A hamis pozitív és a valódi pozitív válaszok szétválogatása: Kérdezze meg bármelyik biztonsági műveleti központ szakemberét, és meg fogják mondani, hogy ez az egyik legnagyobb kihívást jelentő szempont az észlelési és reagálási program fejlesztésében.
Ahogy a fenyegetések száma folyamatosan növekszik, az ilyen teljesítményadatok mérésének és elemzésének hatékony megközelítése egyre fontosabbá vált a szervezet észlelési és reagálási programja szempontjából. Pénteken a Black Hat Asia konferencián Szingapúrban Allyn Stott, az Airbnb vezető személyzeti mérnöke arra biztatta a biztonsági szakembereket, hogy gondolják át, hogyan használják fel az ilyen mérőszámokat észlelési és reagálási programjaikban – ezt a témát a tavalyi Black Hat Europe.
„A beszélgetés végén sok visszajelzést kaptam: „Ez nagyszerű, de nagyon szeretnénk tudni, hogyan lehetünk jobbak a mérőszámok terén” – mondja Stott a Dark Readingnek. "Ez az a terület, ahol sok küzdelmet láttam."
A mérőszámok jelentősége
A mutatók kritikus fontosságúak az észlelési és reagálási programok hatékonyságának értékelésében, mivel elősegítik a fejlődést, csökkentik a fenyegetések hatását, és érvényesítik a befektetést azáltal, hogy bemutatják, hogy a program hogyan csökkenti a vállalkozás kockázatát, mondja Stott.
„A mérőszámok segítenek kommunikálni, hogy mit csinálunk, és miért kell törődni az emberekkel” – mondja Stott. "Ez különösen fontos az észlelés és a válaszadás során, mert üzleti szempontból nagyon nehéz megérteni."
A hatékony mérőszámok szolgáltatásának legkritikusabb területe a riasztások hangereje: „Minden biztonsági műveleti központnak, ahol valaha dolgoztam, vagy ahol valaha is jártam, ez az elsődleges mérőszámuk” – mondja Stott.
Fontos tudni, hogy hány riasztás érkezik, de önmagában még mindig nem elég – teszi hozzá.
„Mindig az a kérdés: „Hány riasztást látunk?” – mondja Stott. – És ez nem mond semmit. Úgy értem, ez megmutatja, hány riasztást kap a szervezet. De valójában nem árulja el, hogy az észlelő és reagáló program több dolgot is elkap-e.”
A mutatók hatékony kihasználása összetett és munkaigényes lehet, ami tovább növeli a fenyegetési adatok hatékony mérésének kihívását, mondja Stott. Elismeri, hogy elkövette a maga részét a hibákban, amikor a biztonsági műveletek hatékonyságát értékelő mérnöki mérőszámokról van szó.
Mérnökként Stott rutinszerűen értékeli az általa végzett keresések és az általa használt eszközök hatékonyságát, hogy pontos igaz és hamis pozitív arányokat kapjon az észlelt fenyegetésekre. Az ő és a legtöbb biztonsági szakember számára az a kihívás, hogy ezeket az információkat összekapcsolják az üzlettel.
A keretrendszerek megfelelő megvalósítása kritikus
Az egyik legnagyobb hibája az volt, hogy túlzottan összpontosított a MITER ATT&CK keretrendszer. Noha Stott azt mondja, hogy szerinte kritikus részletekkel szolgál a fenyegetés szereplőinek különböző fenyegetési technikáiról és tevékenységeiről, és a szervezeteknek használniuk kell, ez nem jelenti azt, hogy mindenre alkalmazniuk kellene.
„Minden technikának 10, 15, 20 vagy 100 különböző változata lehet” – mondja. "És így a 100%-os lefedettség egyfajta őrült törekvés."
A MITER ATT&CK mellett Stott a SANS Institute használatát javasolja Vadászati érettségi modell (HMM), amely segít leírni a szervezet meglévő fenyegetésvadász képességét, és vázlatot ad annak javítására.
"Lehetővé teszi, hogy mérőszámként megmondja, hol tart a mai érettségéhez képest, és hogy a tervezett befektetések vagy a tervezett projektek hogyan növelik az érettségét" - Stott mondja.
Azt is javasolja, hogy használja a Biztonsági Intézetet SABRE keret, amely kockázatkezelési és biztonsági teljesítménymutatókat biztosít, amelyeket harmadik féltől származó tanúsítványokkal hitelesítenek.
