Rethinking How You Work With Detection And Response Metrics

Sortering af de falske positive fra de sande positive: Spørg enhver fagmand i sikkerhedsoperationscenter, og de vil fortælle dig, at det er et af de mest udfordrende aspekter ved at udvikle et registrerings- og responsprogram.

Efterhånden som mængden af trusler fortsætter med at stige, er det blevet mere kritisk at have en effektiv tilgang til at måle og analysere denne form for præstationsdata for en organisations detektions- og responsprogram. Fredag på Black Hat Asia-konferencen i Singapore opfordrede Allyn Stott, seniormedarbejder hos Airbnb, sikkerhedsprofessionelle til at genoverveje, hvordan de bruger sådanne målinger i deres detektions- og responsprogrammer - et emne, han tog op sidste års Black Hat Europa.

"I slutningen af den tale var meget af den feedback, jeg modtog, 'Dette er fantastisk, men vi vil virkelig gerne vide, hvordan vi kan blive bedre til metrics'," siger Stott til Dark Reading. "Det er et område, hvor jeg har set mange kampe."

Vigtigheden af metrik

Målinger er kritiske i vurderingen af effektiviteten af et detektions- og responsprogram, fordi de driver forbedringer, reducerer virkningen af trusler og validerer investeringer ved at demonstrere, hvordan programmet sænker risikoen for virksomheden, siger Stott.

"Metrics hjælper os med at kommunikere, hvad vi gør, og hvorfor folk bør bekymre sig," siger Stott. "Det er især vigtigt i detektion og respons, fordi det er meget svært at forstå fra et forretningsperspektiv."

Det mest kritiske område for levering af effektive målinger er alarmvolumen: "Hvert sikkerhedsoperationscenter, jeg nogensinde har arbejdet i eller nogensinde gået ind i, er deres primære mål," siger Stott.

Det er vigtigt at vide, hvor mange alarmer der kommer ind, men i sig selv er det stadig ikke nok, tilføjer han.

"Spørgsmålet er altid, 'Hvor mange advarsler ser vi?'" siger Stott. "Og det siger dig ikke noget. Jeg mener, det fortæller dig, hvor mange alarmer organisationen modtager. Men det fortæller dig faktisk ikke, om dit detektions- og responsprogram fanger flere ting."

Effektiv udnyttelse af målinger kan være kompleks og arbejdskrævende, hvilket bidrager til udfordringen med effektivt at måle trusselsdata, siger Stott. Han erkender, at han har begået sin andel af fejl, når det kommer til tekniske målinger for at vurdere effektiviteten af sikkerhedsoperationer.

Som ingeniør evaluerer Stott rutinemæssigt effektiviteten af de søgninger, han udfører, og de værktøjer, han bruger, og søger at få nøjagtige sand- og falsk-positive rater for opdagede trusler. Udfordringen for ham og de fleste sikkerhedsprofessionelle er at forbinde disse oplysninger med virksomheden.

Korrekt implementering af rammer er kritisk

En af hans største fejl var hans tilgang til at fokusere for meget på MITRE ATT&CK rammeværk. Selvom Stott siger, at han mener, at det giver kritiske detaljer om trusselsaktørers forskellige trusselsteknikker og aktiviteter, og organisationer bør bruge det, betyder det ikke, at de skal anvende det på alt.

"Hver teknik kan have 10, 15, 20 eller 100 forskellige variationer," siger han. "Og så at have 100 % dækning er en slags vanvittig bestræbelse."

Udover MITRE ATT&CK anbefaler Stott at bruge SANS Institute's Jagtmodenhedsmodel (HMM), som hjælper med at beskrive en organisations eksisterende trusselsjagtkapacitet og giver en plan for at forbedre den.

"Det giver dig muligheden for, som en metrik, at sige, hvor du er på, så langt som din modenhed i dag, og hvordan de investeringer, du planlægger at foretage eller de projekter, du planlægger at lave, vil øge din modenhed," Stott siger.

Han anbefaler også at bruge Sikkerhedsinstituttets SABRE rammer, som leverer risikostyrings- og sikkerhedspræstationsmålinger valideret med tredjepartscertificeringer.

"I stedet for at teste på tværs af hele MITER ATT&CK-rammeværket, arbejder du faktisk på en prioriteret liste over teknikker, som inkluderer at bruge MITER ATT&CK som et værktøj," siger han. "På den måde ser du ikke kun på din trusselsinformation, men også på sikkerhedshændelser og trusler, der ville være kritiske risici for organisationen."

Brug af disse retningslinjer for metrics kræver buy-in fra CISO'er, da det betyder at opnå organisatorisk overholdelse af disse forskellige modenhedsmodeller. Ikke desto mindre har det en tendens til at være drevet af en bottom-up tilgang, hvor trusselsefterretningsingeniører er de tidlige drivere.

SEO Powered Content & PR Distribution. Bliv forstærket i dag.
PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
Kilde: https://www.darkreading.com/cybersecurity-analytics/rethinking-how-you-work-with-detection-response-metrics

Generativ dataintelligens

Gentænke, hvordan du arbejder med registrerings- og responsmålinger

Vigtigheden af metrik

Korrekt implementering af rammer er kritisk

Atlassian outsourcer kontorarbejde til GenAI-agenter

Storbritanniens inerti på LLM'er og ophavsret er 'de facto godkendelse'

Seneste efterretninger

Vis login dato klokkeslæt

Log ind popup modal

Er Ethereum tilbage? Rekord 267,000 nye brugere giver spekulationer

Metabirkin NFT'er på vej til et museum i Stockholm – CryptoInfoNet

Tidligere DFS-regulator sikrer $5.1 millioner til Cryptocurrency Venture Fund støttet af Winklevoss Twins og Robert Leshner - CryptoInfoNet

CoinEx understreger finansielt lederskab ved det 15. nationale finanstopmøde | BitPinas

Chat med os

Generativ dataintelligens

Gentænke, hvordan du arbejder med registrerings- og responsmålinger

Vigtigheden af ​​metrik

Korrekt implementering af rammer er kritisk

Seneste efterretninger

Chat med os

Vigtigheden af metrik