將誤報與真報進行分類:詢問任何安全營運中心專業人員,他們會告訴您這是開發檢測和回應程序中最具挑戰性的方面之一。
隨著威脅數量持續增加,採用有效的方法來衡量和分析此類績效數據對於組織的偵測和回應計畫變得更加重要。週五,在新加坡舉行的黑帽亞洲會議上,Airbnb 的高級工程師艾琳·斯托特(Allyn Stott) 鼓勵安全專業人員重新考慮如何在檢測和響應計劃中使用這些指標——這是他去年提出的一個話題。 歐洲黑帽.
「在那次演講結束時,我收到的許多回饋都是,『這很棒,但我們真的想知道如何在指標方面做得更好,』」斯托特告訴 Dark Reading。 “這是一個我看到很多掙扎的領域。”
指標的重要性
斯托特說,指標對於評估偵測和回應計畫的有效性至關重要,因為它們可以推動改進,減少威脅的影響,並透過展示該計畫如何降低業務風險來驗證投資。
「指標幫助我們傳達我們所做的事情以及為什麼人們應該關心,」斯托特說。 “這對於檢測和響應尤其重要,因為從業務角度很難理解。”
提供有效指標的最關鍵領域是警報量:「我曾經工作過或曾經走進過的每個安全營運中心,這是他們的主要指標,」斯托特說。
他補充道,了解有多少警報傳入很重要,但僅了解警報數量還不夠。
「問題始終是,『我們看到了多少警報?』」斯托特說。 「這並不能告訴你任何事。我的意思是,它告訴您組織收到了多少警報。但它實際上並不能告訴你你的檢測和響應程式是否正在捕獲更多的東西。
斯托特說,有效利用指標可能很複雜且需要大量人力,這增加了有效衡量威脅數據的挑戰。他承認,在評估安全營運有效性的工程指標方面,他犯了一些錯誤。
作為一名工程師,斯托特經常評估他進行的搜尋和他使用的工具的有效性,尋求獲得檢測到的威脅的準確真報率和誤報率。他和大多數安全專業人員面臨的挑戰是將這些資訊與業務聯繫起來。
正確實施框架至關重要
他最大的錯誤之一是他的方法過於關注 MITRE ATT&CK 框架。雖然斯托特表示,他認為它提供了有關威脅行為者不同威脅技術和活動的關鍵細節,組織應該使用它,但這並不意味著他們應該將其應用於所有事情。
「每種技術都可以有 10、15、20 或 100 種不同的變化,」他說。 “因此,實現 100% 的覆蓋率是一項瘋狂的努力。”
除了 MITRE ATT&CK 之外,Stott 還建議使用 SANS Institute 的 狩獵成熟度模型(HMM),它有助於描述組織現有的威脅搜尋能力,並提供改進它的藍圖。
「它使你能夠作為一個衡量標準,說明你目前的成熟度,以及你計劃進行的投資或計劃進行的項目將如何提高你的成熟度,」斯托特說。
他也建議使用安全研究所的 軍刀框架,它提供經過第三方認證驗證的風險管理和安全性能指標。
「您實際上不是在測試所有 MITRE ATT&CK 框架,而是在研究優先的技術列表,其中包括使用 MITRE ATT&CK 作為工具,」他說。 “這樣,您不僅可以查看威脅情報,還可以查看對組織構成重大風險的安全事件和威脅。”
使用這些指標指南需要 CISO 的支持,因為這意味著組織必須遵守這些不同的成熟度模型。然而,它往往是由自下而上的方法驅動的,威脅情報工程師是早期的驅動者。
