True positive
ConceptenEen aanval herkennen die ook echt een aanval is.
Een true positive is een beveiligingsalert die correct een werkelijke dreiging of kwetsbaarheid identificeert. Wanneer een intrusion detection system een aanval detecteert en die aanval blijkt daadwerkelijk plaats te vinden, is dat een true positive. Het begrip komt uit de signaaldetectietheorie en is fundamenteel voor het begrijpen van de effectiviteit van beveiligingstools. Hoe hoger het percentage true positives ten opzichte van het totale aantal alerts, hoe betrouwbaarder jouw beveiligingsmonitoring functioneert.
Waarom is het true positive-concept belangrijk?
In cybersecurity draait alles om het onderscheiden van echte dreigingen van ruis. Beveiligingssystemen genereren dagelijks honderden tot duizenden alerts. Niet elk alert wijst op een daadwerkelijke aanval. Het vermogen om true positives te onderscheiden van false positives bepaalt of jouw securityteam effectief dreigingen bestrijdt of verdrinkt in waardeloze meldingen.
De vier mogelijke uitkomsten bij beveiligingsdetectie zijn: true positive waarbij een echte dreiging correct wordt gedetecteerd, false positive waarbij een onschuldige activiteit onterecht als dreiging wordt aangemerkt, true negative waarbij normale activiteit correct als veilig wordt beoordeeld, en false negative waarbij een echte dreiging wordt gemist door het detectiesysteem. Van deze vier is de false negative het gevaarlijkst, maar de false positive kost het meeste tijd en aandacht van analisten.
SOC-analisten die dagelijks honderden alerts verwerken, raken snel vermoeid wanneer het merendeel false positives blijkt te zijn. Deze alertmoeheid leidt ertoe dat analisten alerts minder grondig onderzoeken of zelfs negeren. Het gevolg is dat echte dreigingen, de true positives, worden gemist omdat ze verdrinken in de stroom van valse meldingen. Onderzoek toont aan dat securityteams tot 45 procent van hun tijd besteden aan het onderzoeken van false positives.
Een hoge true positive rate betekent dat jouw beveiligingstools nauwkeurig zijn afgesteld. Dit bespaart tijd, vermindert alertmoeheid en verhoogt de kans dat daadwerkelijke aanvallen snel worden opgemerkt en afgehandeld. Het optimaliseren van de true positive rate is daarom een doorlopende prioriteit voor elk Security Operations Center dat serieus bezig is met dreigingsdetectie.
De verhouding tussen true positives en false positives wordt direct beinvloed door de gevoeligheid van detectieregels. Strengere regels vangen meer dreigingen maar genereren ook meer valse meldingen. Soepelere regels produceren minder ruis maar missen vaker echte aanvallen. Het vinden van de juiste balans is een van de grootste uitdagingen in security monitoring en vereist continu afstemming op het actuele dreigingslandschap.
Hoe pas je het true positive-concept toe?
Begin met het meten van jouw huidige true positive rate. Analyseer een representatieve steekproef van alerts over een periode van minstens een maand. Categoriseer elk alert als true positive, false positive, of onbepaalbaar. Bereken het percentage true positives ten opzichte van het totaal. Een mature SOC streeft naar een true positive rate van minimaal 80 procent voor kritieke detectieregels.
Optimaliseer detectieregels op basis van historische data. Als een specifieke SIEM-regel consistent false positives genereert, verfijn dan de triggervoorwaarden. Voeg context toe aan regels door ze te verrijken met threat intelligence en informatie over jouw specifieke omgeving. Een inloging vanuit een onbekend land is verdachter voor een organisatie zonder internationale medewerkers dan voor een multinational.
Machine learning en AI verbeteren de true positive rate door patronen te herkennen die traditionele regelgebaseerde systemen missen. Deze technologieen leren van historische data welke combinaties van signalen daadwerkelijk wijzen op een dreiging. Door gebruikersgedrag te profileren kunnen anomalieen nauwkeuriger worden geidentificeerd, wat leidt tot minder false positives en meer betrouwbare true positives.
