Rethinking How You Work With Detection And Response Metrics

झूठी सकारात्मकताओं को वास्तविक सकारात्मकताओं से अलग करना: किसी भी सुरक्षा संचालन केंद्र के पेशेवर से पूछें, और वे आपको बताएंगे कि यह एक पहचान और प्रतिक्रिया कार्यक्रम विकसित करने के सबसे चुनौतीपूर्ण पहलुओं में से एक है।

जैसे-जैसे खतरों की मात्रा बढ़ती जा रही है, इस प्रकार के प्रदर्शन डेटा को मापने और विश्लेषण करने के लिए एक प्रभावी दृष्टिकोण रखना किसी संगठन के पता लगाने और प्रतिक्रिया कार्यक्रम के लिए अधिक महत्वपूर्ण हो गया है। शुक्रवार को सिंगापुर में ब्लैक हैट एशिया सम्मेलन में, एयरबीएनबी के वरिष्ठ स्टाफ इंजीनियर एलिन स्टॉट ने सुरक्षा पेशेवरों को इस बात पर पुनर्विचार करने के लिए प्रोत्साहित किया कि वे अपने पता लगाने और प्रतिक्रिया कार्यक्रमों में ऐसे मेट्रिक्स का उपयोग कैसे करते हैं - एक विषय जो उन्होंने पिछले साल उठाया था ब्लैक हैट यूरोप.

"उस बातचीत के अंत में, मुझे जो प्रतिक्रिया मिली वह यह थी, 'यह बहुत अच्छा है, लेकिन हम वास्तव में जानना चाहते हैं कि हम मेट्रिक्स में कैसे बेहतर हो सकते हैं," स्टॉट ने डार्क रीडिंग को बताया। "यह एक ऐसा क्षेत्र है जहां मैंने बहुत सारे संघर्ष देखे हैं।"

मेट्रिक्स का महत्व

स्टॉट का कहना है कि पहचान और प्रतिक्रिया कार्यक्रम की प्रभावशीलता का आकलन करने में मेट्रिक्स महत्वपूर्ण हैं क्योंकि वे सुधार लाते हैं, खतरों के प्रभाव को कम करते हैं और यह प्रदर्शित करके निवेश को मान्य करते हैं कि कार्यक्रम व्यवसाय के लिए जोखिम को कैसे कम करता है।

स्टॉट कहते हैं, "मेट्रिक्स हमें यह बताने में मदद करते हैं कि हम क्या करते हैं और लोगों को इसकी परवाह क्यों करनी चाहिए।" "यह पता लगाने और प्रतिक्रिया देने में विशेष रूप से महत्वपूर्ण है क्योंकि व्यावसायिक दृष्टिकोण से इसे समझना बहुत मुश्किल है।"

प्रभावी मेट्रिक्स प्रदान करने के लिए सबसे महत्वपूर्ण क्षेत्र अलर्ट वॉल्यूम है: "प्रत्येक सुरक्षा संचालन केंद्र जिसमें मैंने कभी काम किया है या कभी वहां गया हूं, यह उनका प्राथमिक मीट्रिक है," स्टॉट कहते हैं।

उन्होंने आगे कहा, यह जानना महत्वपूर्ण है कि कितने अलर्ट आ रहे हैं, लेकिन अपने आप में यह अभी भी पर्याप्त नहीं है।

"सवाल हमेशा यही होता है, 'हम कितने अलर्ट देख रहे हैं?'" स्टॉट कहते हैं। “और वह आपको कुछ नहीं बताता। मेरा मतलब है, यह आपको बताता है कि संगठन को कितने अलर्ट प्राप्त होते हैं। लेकिन यह वास्तव में आपको यह नहीं बताता कि आपका पता लगाने और प्रतिक्रिया कार्यक्रम अधिक चीजों को पकड़ रहा है या नहीं।

स्टॉट का कहना है कि मेट्रिक्स का प्रभावी ढंग से लाभ उठाना जटिल और श्रम-गहन हो सकता है, जिससे खतरे के डेटा को प्रभावी ढंग से मापने की चुनौती बढ़ जाती है। वह स्वीकार करते हैं कि जब सुरक्षा अभियानों की प्रभावशीलता का आकलन करने के लिए इंजीनियरिंग मेट्रिक्स की बात आती है तो उन्होंने कुछ गलतियाँ की हैं।

एक इंजीनियर के रूप में, स्टॉट नियमित रूप से अपने द्वारा की जाने वाली खोजों और उनके द्वारा उपयोग किए जाने वाले उपकरणों की प्रभावशीलता का मूल्यांकन करता है, ताकि पता लगाए गए खतरों के लिए सटीक सही और गलत-सकारात्मक दर प्राप्त की जा सके। उनके और अधिकांश सुरक्षा पेशेवरों के लिए चुनौती उस जानकारी को व्यवसाय से जोड़ना है।

