Separar los falsos positivos de los verdaderos positivos: pregúntele a cualquier profesional del centro de operaciones de seguridad y le dirá que es uno de los aspectos más desafiantes del desarrollo de un programa de detección y respuesta.

A medida que el volumen de amenazas continúa aumentando, contar con un enfoque eficaz para medir y analizar este tipo de datos de desempeño se ha vuelto más crítico para el programa de detección y respuesta de una organización. El viernes, en la conferencia Black Hat Asia en Singapur, Allyn Stott, ingeniero senior de Airbnb, alentó a los profesionales de seguridad a reconsiderar cómo utilizan dichas métricas en sus programas de detección y respuesta, un tema que abordó en la conferencia del año pasado. sombrero negro europa.

"Al final de esa charla, muchos de los comentarios que recibí fueron: 'Esto es genial, pero realmente queremos saber cómo podemos mejorar las métricas'", le dice Stott a Dark Reading. "Esa es un área donde he visto muchas luchas".

La importancia de las métricas

Las métricas son fundamentales para evaluar la eficacia de un programa de detección y respuesta porque impulsan la mejora, reducen el impacto de las amenazas y validan la inversión al demostrar cómo el programa reduce el riesgo para el negocio, afirma Stott.

"Las métricas nos ayudan a comunicar lo que hacemos y por qué a la gente debería importarle", dice Stott. "Eso es especialmente importante en la detección y respuesta porque es muy difícil de entender desde una perspectiva empresarial".

El área más crítica para entregar métricas efectivas es el volumen de alertas: “Cada centro de operaciones de seguridad en el que he trabajado o en el que he entrado es su métrica principal”, dice Stott.

Saber cuántas alertas están llegando es importante pero, por sí solo, todavía no es suficiente, añade.

"La pregunta siempre es: '¿Cuántas alertas estamos viendo?'", dice Stott. “Y eso no te dice nada. Es decir, te dice cuántas alertas recibe la organización. Pero en realidad no te dice si tu programa de detección y respuesta está detectando más cosas”.

Aprovechar eficazmente las métricas puede ser complejo y requerir mucha mano de obra, lo que se suma al desafío de medir eficazmente los datos de amenazas, afirma Stott. Reconoce que ha cometido muchos errores cuando se trata de diseñar métricas para evaluar la eficacia de las operaciones de seguridad.

Como ingeniero, Stott evalúa rutinariamente la efectividad de las búsquedas que realiza y las herramientas que utiliza, buscando obtener tasas precisas de verdaderos y falsos positivos para las amenazas detectadas. El desafío para él y para la mayoría de los profesionales de la seguridad es conectar esa información al negocio.

La implementación adecuada de los marcos es fundamental 

Uno de sus mayores errores fue su enfoque al centrarse demasiado en el Marco MITRE ATT & CK. Si bien Stott dice que cree que proporciona detalles críticos sobre las diferentes técnicas y actividades de los actores de amenazas y que las organizaciones deberían usarlo, eso no significa que deban aplicarlo a todo.

"Cada técnica puede tener 10, 15, 20 o 100 variaciones diferentes", afirma. "Y por eso tener una cobertura del 100% es una tarea descabellada".

Además de MITRE ATT&CK, Stott recomienda utilizar el software del Instituto SANS Modelo de madurez de caza (HMM), que ayuda a describir la capacidad de búsqueda de amenazas existente de una organización y proporciona un plan para mejorarla.

"Le brinda la capacidad de, como métrica, decir dónde se encuentra actualmente en cuanto a su madurez y cómo las inversiones que planea hacer o los proyectos que planea hacer aumentarán su madurez", Stott dice.

También recomienda utilizar el programa del Instituto de Seguridad. Marco SABRE, que proporciona métricas de rendimiento de seguridad y gestión de riesgos validadas con certificaciones de terceros.

"En lugar de realizar pruebas en todo el marco de MITRE ATT&CK, en realidad estás trabajando en una lista priorizada de técnicas, que incluye el uso de MITRE ATT&CK como herramienta", afirma. "De esa manera, no solo se analiza la información sobre amenazas, sino también los incidentes y amenazas de seguridad que serían riesgos críticos para la organización".

El uso de estas pautas para métricas requiere la aceptación de los CISO, ya que significa lograr la adhesión organizacional a estos diferentes modelos de madurez. Sin embargo, tiende a estar impulsado por un enfoque ascendente, donde los ingenieros de inteligencia de amenazas son los primeros impulsores.

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
• PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
• PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
• PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
• Fuente: https://www.darkreading.com/cybersecurity-analytics/rethinking-how-you-work-with-detection-response-metrics