ההבדלים בין התראות False Positive ל False Negative בעולמות הסייבר
ערכנו סקר ושאלנו את הלקוחות השונים שלנו (כולל ספקי ענן שאותם אנו מנהלים), מהו הדבר המפריע להם ביותר במערכי SOC/אנטי וירוס/IDS/MDR וכו' – התשובה היתה – עודף התראות מסוג false positive. רוב חברות האבט"מ "מתגאות" במוצרים שמפיקים פחות התראות כוזבות מסוג "false positive". אפשר להגיד שהתראת "false positive" היא התראה כוזבת. ז"א שנשלחת התראה בגין איום כלשהו ברשת שלא באמת קיים. הבעיות בהתראות שכאלו הן בזבוז זמן ושעות עבודה של אנשי אבט"מ על אירוע שלא באמת קיים.
הגישה שלנו ב DeserveIT הינה גישה הוליסטית והסתכלות על כלל מערכות המידע בשיטת ה"שכבות", אנו מספקים פלטפורמה אחת אשר משמשת כממשק גישה לנתונים בין בסיסי הנתונים לבין מודלים של איומי אבט"מ המשמשים את האפליקציה ובעזרת גישה זו למעשה מפחיתים בצורה דרמיטת את התראות ה false positive. למעשה – כל התראה עוברת לניתוח של צוות ה SOC ורק התראות "אמיתיות" מועברות ללקוח.
מהן התראות false negative?
התראות false negative הינן התראות המופקות כאשר מערכות האבטחה המסורתיות אינן מצליחות לזהות איום ממשי. כלי אבטחה מבוססי כללים כגון מערכות SIEM מתעלמים ואינם רואים התראות שמגיעות ממנועי אבטחה כגון – WAF firewalls, מערכות IPS ועוד והם למעשה מבוססים על כללים כדי לחפש איומים ידועים. ז"א שאם האיום אינו עומד בקריטריון הבדיקה- לא תופק התראה ממערך ה SIEM. כדי לקבל התראה יש צורך במערך MDR חכם המסוגל לזהות איומים לא ידועים והתנהגות חריגה (אנומלית) . אנו משתמשים במערכת מבוססת בינה מלאכותית אשר מחפשת באופן קבוע אנומליה ברשת ושוני בהתנהגות המשתמשים. התראה אשר מגיעה ממערכות ה big data/machine learning שלנו הינן התראות מסוג false negative – התראות שעברו את מעגל אבט"מ הסטנדרטי ולמעשה התגלו בעקבות אנומליה בהתנהגות המשתמש/מערכת.