Apakah Anda pernah menghitung tingkat true positive (TPR) dari program keamanan Anda? Pernahkah Anda mempertimbangkan MENGAPA Anda perlu melacak metrik ini? Apakah ada standar industri yang dapat dijadikan acuan? Dalam seri blog dua bagian ini, kita akan membahas pertanyaan-pertanyaan ini dan melihat bagaimana wawasan dari pelacakan metrik ini dapat digunakan untuk meningkatkan program keamanan siber, mengevaluasi efektivitas alat yang digunakan, serta mencari jawaban tentang tingkat true positive yang “dapat diterima.”
Mendefinisikan False Positive
Ketika membahas tingkat true positive (TPR), langkah pertama adalah mendefinisikan apa itu true positive. Dalam latihan ini, saya akan memberikan beberapa definisi umum dari false positive (FP) dan mengeluarkannya dari kumpulan data kita. Dengan demikian, yang tersisa adalah true positive (TP). Kita dapat menggunakan rumus dasar berikut untuk menghitung tingkat true positive:
TPR=TPTP+FPTPR = \frac{TP}{TP + FP}
Secara historis, istilah “false positive” digunakan untuk menunjukkan bahwa pemindai kerentanan kita “secara keliru mengindikasikan adanya kerentanan.” Ini masih menjadi definisi pertama dalam glosarium istilah online NIST. Namun, definisi false positive telah berkembang mencakup pernyataan seperti “Peringatan yang secara keliru menunjukkan adanya aktivitas berbahaya” atau “Salah mengklasifikasikan aktivitas yang aman sebagai aktivitas berbahaya.” Karena cakupan istilah ini semakin luas, mengklasifikasikan sebuah peringatan sebagai false positive bisa menjadi topik yang kontroversial, tergantung pada siapa yang Anda ajak bicara. Coba saja diskusikan tingkat false positive dengan vendor alat keamanan, dan Anda akan mengerti maksud saya.
Menguji Sebuah Contoh
Sebagai latihan pemikiran, mari kita ambil contoh berikut: jika seorang Administrator Jaringan menjalankan pemindaian Nmap yang tidak terjadwal sebagai bagian dari tugas hariannya, yang kemudian memicu aturan SIEM untuk mendeteksi pemindaian jaringan, apakah ini termasuk true positive atau false positive?
Di satu sisi, SIEM merespons sesuai dengan aturan yang dibuat—mendeteksi seseorang yang menjalankan pemindaian jaringan, jadi ini adalah true positive. Namun, di sisi lain, aktivitas pemindaian ini dapat diterima dalam organisasi karena dilakukan oleh seorang Administrator Jaringan, sehingga tidak dianggap sebagai “perilaku berbahaya” dan bisa juga dikategorikan sebagai false positive.
Haruskah analis SOC menutup tiket ini sebagai true positive atau false positive? Haruskah analis Tier 3 meninjau tiket ini, mengajukan deteksi ini untuk penyempurnaan aturan, dan menghapus semua Administrator Jaringan dari aturan deteksi?
Dari sini, Anda bisa melihat mengapa memiliki definisi false positive yang kuat sangatlah penting. Jika kita mengklasifikasikan deteksi ini sebagai false positive (karena tidak berbahaya), maka proses selanjutnya bisa menambah beban kerja bagi staf yang bertanggung jawab atas penyempurnaan aturan dan bahkan bisa menciptakan celah keamanan. Misalnya, menghapus sekelompok pengguna tertentu dari aturan deteksi bisa berdampak besar jika salah satu akun mereka dikompromikan. Namun, membiarkan aturan deteksi tetap seperti itu bisa menyebabkan kejenuhan di tim SOC karena terlalu sering menerima peringatan. “Oh, itu Bob yang melakukan pemindaian lagi, abaikan saja.”
Memperkenalkan Definisi Baru
Untuk menangani metrik yang cukup kompleks ini, kita perlu memperkenalkan definisi ketiga: bahwa sebuah peringatan bisa dikategorikan sebagai True Positive: Benign (TP:B). Konsep ini dapat diperluas lebih jauh dengan menciptakan kategori lain, yaitu True Positive: Acceptable Risk (TP:AR), yang digunakan untuk mencatat semua peringatan yang diterima tetapi diabaikan karena sumber peringatan tersebut telah diklasifikasikan sebagai “pengecualian.” Kita semua pasti memiliki kasus seperti ini dalam sistem kita.
Menambahkan pengukuran yang lebih rinci ini memungkinkan kita untuk mengklasifikasikan peringatan dengan lebih akurat dan menetapkan jalur kerja yang lebih baik dibandingkan dengan sistem klasifikasi biner true positive vs. false positive yang terbatas. Dengan demikian, kita dapat menggunakan metrik “true positive” ini untuk melacak peningkatan dalam program keamanan kita. Dengan adanya kategori tambahan ini, rumus tingkat true positive kita menjadi:
TPR = (TP + TP:B + TP:AR) ÷ (TP + TP:AR + TP:B + FP)
Dengan false positive didefinisikan sebagai:
FP = Total alerts – (TP + TP:AR + TP:B)
Dalam postingan berikutnya, kami akan mengeksplorasi definisi true positive yang diperluas serta alur kerja yang terkait dengan klasifikasi tersebut.
Anda menghadapi serangan yang terus-menerus, beberapa di antaranya bahkan tidak Anda ketahui keberadaannya. Sebagai titik masuk utama bagi serangan, pengguna merupakan vektor yang sulit untuk dipantau dan diamankan. Untuk menghadapi gelombang serangan ini, Anda perlu memusatkan perhatian pada pengguna dengan memanfaatkan kekuatan analisis perilaku pengguna dan entitas (UEBA).
Infrastruktur IT yang kuat adalah kunci pertumbuhan bisnis. logrhythm menyediakan solusi terbaik, mulai dari jaringan, storage, cloud, hingga keamanan siber, yang diintegrasikan oleh iLogo Indonesia agar sesuai dengan kebutuhan bisnis Anda.
Pelajari lebih lanjut di logrhythm.ilogoindonesia.id dan konsultasikan kebutuhan IT Anda dengan kami!
