Отделение ложных срабатываний от истинных срабатываний: спросите любого специалиста центра управления безопасностью, и он скажет вам, что это один из самых сложных аспектов разработки программы обнаружения и реагирования.
Поскольку объем угроз продолжает расти, эффективный подход к измерению и анализу такого рода данных о производительности становится все более важным для программы обнаружения и реагирования организации. В пятницу на конференции Black Hat Asia в Сингапуре Эллин Стотт, старший инженер Airbnb, призвал специалистов по безопасности пересмотреть то, как они используют такие показатели в своих программах обнаружения и реагирования — тему, которую он затронул в прошлогоднем выпуске. Черная шляпа Европа.
«В конце этого выступления я получил большую часть отзывов: «Это здорово, но мы действительно хотим знать, как мы можем улучшить показатели», — рассказывает Стотт Dark Reading. «Это область, где я видел много проблем».
Важность показателей
По словам Стотта, показатели имеют решающее значение для оценки эффективности программы обнаружения и реагирования, поскольку они способствуют улучшению, уменьшают воздействие угроз и подтверждают инвестиции, демонстрируя, как программа снижает риск для бизнеса.
«Метрики помогают нам рассказать о том, что мы делаем и почему людям это должно быть интересно», — говорит Стотт. «Это особенно важно при обнаружении и реагировании, потому что это очень сложно понять с точки зрения бизнеса».
Наиболее важной областью для предоставления эффективных показателей является объем оповещений: «Каждый центр управления безопасностью, в котором я когда-либо работал или в который когда-либо заходил, — это их основной показатель», — говорит Стотт.
Знать, сколько поступает предупреждений, важно, но одного этого недостаточно, добавляет он.
«Вопрос всегда заключается в следующем: «Сколько предупреждений мы видим?», — говорит Стотт. «И это вам ни о чем не говорит. Я имею в виду, он сообщает вам, сколько предупреждений получает организация. Но на самом деле это не говорит вам, обнаруживает ли ваша программа обнаружения и реагирования больше вещей».
По словам Стотта, эффективное использование показателей может быть сложным и трудоемким, что усложняет задачу эффективного измерения данных об угрозах. Он признает, что допустил немало ошибок, когда дело дошло до разработки показателей для оценки эффективности операций по обеспечению безопасности.
Будучи инженером, Стотт регулярно оценивает эффективность проводимых им поисков и используемых им инструментов, стремясь получить точные показатели истинного и ложноположительного результата для обнаруженных угроз. Задача для него и большинства специалистов по безопасности — связать эту информацию с бизнесом.
Правильная реализация фреймворков имеет решающее значение
Одной из его самых больших ошибок был его подход, когда он слишком много внимания уделял Фреймворк MITER ATT & CK. Хотя Стотт говорит, что, по его мнению, он предоставляет важную информацию о различных методах и действиях злоумышленников, и организации должны его использовать, это не значит, что они должны применять его ко всему.
«Каждая техника может иметь 10, 15, 20 или 100 различных вариаций», — говорит он. «Поэтому 100-процентное покрытие — это своего рода сумасшедшая затея».
Помимо MITRE ATT&CK, Стотт рекомендует использовать Модель охотничьей зрелости (HMM), который помогает описать существующие возможности организации по поиску угроз и предоставляет схему их улучшения.
«Это дает вам возможность в качестве показателя сказать, на каком этапе вашей зрелости вы находитесь сегодня и как инвестиции, которые вы планируете сделать, или проекты, которые вы планируете реализовать, повысят вашу зрелость», — Стотт. говорит.
Он также рекомендует использовать САБР фреймворк, который предоставляет показатели эффективности управления рисками и безопасности, подтвержденные сторонними сертификатами.
«Вместо того, чтобы тестировать всю структуру MITRE ATT&CK, вы фактически работаете над приоритетным списком методов, который включает использование MITRE ATT&CK в качестве инструмента», — говорит он. «Таким образом, вы смотрите не только на свою информацию об угрозах, но также на инциденты безопасности и угрозы, которые могут представлять собой критический риск для организации».
Использование этих руководящих принципов для показателей требует поддержки со стороны директоров по информационной безопасности, поскольку это означает достижение организационной приверженности этим различным моделям зрелости. Тем не менее, оно, как правило, основано на восходящем подходе, при котором инженеры по анализу угроз являются первыми движущими силами.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/cybersecurity-analytics/rethinking-how-you-work-with-detection-response-metrics
