Karbantartás fontossága
A FalconForce blogbejegyzése szerint a detekciós mérnöki gyakorlatban a karbantartás témája gyakran háttérbe szorul, pedig kulcsfontosságú a hatékony és megbízható biztonsági rendszerek fenntartásához. A blog ávilágít arra a súlyos hiányosságra, hogy a detekciós mérnöki munka során a karbantartás témája még mindig nem kap kellő figyelmet, pedig alapvető szerepet játszik a biztonsági megfigyelőrendszerek hosszú távú hatékonyságának fenntartásában. A szerző, Agapios Tsolakis, kiindulópontként rámutat arra, hogy míg az informatikai rendszerek más területein a karbantartás természetes része a munkafolyamatoknak, addig a detekciós rendszereknél ez sokszor nem történik meg rendszerszinten, inkább csak akkor foglalkoznak vele, amikor már baj van.
A karbantartást többféle megközelítés mentén lehet értelmezni, és ezek mind relevánsak a detekciós szabályok kezelésénél. A helyesbítő karbantartás tipikusan akkor következik be, amikor egy szabály téves riasztásokat generál, vagy nem érzékel támadásokat, és azonnali javítást igényel. Az alkalmazkodó karbantartás célja az, hogy a változó környezet – például API-frissítések, új logformátumok, vagy infrastruktúraváltozások – ellenére is működőképesek maradjanak a szabályok. A tökéletesítő karbantartás során a szabályokat finomítják, hogy kevesebb hamis pozitív vagy negatív eredmény szülessen, míg a megelőző karbantartás azokat a proaktív intézkedéseket foglalja magában, amelyek a jövőbeni problémák elkerülését célozzák – ilyen például a szabályok dokumentációjának naprakészen tartása vagy a rendszeres újratesztelésük.
A detekció mint kód (Detection-as-Code) megközelítés terjedésével a karbantartásnak egyre inkább integrált részévé kellene válnia a detekciós munkafolyamatoknak. Mivel ezek a szabályok és logikák gyakran forráskódként tárolódnak és verziókezelés alá esnek, ugyanazokat a mérnöki elveket – mint az olvashatóság, modularitás, egységtesztelhetőség – kellene alkalmazni rájuk, mint bármely más kódbázis esetében. Mégis, sok biztonsági csapat nincs felkészülve ezek kezelésére, és gyakran ad hoc módon, dokumentáció és stratégia nélkül végzik a módosításokat.
Tsolakis azt is megjegyzi, hogy a karbantartás alulértékeltsége részben abból ered, hogy nehezen mérhető a hozzáadott értéke, ellentétben például egy új detekciós szabály kifejlesztésével, amelyet könnyű látványos eredményekkel bemutatni. A karbantartás viszont inkább a hibák megelőzésében és a hosszú távú stabilitás biztosításában játszik szerepet – hasonlóan, mint a szoftverfejlesztés világában. Az is gyakori, hogy a biztonsági csapatok a detekciós szabályokkal kapcsolatos munkát nem kezelik fejlesztési ciklusokként, nem használnak verziókövetést vagy CI/CD folyamatokat, és emiatt a szabályok gyorsan elavulnak, túl sok hamis riasztást generálnak, vagy egyszerűen megbízhatatlanná válnak.
A szerző végezetül felhívást intéz a szakmai közösséghez: osszák meg a detekciós szabályok karbantartására vonatkozó gyakorlati tapasztalataikat, osszák meg eszközeiket és módszertanaikat, mivel ez segíthet az iparági tudás fejlődésében és abban, hogy a karbantartás végre megkapja a neki járó figyelmet.