Сортування хибних спрацьовувань від істинних спрацьовувань: запитайте будь-якого спеціаліста центру безпеки, і вони скажуть вам, що це один із найскладніших аспектів розробки програми виявлення та реагування.
Оскільки кількість загроз продовжує зростати, наявність ефективного підходу до вимірювання та аналізу такого роду даних про продуктивність стає все більш критичним для програми виявлення та реагування організації. У п’ятницю на конференції Black Hat Asia у Сінгапурі Аллін Стотт, старший штатний інженер Airbnb, закликав фахівців із безпеки переглянути, як вони використовують такі показники у своїх програмах виявлення та реагування — тему, яку він порушив минулого року Чорний Капелюх Європа.
«Наприкінці цієї розмови я отримав багато відгуків: «Це чудово, але ми справді хочемо знати, як ми можемо покращити показники», — розповідає Стотт Dark Reading. «Це сфера, де я бачив багато труднощів».
Важливість показників
За словами Стотта, показники мають вирішальне значення для оцінки ефективності програми виявлення та реагування, оскільки вони стимулюють вдосконалення, зменшують вплив загроз і підтверджують інвестиції, демонструючи, як програма знижує ризики для бізнесу.
«Метрики допомагають нам повідомити, що ми робимо та чому людям це має бути цікаво», — говорить Стотт. «Це особливо важливо для виявлення та реагування, оскільки це дуже важко зрозуміти з точки зору бізнесу».
Найважливішою сферою для отримання ефективних показників є обсяг сповіщень: «У кожному центрі безпеки, де я коли-небудь працював або коли-небудь заходив, це їхній основний показник», — каже Стотт.
Знати, скільки сповіщень надходить, важливо, але цього недостатньо, додає він.
«Завжди виникає запитання: «Скільки сповіщень ми бачимо?», — говорить Стотт. «І це вам ні про що не говорить. Я маю на увазі, це говорить вам, скільки сповіщень отримує організація. Але насправді це не повідомляє вам, чи ваша програма виявлення та реагування вловлює більше речей».
За словами Стотта, ефективне використання показників може бути складним і трудомістким, що ускладнює ефективне вимірювання даних про загрози. Він визнає, що зробив свою частку помилок, коли справа доходить до інженерних показників для оцінки ефективності операцій безпеки.
Як інженер, Стотт регулярно оцінює ефективність пошуків, які він проводить, і інструментів, які він використовує, прагнучи отримати точні істинні та хибно-позитивні показники для виявлених загроз. Проблема для нього та більшості спеціалістів із безпеки полягає в тому, щоб зв’язати цю інформацію з бізнесом.
Належне впровадження фреймворків має вирішальне значення
Однією з його найбільших помилок було те, що він занадто сильно зосереджувався на Рамка MITRE ATT&CK. Хоча Стотт каже, що він вважає, що він надає важливі відомості про різні методи загроз та діяльність суб’єктів загрози, а організації повинні використовувати його, це не означає, що вони повинні застосовувати його до всього.
«Кожна техніка може мати 10, 15, 20 або 100 різних варіантів», — каже він. «І тому мати 100% покриття — це божевільна спроба».
Окрім MITRE ATT&CK, Stott рекомендує використовувати SANS Institute Модель мисливської зрілості (HMM), який допомагає описати наявні в організації можливості полювання на загрози та надає план для їх покращення.
«Це дає вам можливість, як показник, визначити, на якому етапі вашої зрілості ви перебуваєте сьогодні, і як інвестиції, які ви плануєте зробити, або проекти, які ви плануєте зробити, підвищать вашу зрілість», – Стотт. говорить.
Він також рекомендує використовувати Інститут безпеки Фреймворк SABRE, який надає показники ефективності управління ризиками та безпеки, підтверджені сторонніми сертифікатами.
«Замість того, щоб тестувати всю структуру MITER ATT&CK, ви фактично працюєте над пріоритетним списком методів, який включає використання MITER ATT&CK як інструменту», — каже він. «Таким чином ви не тільки дивитеся на свою інформацію про загрози, але й на інциденти безпеки та загрози, які становлять критичний ризик для організації».
Використання цих вказівок для метрик вимагає підтримки з боку CISO, оскільки це означає досягнення організаційної прихильності до цих різних моделей зрілості. Тим не менш, він, як правило, керується підходом "знизу вгору", де інженери з аналізу загроз є першими рушійними силами.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.darkreading.com/cybersecurity-analytics/rethinking-how-you-work-with-detection-response-metrics
