Sortera de falska positiva från de sanna positiva: Fråga vilken som helst expert på säkerhetsoperationscenter så kommer de att berätta att det är en av de mest utmanande aspekterna av att utveckla ett upptäckts- och svarsprogram.
När volymen av hot fortsätter att öka, har ett effektivt tillvägagångssätt för att mäta och analysera denna typ av prestationsdata blivit mer avgörande för en organisations upptäckts- och svarsprogram. På fredagen vid Black Hat Asia-konferensen i Singapore uppmuntrade Allyn Stott, senior personalingenjör på Airbnb, säkerhetspersonal att ompröva hur de använder sådana mätvärden i sina upptäckts- och svarsprogram – ett ämne som han tog upp förra årets Black Hat Europe.
"I slutet av det samtalet var mycket av feedbacken jag fick:" Det här är bra, men vi vill verkligen veta hur vi kan bli bättre på mätvärden, " säger Stott till Dark Reading. "Det är ett område där jag har sett många kamper."
Vikten av mått
Mätvärden är avgörande för att bedöma effektiviteten av ett upptäckts- och svarsprogram eftersom de driver förbättringar, minskar effekten av hot och validerar investeringar genom att visa hur programmet minskar risken för verksamheten, säger Stott.
"Mätvärden hjälper oss att kommunicera vad vi gör och varför människor borde bry sig", säger Stott. "Det är särskilt viktigt vid upptäckt och svar eftersom det är väldigt svårt att förstå ur ett affärsperspektiv."
Det mest kritiska området för att leverera effektiva mätvärden är varningsvolymen: "Varje säkerhetscentral jag någonsin har arbetat i eller någonsin gått in i, det är deras primära mätvärde", säger Stott.
Att veta hur många larm som kommer in är viktigt men i sig är det fortfarande inte tillräckligt, tillägger han.
"Frågan är alltid "Hur många varningar ser vi?", säger Stott. "Och det säger dig ingenting. Jag menar, det berättar hur många varningar organisationen får. Men det berättar faktiskt inte om ditt upptäckts- och svarsprogram fångar upp fler saker.”
Att effektivt utnyttja mätvärden kan vara komplext och arbetsintensivt, vilket bidrar till utmaningen att effektivt mäta hotdata, säger Stott. Han erkänner att han har gjort sin del av misstagen när det gäller tekniska mätetal för att bedöma effektiviteten av säkerhetsoperationer.
Som ingenjör utvärderar Stott rutinmässigt effektiviteten av de sökningar han gör och de verktyg han använder, och försöker få korrekta sanna och falska positiva frekvenser för upptäckta hot. Utmaningen för honom och de flesta säkerhetspersonal är att koppla den informationen till verksamheten.
Att implementera ramar på rätt sätt är avgörande
Ett av hans största misstag var hans tillvägagångssätt att fokusera för mycket på MITER ATT & CK-ramverk. Även om Stott säger att han tror att det ger kritiska detaljer om hotaktörers olika hottekniker och aktiviteter och organisationer bör använda det, betyder det inte att de ska tillämpa det på allt.
"Varje teknik kan ha 10, 15, 20 eller 100 olika varianter", säger han. "Och så att ha 100 % täckning är en ganska galen strävan."
Förutom MITER ATT&CK rekommenderar Stott att du använder SANS Institute Jaktmognadsmodell (HMM), som hjälper till att beskriva en organisations befintliga hot-jaktförmåga och ger en plan för att förbättra den.
"Det ger dig möjligheten att, som ett mått, säga var du är så långt som din mognad idag och hur de investeringar du planerar att göra eller de projekt du planerar att göra kommer att öka din mognad," Stott säger.
Han rekommenderar också att man använder Säkerhetsinstitutets SABRE ram, som tillhandahåller riskhanterings- och säkerhetsprestandamått validerade med tredjepartscertifieringar.
"Istället för att testa över hela MITER ATT&CK-ramverket, arbetar du faktiskt på en prioriterad lista över tekniker, som inkluderar att använda MITER ATT&CK som ett verktyg," säger han. "På det sättet tittar du inte bara på din hotinformation utan också på säkerhetsincidenter och hot som skulle vara kritiska risker för organisationen."
Användning av dessa riktlinjer för mätvärden kräver inköp från CISO:er, eftersom det innebär att få organisatorisk anslutning till dessa olika mognadsmodeller. Ändå tenderar det att drivas av en bottom-up-strategi, där hotintelligensingenjörer är de tidiga drivkrafterna.
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
- PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
- Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
- PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
- Källa: https://www.darkreading.com/cybersecurity-analytics/rethinking-how-you-work-with-detection-response-metrics
