplice per farlo è diminuire il numero totale di avvisi, ma questo aumenta la probabilità di perdere un attacco. Di conseguenza, ci si trova di fronte alla sfida di bilanciare la qualità del rilevamento con la trasformazione della logica di rilevamento: cercare di rilevare tutto ed essere sommersi dai falsi positivi, oppure non avere falsi positivi, con un tasso di conversione vicino al 100%, ma si corre il rischio di perdere alcuni attacchi.
“In generale, è possibile trovare un equilibrio tra questi estremi, ottenendo un rilevamento di alta qualità degli attacchi nascosti e riducendo contemporaneamente il numero di falsi positivi. Uno strumento per ottenere questo “interruttore” è Autoanalyst. Quando aumenta il livello di filtraggio, con una conseguente riduzione del carico di lavoro per il team SOC, cresce la probabilità di errore di classificazione”, ha concluso Sergey Soldatov.
Questo significa che gli avvisi realmente positivi potrebbero essere erroneamente classificati come falsi positivi e viceversa. Al contrario, la riduzione degli errori di classificazione porta in genere a un aumento del tasso di falsi positivi. Le statistiche dimostrano che anche gli analisti SOC possono commettere errori, quindi un piccolo margine di errore è accettabile per Autoanalyst. Nel caso di Kaspersky MDR, la probabilità di errore non supera il 2%. Questo margine di errore del 2% definisce il volume di avvisi falsi positivi che Autoanalyst può filtrare mantenendo una qualità adeguata.
La qualità del lavoro di Autoanalyst viene monitorata dinamicamente e la sua percentuale di filtraggio degli avvisi viene regolata di conseguenza. Può sembrare curioso, ma Autoanalyst ha imparato dagli analisti SOC non solo a riconoscere i falsi positivi, ma anche a “stancarsi” e a essere “sovraccaricato” con un conseguente calo della qualità. Questo problema viene affrontato attraverso una costante riqualificazione del modello se il suo margine di errore di classificazione dei falsi positivi supera il 2%.
