Repenser votre façon de travailler avec les mesures de détection et de réponse

Trier les faux positifs des vrais positifs : demandez à n'importe quel professionnel du centre d'opérations de sécurité, et il vous dira que c'est l'un des aspects les plus difficiles du développement d'un programme de détection et de réponse.

Alors que le volume des menaces continue d'augmenter, disposer d'une approche efficace pour mesurer et analyser ce type de données de performance est devenu plus essentiel pour le programme de détection et de réponse d'une organisation. Vendredi, lors de la conférence Black Hat Asia à Singapour, Allyn Stott, ingénieur senior chez Airbnb, a encouragé les professionnels de la sécurité à reconsidérer la façon dont ils utilisent ces mesures dans leurs programmes de détection et de réponse – un sujet qu'il a abordé l'année dernière. Chapeau noir Europe.

« À la fin de cette conférence, la plupart des commentaires que j'ai reçus étaient : « C'est génial, mais nous voulons vraiment savoir comment nous pouvons améliorer les mesures » », a déclaré Stott à Dark Reading. "C'est un domaine dans lequel j'ai vu beaucoup de difficultés."

L'importance des mesures

Les mesures sont essentielles pour évaluer l'efficacité d'un programme de détection et de réponse, car elles génèrent des améliorations, réduisent l'impact des menaces et valident l'investissement en démontrant comment le programme réduit les risques pour l'entreprise, explique Stott.

« Les mesures nous aident à communiquer ce que nous faisons et pourquoi les gens devraient s'en soucier », explique Stott. "C'est particulièrement important en matière de détection et de réponse, car c'est très difficile à comprendre d'un point de vue commercial."

Le domaine le plus critique pour fournir des mesures efficaces est le volume d'alertes : « Chaque centre d'opérations de sécurité dans lequel j'ai travaillé ou dans lequel j'ai mis les pieds, c'est leur principale mesure », explique Stott.

Savoir combien d’alertes arrivent est important mais, en soi, cela ne suffit pas, ajoute-t-il.

« La question est toujours : « Combien d'alertes voyons-nous ? » », explique Stott. « Et cela ne vous dit rien. Je veux dire, cela vous indique combien d'alertes l'organisation reçoit. Mais cela ne vous dit pas réellement si votre programme de détection et de réponse détecte plus de choses.

Tirer efficacement parti des mesures peut être complexe et demander beaucoup de travail, ce qui ajoute au défi de mesurer efficacement les données sur les menaces, explique Stott. Il reconnaît qu’il a commis son lot d’erreurs en matière de mesures techniques permettant d’évaluer l’efficacité des opérations de sécurité.

En tant qu'ingénieur, Stott évalue régulièrement l'efficacité des recherches qu'il effectue et des outils qu'il utilise, cherchant à obtenir des taux précis de vrais et de faux positifs pour les menaces détectées. Le défi pour lui et pour la plupart des professionnels de la sécurité consiste à relier ces informations à l'entreprise.

La mise en œuvre appropriée des cadres est essentielle 

L'une de ses plus grandes erreurs a été son approche consistant à trop se concentrer sur le Cadre MITRE ATT & CK. Même si Stott estime qu'il fournit des détails essentiels sur les différentes techniques et activités des acteurs de la menace et que les organisations devraient l'utiliser, cela ne signifie pas qu'elles doivent l'appliquer à tout.

« Chaque technique peut avoir 10, 15, 20 ou 100 variantes différentes », explique-t-il. "Et donc avoir une couverture à 100% est une entreprise un peu folle."

Outre MITRE ATT&CK, Stott recommande d'utiliser le SANS Institute Modèle de maturité de chasse (HMM), qui aide à décrire la capacité existante de chasse aux menaces d'une organisation et fournit un plan pour l'améliorer.

"Cela vous donne la possibilité, en tant que mesure, de dire où vous en êtes en ce qui concerne votre maturité actuelle et comment les investissements que vous envisagez de faire ou les projets que vous envisagez de réaliser augmenteront votre maturité", Stott. dit.

Il recommande également d'utiliser les outils du Security Institute Cadre SABRE, qui fournit des mesures de gestion des risques et de performances de sécurité validées par des certifications tierces.

« Plutôt que de tester l'ensemble du framework MITRE ATT&CK, vous travaillez en fait sur une liste de techniques prioritaires, qui inclut l'utilisation de MITRE ATT&CK comme outil », explique-t-il. « De cette façon, vous n'examinez pas seulement vos informations sur les menaces, mais également les incidents de sécurité et les menaces qui constitueraient des risques critiques pour l'organisation. »

L'utilisation de ces lignes directrices pour les mesures nécessite l'adhésion des RSSI, car cela signifie que l'organisation adhère à ces différents modèles de maturité. Néanmoins, cette approche tend à être pilotée par une approche ascendante, dans laquelle les ingénieurs en renseignement sur les menaces sont les premiers à prendre la tête.

• Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
• PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
• PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
• PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
• PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
• La source: https://www.darkreading.com/cybersecurity-analytics/rethinking-how-you-work-with-detection-response-metrics