रूपरेखाओं को ठीक से लागू करना महत्वपूर्ण है

उनकी सबसे बड़ी गलतियों में से एक उनका बहुत अधिक ध्यान केंद्रित करने का दृष्टिकोण था MITER ATT और CK फ्रेमवर्क. जबकि स्टॉट का कहना है कि उनका मानना है कि यह खतरे वाले अभिनेताओं की विभिन्न खतरनाक तकनीकों और गतिविधियों पर महत्वपूर्ण विवरण प्रदान करता है और संगठनों को इसका उपयोग करना चाहिए, इसका मतलब यह नहीं है कि उन्हें इसे हर चीज पर लागू करना चाहिए।

वे कहते हैं, "हर तकनीक में 10, 15, 20 या 100 अलग-अलग विविधताएँ हो सकती हैं।" "और इसलिए 100% कवरेज होना एक पागलपन भरा प्रयास है।"

MITER ATT&CK के अलावा, स्टॉट SANS संस्थान का उपयोग करने की अनुशंसा करता है शिकार परिपक्वता मॉडल (एचएमएम), जो किसी संगठन की मौजूदा खतरे-शिकार क्षमता का वर्णन करने में मदद करता है और इसे बेहतर बनाने के लिए एक खाका प्रदान करता है।

"यह आपको एक मीट्रिक के रूप में, यह बताने की क्षमता देता है कि आज आप अपनी परिपक्वता के स्तर पर कहां हैं और जो निवेश आप करने की योजना बना रहे हैं या जिन परियोजनाओं पर आप काम करने की योजना बना रहे हैं, वे आपकी परिपक्वता को कैसे बढ़ाएंगी," स्टॉट कहते हैं.

वह सुरक्षा संस्थान का उपयोग करने की भी अनुशंसा करता है कृपाण ढांचा, जो तृतीय-पक्ष प्रमाणपत्रों के साथ मान्य जोखिम प्रबंधन और सुरक्षा प्रदर्शन मेट्रिक्स प्रदान करता है।

वे कहते हैं, "सभी MITER ATT&CK ढांचे में परीक्षण करने के बजाय, आप वास्तव में तकनीकों की प्राथमिकता वाली सूची पर काम कर रहे हैं, जिसमें एक उपकरण के रूप में MITER ATT&CK का उपयोग करना शामिल है।" "इस तरह, आप न केवल अपने खतरे की जानकारी को देख रहे हैं बल्कि सुरक्षा घटनाओं और खतरों को भी देख रहे हैं जो संगठन के लिए महत्वपूर्ण जोखिम होंगे।"

मेट्रिक्स के लिए इन दिशानिर्देशों के उपयोग के लिए सीआईएसओ से खरीद-फरोख्त की आवश्यकता होती है, क्योंकि इसका मतलब इन विभिन्न परिपक्वता मॉडलों के लिए संगठनात्मक अनुपालन प्राप्त करना है। फिर भी, यह नीचे से ऊपर के दृष्टिकोण से संचालित होता है, जहां खतरे के खुफिया इंजीनियर शुरुआती चालक होते हैं।

एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
प्लेटोईएसजी. कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
स्रोत: https://www.darkreading.com/cybersecurity-analytics/rethinking-how-you-work-with-detection-response-metrics

जनरेटिव डेटा इंटेलिजेंस

आप जांच और प्रतिक्रिया मेट्रिक्स के साथ कैसे काम करते हैं, इस पर पुनर्विचार करना

मेट्रिक्स का महत्व

रूपरेखाओं को ठीक से लागू करना महत्वपूर्ण है

ओपनएआई एआई-संचालित खोज के साथ Google और उलझन को चुनौती दे सकता है: रिपोर्ट - डिक्रिप्ट

क्रिप्टो व्हेल ने एक दिन के उन्माद में बिटकॉइन में $2.9 बिलियन छीन लिए

नवीनतम खुफिया

नाइजीरिया राष्ट्रीय सुरक्षा चिंताओं के कारण पी2पी क्रिप्टो ट्रेडिंग को गैरकानूनी घोषित करने के लिए तैयार है

वेब3 गेमिंग रिसेप्शन संदेह से उत्साह में बदल गया: श्रापनेल स्टूडियो के प्रमुख

ट्रम्प के तहत एसईसी क्रिप्टो विनियमन को 'जोरदार ढंग से आगे बढ़ाएगा' - पूर्व नियामक का कहना है

ग्रेस्केल बिटकॉइन ईटीएफ ने हार का सिलसिला तोड़ दिया, $63 मिलियन जुटाए - डिक्रिप्ट

पूर्व एफटीएक्स कार्यकारी प्ली डील में $5.9 मिलियन बहामास संपत्ति हस्तांतरित करने के लिए सहमत हैं

क्रिप्टो मंदी एक खरीदारी का अवसर: BitMEX के संस्थापक कहते हैं, 'मई में खरीदें, चले जाएं'

हमारे साथ चैट करें