Ταξινόμηση των ψευδών θετικών από τα αληθινά θετικά: Ρωτήστε οποιονδήποτε επαγγελματία του κέντρου επιχειρήσεων ασφαλείας και θα σας πουν ότι είναι μία από τις πιο απαιτητικές πτυχές της ανάπτυξης ενός προγράμματος εντοπισμού και απόκρισης.

Καθώς ο όγκος των απειλών συνεχίζει να αυξάνεται, η αποτελεσματική προσέγγιση για τη μέτρηση και την ανάλυση αυτού του είδους δεδομένων απόδοσης έχει γίνει πιο κρίσιμη για το πρόγραμμα εντοπισμού και απόκρισης ενός οργανισμού. Την Παρασκευή, στο συνέδριο Black Hat Asia στη Σιγκαπούρη, ο Allyn Stott, ανώτερος μηχανικός προσωπικού στην Airbnb, ενθάρρυνε τους επαγγελματίες ασφαλείας να επανεξετάσουν πώς χρησιμοποιούν τέτοιες μετρήσεις στα προγράμματα εντοπισμού και απόκρισης - ένα θέμα που έθιξε το περασμένο έτος. Μαύρο Καπέλο Ευρώπη.

«Στο τέλος αυτής της ομιλίας, πολλά από τα σχόλια που έλαβα ήταν: «Είναι υπέροχο, αλλά θέλουμε πραγματικά να μάθουμε πώς μπορούμε να γίνουμε καλύτεροι στις μετρήσεις», λέει ο Stott στο Dark Reading. «Αυτός είναι ένας τομέας όπου έχω δει πολλούς αγώνες».

Η σημασία των μετρήσεων

Οι μετρήσεις είναι κρίσιμες για την αξιολόγηση της αποτελεσματικότητας ενός προγράμματος ανίχνευσης και απόκρισης επειδή οδηγούν στη βελτίωση, μειώνουν τον αντίκτυπο των απειλών και επικυρώνουν τις επενδύσεις δείχνοντας πώς το πρόγραμμα μειώνει τον κίνδυνο για την επιχείρηση, λέει ο Stott.

«Οι μετρήσεις μας βοηθούν να επικοινωνήσουμε τι κάνουμε και γιατί οι άνθρωποι πρέπει να ενδιαφέρονται», λέει ο Stott. "Αυτό είναι ιδιαίτερα σημαντικό για τον εντοπισμό και την απόκριση, επειδή είναι πολύ δύσκολο να το κατανοήσουμε από επιχειρηματική σκοπιά."

Ο πιο κρίσιμος τομέας για την παροχή αποτελεσματικών μετρήσεων είναι ο όγκος ειδοποιήσεων: "Κάθε κέντρο επιχειρήσεων ασφαλείας στο οποίο έχω δουλέψει ποτέ ή στο οποίο έχω περπατήσει ποτέ, είναι η κύρια μέτρησή τους", λέει ο Stott.

Το να γνωρίζετε πόσες ειδοποιήσεις εισέρχονται είναι σημαντικό, αλλά, από μόνο του, εξακολουθεί να μην είναι αρκετό, προσθέτει.

"Το ερώτημα είναι πάντα, "Πόσες ειδοποιήσεις βλέπουμε;"», λέει ο Stott. «Και αυτό δεν σου λέει τίποτα. Εννοώ, σας λέει πόσες ειδοποιήσεις λαμβάνει ο οργανισμός. Αλλά στην πραγματικότητα δεν σας λέει αν το πρόγραμμα ανίχνευσης και απόκρισης πιάνει περισσότερα πράγματα».

Η αποτελεσματική μόχλευση μετρήσεων μπορεί να είναι πολύπλοκη και εντατική, προσθέτοντας στην πρόκληση της αποτελεσματικής μέτρησης των δεδομένων απειλών, λέει ο Stott. Αναγνωρίζει ότι έχει κάνει το μερίδιό του σε λάθη όσον αφορά τις μηχανικές μετρήσεις για την αξιολόγηση της αποτελεσματικότητας των λειτουργιών ασφαλείας.

Ως μηχανικός, ο Stott αξιολογεί τακτικά την αποτελεσματικότητα των αναζητήσεων που πραγματοποιεί και των εργαλείων που χρησιμοποιεί, επιδιώκοντας να πάρει ακριβή ποσοστά αληθής και ψευδώς θετικά για εντοπισμένες απειλές. Η πρόκληση για τον ίδιο και τους περισσότερους επαγγελματίες ασφαλείας είναι να συνδέσουν αυτές τις πληροφορίες με την επιχείρηση.

Η σωστή εφαρμογή των πλαισίων είναι κρίσιμη 

Ένα από τα μεγαλύτερα λάθη του ήταν η προσέγγισή του στο να εστιάζει υπερβολικά στο Πλαίσιο MITER ATT & CK. Ενώ ο Stott λέει ότι πιστεύει ότι παρέχει κρίσιμες λεπτομέρειες σχετικά με τις διαφορετικές τεχνικές και δραστηριότητες απειλών των φορέων απειλής και οι οργανισμοί πρέπει να το χρησιμοποιούν, αυτό δεν σημαίνει ότι πρέπει να το εφαρμόζουν σε όλα.

«Κάθε τεχνική μπορεί να έχει 10, 15, 20 ή 100 διαφορετικές παραλλαγές», λέει. "Και έτσι το να έχεις 100% κάλυψη είναι κάπως τρελό εγχείρημα."

Εκτός από το MITER ATT&CK, ο Stott συνιστά τη χρήση του SANS Institute Κυνηγετικό μοντέλο ωριμότητας (HMM), το οποίο βοηθά στην περιγραφή της υπάρχουσας ικανότητας κυνηγιού απειλών ενός οργανισμού και παρέχει ένα σχέδιο για τη βελτίωσή της.

«Σας δίνει τη δυνατότητα, ως μέτρηση, να πείτε πού βρίσκεστε όσον αφορά την ωριμότητά σας σήμερα και πώς οι επενδύσεις που σκοπεύετε να κάνετε ή τα έργα που σχεδιάζετε να κάνετε θα αυξήσουν την ωριμότητά σας», Stott λέει.

Συνιστά επίσης τη χρήση του Ινστιτούτου Ασφαλείας πλαίσιο SABER, το οποίο παρέχει μετρήσεις διαχείρισης κινδύνου και απόδοσης ασφάλειας επικυρωμένες με πιστοποιήσεις τρίτων.

"Αντί να δοκιμάζετε σε όλο το πλαίσιο MITER ATT&CK, στην πραγματικότητα εργάζεστε σε μια λίστα τεχνικών με προτεραιότητα, η οποία περιλαμβάνει τη χρήση του MITER ATT&CK ως εργαλείου", λέει. «Με αυτόν τον τρόπο, δεν εξετάζετε μόνο τις πληροφορίες απειλών σας, αλλά και τα συμβάντα ασφαλείας και τις απειλές που θα αποτελούσαν κρίσιμους κινδύνους για τον οργανισμό».

Η χρήση αυτών των κατευθυντήριων γραμμών για τις μετρήσεις απαιτεί απόρριψη από τους CISO, καθώς σημαίνει απόκτηση συμμόρφωσης από τον οργανισμό σε αυτά τα διαφορετικά μοντέλα ωριμότητας. Ωστόσο, τείνει να καθοδηγείται από μια προσέγγιση από κάτω προς τα πάνω, όπου οι μηχανικοί πληροφοριών απειλών είναι οι πρώτοι οδηγοί.

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
• PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/cybersecurity-analytics/rethinking-how-you-work-with-detection-response-metrics