بازنگری در نحوه کار با معیارهای تشخیص و پاسخ

مرتب سازی مثبت کاذب از مثبت واقعی: از هر متخصص مرکز عملیات امنیتی بپرسید، آنها به شما خواهند گفت که این یکی از چالش برانگیزترین جنبه های توسعه یک برنامه تشخیص و پاسخ است.

از آنجایی که حجم تهدیدات همچنان در حال افزایش است، داشتن یک رویکرد موثر برای اندازه‌گیری و تجزیه و تحلیل این نوع داده‌های عملکرد، برای برنامه‌های شناسایی و واکنش سازمان حیاتی‌تر شده است. روز جمعه در کنفرانس Black Hat Asia در سنگاپور، آلین استات، مهندس ارشد کارکنان Airbnb، متخصصان امنیتی را تشویق کرد که در نحوه استفاده از چنین معیارهایی در برنامه‌های شناسایی و پاسخ خود تجدید نظر کنند - موضوعی که او در سال گذشته مطرح کرد. کلاه سیاه اروپا.

استات به Dark Reading می‌گوید: «در پایان آن سخنرانی، بسیاری از بازخوردهایی که دریافت کردم این بود: «این عالی است، اما ما واقعاً می‌خواهیم بدانیم چگونه می‌توانیم در معیارها بهتر شویم». "این منطقه ای است که من در آن مبارزات زیادی دیده ام."

اهمیت معیارها

استات می‌گوید که معیارها در ارزیابی اثربخشی یک برنامه شناسایی و پاسخ بسیار مهم هستند، زیرا باعث بهبود، کاهش تأثیر تهدیدها و اعتبار سرمایه‌گذاری با نشان دادن اینکه چگونه برنامه ریسک را برای تجارت کاهش می‌دهد، می‌شود.

استات می‌گوید: «متریک‌ها به ما کمک می‌کنند تا با آنچه انجام می‌دهیم و اینکه چرا مردم باید اهمیت دهند، ارتباط برقرار کنیم. "این به ویژه در تشخیص و پاسخ بسیار مهم است زیرا درک آن از دیدگاه تجاری بسیار دشوار است."

حیاتی‌ترین منطقه برای ارائه معیارهای موثر، حجم هشدار است: استات می‌گوید: «هر مرکز عملیات امنیتی که من تا به حال در آن کار کرده‌ام یا قدم در آن قدم گذاشته‌ام، معیار اصلی آنهاست.

او می‌افزاید که دانستن تعداد هشدارها مهم است، اما به خودی خود هنوز کافی نیست.

استات می‌گوید: «همیشه سؤال این است که «چقدر هشدار می‌بینیم؟» و این چیزی به شما نمی گوید. منظورم این است که به شما می گوید سازمان چند هشدار دریافت می کند. اما در واقع به شما نمی گوید که آیا برنامه تشخیص و پاسخ شما چیزهای بیشتری را می گیرد یا خیر.

استات می گوید که استفاده موثر از معیارها می تواند پیچیده و کار فشرده باشد و به چالش اندازه گیری موثر داده های تهدید اضافه کند. او تصدیق می کند که در مورد معیارهای مهندسی برای ارزیابی اثربخشی عملیات امنیتی، اشتباهات خود را مرتکب شده است.

به عنوان یک مهندس، استات به طور معمول اثربخشی جستجوهایی را که انجام می‌دهد و ابزارهایی که استفاده می‌کند، ارزیابی می‌کند و به دنبال دریافت نرخ‌های درست و غلط مثبت برای تهدیدهای شناسایی‌شده است. چالش برای او و بیشتر متخصصان امنیتی، اتصال آن اطلاعات به تجارت است.

اجرای درست چارچوب ها بسیار مهم است 

یکی از بزرگترین اشتباهات او رویکرد او در تمرکز بیش از حد بر روی آن بود چارچوب MITER ATT&CK. در حالی که استات می گوید معتقد است که جزئیات مهمی در مورد تکنیک ها و فعالیت های مختلف تهدید بازیگران تهدید ارائه می دهد و سازمان ها باید از آن استفاده کنند، این بدان معنا نیست که آنها باید آن را در همه چیز اعمال کنند.

او می گوید: «هر تکنیک می تواند 10، 15، 20 یا 100 تنوع مختلف داشته باشد. "و بنابراین داشتن پوشش 100٪ نوعی تلاش دیوانه کننده است."

علاوه بر MITER ATT&CK، استات استفاده از موسسه SANS را توصیه می کند مدل بلوغ شکار (HMM)، که به توصیف قابلیت موجود سازمان برای شکار تهدید کمک می کند و طرحی برای بهبود آن ارائه می دهد.

استات به شما این توانایی را می دهد که به عنوان یک معیار، بگویید که در چه مرحله ای از بلوغ امروز هستید و چگونه سرمایه گذاری هایی که می خواهید انجام دهید یا پروژه هایی که می خواهید انجام دهید بلوغ شما را افزایش می دهد. می گوید.

او همچنین استفاده از موسسه امنیت را توصیه می کند چارچوب SABER، که معیارهای مدیریت ریسک و عملکرد امنیتی را ارائه می دهد که با گواهینامه های شخص ثالث تأیید شده است.

او می‌گوید: «به‌جای آزمایش در تمام چارچوب MITER ATT&CK، شما در واقع روی یک لیست اولویت‌بندی شده از تکنیک‌ها کار می‌کنید، که شامل استفاده از MITER ATT&CK به عنوان یک ابزار است». به این ترتیب، شما فقط به اطلاعات تهدید خود نگاه نمی‌کنید، بلکه به حوادث امنیتی و تهدیداتی که خطرات حیاتی برای سازمان هستند نیز نگاه می‌کنید.»

استفاده از این دستورالعمل ها برای معیارها مستلزم خرید از سوی CISO ها است، زیرا به معنای دستیابی سازمانی به این مدل های مختلف بلوغ است. با این وجود، این رویکرد با رویکردی از پایین به بالا هدایت می‌شود، جایی که مهندسان اطلاعات تهدید، محرک‌های اولیه هستند.

• محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
• PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
• PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
• PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
• PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
• منبع: https://www.darkreading.com/cybersecurity-analytics/rethinking-how-you-work-with-detection-response-metrics