Implementeer een feedbackloop tussen analisten en detectie-engineers. Wanneer een analist een alert classificeert als true positive of false positive, moet deze informatie worden teruggekoppeld naar het team dat detectieregels beheert. Deze feedbackloop zorgt voor continue verbetering van de detectiekwaliteit. Documenteer welke contextinformatie het verschil maakte bij het classificeren van een alert, zodat dit kan worden opgenomen in geautomatiseerde verrijking.
True positives in de praktijk
Een praktijkvoorbeeld van een true positive: jouw intrusion detection system detecteert een reeks mislukte inlogpogingen op een beheerderssaccount, gevolgd door een succesvolle inloging vanaf een IP-adres in een land waar jouw organisatie geen activiteiten heeft. Het SIEM correleert dit met recente threat intelligence over credential stuffing-campagnes. Onderzoek bevestigt dat het account is gecompromitteerd. Dit is een true positive die tot snelle actie leidt: het account wordt geblokkeerd, het wachtwoord gereset en het systeem gecontroleerd op verdere compromittering.
Tegenover dit voorbeeld staat de situatie waarbij hetzelfde patroon wordt gedetecteerd, maar onderzoek uitwijst dat een medewerker op vakantie inlogde via een buitenlands VPN. Dat is een false positive. Het verschil tussen deze twee scenario's illustreert waarom context cruciaal is bij het beoordelen van alerts en waarom geautomatiseerde classificatie alleen niet volstaat.
In de praktijk gebruiken organisaties triage-processen om alerts te prioriteren. Alerts met een hoge waarschijnlijkheid van true positive, gebaseerd op meerdere correlerende signalen en threat intelligence, krijgen voorrang. Alerts met een lagere zekerheid worden in een wachtrij geplaatst voor later onderzoek. Dit voorkomt dat kritieke true positives verloren gaan in de stroom van minder urgente meldingen.
Het documenteren van true positives levert waardevolle threat intelligence op. Elke bevestigde aanval biedt inzicht in de tactieken, technieken en procedures van aanvallers. Door true positives te analyseren en te categoriseren volgens het MITRE ATT&CK-framework bouw je een kennisbank op van aanvalspatronen die specifiek op jouw organisatie gericht zijn. Deze kennis helpt bij het verfijnen van detectieregels en het anticiperen op toekomstige aanvallen. Bovendien kunnen deze bevindingen worden gedeeld met sectorgenoten via ISACs om het collectieve verdedigingsniveau te verhogen.
Extended Detection and Response platforms, bekend als XDR, verbeteren de true positive rate door signalen uit meerdere bronnen te correleren. Een verdachte e-mail gecombineerd met een verdachte download en een ongebruikelijke netwerkverbinding samen vormen een veel sterker signaal dan elk element afzonderlijk. Door deze correlatie stijgt de betrouwbaarheid van het alert en daarmee de kans dat het een true positive betreft die directe actie rechtvaardigt. Bekijk de beschikbare XDR-oplossingen op de vergelijkingspagina voor jouw organisatie.
Veelgestelde vragen over true positives
Wat is een goede true positive rate voor een SOC?
Een mature SOC streeft naar minimaal 80 procent true positives bij kritieke detectieregels. De ideale rate verschilt per organisatie.
Hoe verbeter je de true positive rate?
Verfijn detectieregels, voeg contextinformatie toe, gebruik threat intelligence en implementeer machine learning voor betere patroonherkenning.
Wat is het verschil tussen een true positive en een false positive?
Een true positive is een terecht alert over een echte dreiging. Een false positive is een onterecht alert over een onschuldige activiteit.
Waarom zijn true positives belangrijk voor compliance?
Toezichthouders verwachten aantoonbare detectiecapaciteit. Een hoge true positive rate bewijst dat jouw monitoring effectief functioneert.
Kan AI de true positive rate verbeteren?
Ja, AI en machine learning herkennen complexe patronen en verminderen false positives door betere contextuele analyse van alerts.
Wil je de detectiekwaliteit van jouw securitymonitoring verbeteren? Vergelijk SOC-oplossingen op IBgidsNL.