将误报与真报进行分类:询问任何安全运营中心专业人员,他们会告诉您这是开发检测和响应程序中最具挑战性的方面之一。
随着威胁数量持续增加,采用有效的方法来衡量和分析此类性能数据对于组织的检测和响应计划变得更加重要。周五,在新加坡举行的黑帽亚洲会议上,Airbnb 的高级工程师艾琳·斯托特 (Allyn Stott) 鼓励安全专业人员重新考虑如何在检测和响应计划中使用这些指标——这是他去年提出的一个话题。 欧洲黑帽.
“在那次演讲结束时,我收到的很多反馈都是,‘这很棒,但我们真的想知道如何在指标方面做得更好,’”斯托特告诉 Dark Reading。 “这是一个我看到很多挣扎的领域。”
指标的重要性
斯托特说,指标对于评估检测和响应计划的有效性至关重要,因为它们可以推动改进,减少威胁的影响,并通过展示该计划如何降低业务风险来验证投资。
“指标帮助我们传达我们所做的事情以及为什么人们应该关心,”斯托特说。 “这对于检测和响应尤其重要,因为从业务角度很难理解。”
提供有效指标的最关键领域是警报量:“我曾经工作过或曾经走进过的每个安全运营中心,这是他们的主要指标,”斯托特说。
他补充道,了解有多少警报传入很重要,但仅了解警报数量还不够。
“问题始终是,‘我们看到了多少警报?’”斯托特说。 “这并不能告诉你任何事情。我的意思是,它告诉您组织收到了多少警报。但它实际上并不能告诉你你的检测和响应程序是否正在捕获更多的东西。”
斯托特说,有效利用指标可能很复杂且需要大量人力,这增加了有效衡量威胁数据的挑战。他承认,在评估安全运营有效性的工程指标方面,他犯了一些错误。
作为一名工程师,斯托特经常评估他进行的搜索和他使用的工具的有效性,寻求获得检测到的威胁的准确真报率和误报率。他和大多数安全专业人员面临的挑战是将这些信息与业务联系起来。
正确实施框架至关重要
他最大的错误之一是他的方法过于关注 MITRE ATT&CK框架。虽然斯托特表示,他认为它提供了有关威胁行为者不同威胁技术和活动的关键细节,组织应该使用它,但这并不意味着他们应该将其应用于所有事情。
“每种技术都可以有 10、15、20 或 100 种不同的变化,”他说。 “因此,实现 100% 的覆盖率是一项疯狂的努力。”
除了 MITRE ATT&CK 之外,Stott 还建议使用 SANS Institute 的 狩猎成熟度模型(HMM),它有助于描述组织现有的威胁搜寻能力,并提供改进它的蓝图。
“它使你能够作为一个衡量标准,说明你目前的成熟度,以及你计划进行的投资或计划进行的项目将如何提高你的成熟度,”斯托特说。
他还建议使用安全研究所的 军刀框架,它提供经过第三方认证验证的风险管理和安全性能指标。
“您实际上不是在测试所有 MITRE ATT&CK 框架,而是在研究优先的技术列表,其中包括使用 MITRE ATT&CK 作为工具,”他说。 “这样,您不仅可以查看威胁情报,还可以查看对组织构成重大风险的安全事件和威胁。”
使用这些指标指南需要 CISO 的支持,因为这意味着组织要遵守这些不同的成熟度模型。然而,它往往是由自下而上的方法驱动的,威胁情报工程师是早期的驱动者。