„Ahelyett, hogy a teljes MITER ATT&CK keretrendszert tesztelné, valójában a technikák prioritásos listáján dolgozik, amely magában foglalja a MITER ATT&CK eszközként történő használatát” – mondja. "Ilyen módon nem csak a fenyegetésinformációit nézi, hanem a biztonsági incidenseket és fenyegetéseket is, amelyek kritikus kockázatot jelentenek a szervezet számára."
Ezen iránymutatások mérőszámokra való alkalmazása megköveteli a CISO-k részvételét, mivel ez azt jelenti, hogy szervezetileg kell ragaszkodni ezekhez a különböző lejárati modellekhez. Ennek ellenére általában az alulról felfelé építkező megközelítés vezérli, ahol a fenyegetésfelderítő mérnökök a korai mozgatórugói.
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
- PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
- PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
- PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
- Forrás: https://www.darkreading.com/cybersecurity-analytics/rethinking-how-you-work-with-detection-response-metrics
- :van
- :is
- :nem
- :ahol
- 10
- 100
- 15%
- 20
- 7
- a
- képesség
- pontos
- át
- tevékenységek
- szereplők
- hozzáadásával
- Hozzáteszi
- tapadás
- Airbnb
- Éber
- Figyelmeztetések
- Minden termék
- Is
- mindig
- an
- elemzése
- és a
- bármilyen
- bármi
- alkalmaz
- megközelítés
- VANNAK
- TERÜLET
- AS
- kérdez
- szempontok
- értékeli
- értékelése
- At
- BE
- mert
- válik
- úgy gondolja,
- Jobb
- Legnagyobb
- Fekete
- Fekete sapka
- tervrajz
- üzleti
- de
- by
- TUD
- Kaphat
- képesség
- ami
- Központ
- tanúsítványok
- kihívás
- kihívást
- jön
- érkező
- kommunikálni
- bonyolult
- magatartások
- Konferencia
- Csatlakozó
- tovább
- lefedettség
- őrült
- kritikai
- sötét
- Sötét olvasmány
- dátum
- átadó
- bemutatását,
- leírni
- részletek
- észlelt
- Érzékelés
- fejlesztése
- különböző
- nehéz
- do
- nem
- hajtás
- hajtott
- illesztőprogramok
- Korai
- Hatékony
- hatékonyan
- hatékonyság
- ösztönözni
- végén
- törekvés
- mérnök
- Mérnöki
- Mérnökök
- elég
- különösen
- EVER
- Minden
- minden
- létező
- hamis
- messze
- Visszacsatolás
- összpontosítás
- Láb
- A
- Keretrendszer
- Péntek
- ból ből
- egyre
- kap
- ad
- nagy
- irányelvek
- kalap
- Legyen
- tekintettel
- he
- segít
- segít
- őt
- övé
- Hogyan
- HTTPS
- i
- if
- Hatás
- végrehajtási
- fontosság
- fontos
- javulás
- javuló
- in
- magában foglalja a
- Növelje
- információ
- Intézet
- Intel
- Intelligencia
- beruházás
- Beruházások
- IT
- maga
- jpg
- éppen
- Kedves
- Ismer
- keresztnév
- Tavaly
- erőfölény
- Lista
- ll
- keres
- Sok
- lesüllyed
- készült
- csinál
- vezetés
- sok
- érettség
- Lejárati modell
- jelent
- eszközök
- mérő
- metrikus
- Metrics
- hibákat
- modell
- modellek
- több
- a legtöbb
- sok
- Mindazonáltal
- of
- on
- ONE
- Művelet
- or
- szervezet
- szervezeti
- szervezetek
- Emberek (People)
- teljesítmény
- perspektíva
- tervezés
- Plató
- Platón adatintelligencia
- PlatoData
- elsődleges
- fontossági sorrendbe
- szakmai
- tehetséges alkalmazottal
- Program
- Programok
- projektek
- biztosít
- kérdés
- Az árak
- Inkább
- RE
- Olvasás
- tényleg
- kapott
- kap
- ajánlja
- felül
- csökkenteni
- megköveteli,
- válasz
- Emelkedik
- Kockázat
- kockázatkezelés
- kockázatok
- rutinszerűen
- s
- azt mondják
- azt mondja,
- keresések
- biztonság
- látás
- keres
- látott
- idősebb
- Megosztás
- kellene
- óta
- Szingapúr
- Személyzet
- Még mindig
- küzdelmek
- ilyen
- Beszél
- technika
- technikák
- mondd
- megmondja
- hajlamos
- teszt
- mint
- hogy
- A
- A projektek
- azok
- Ezek
- ők
- dolgok
- harmadik fél
- ezt
- fenyegetés
- fenyegetés szereplői
- fenyegetések
- nak nek
- Ma
- is
- szerszám
- szerszámok
- téma
- igaz
- megért
- us
- használ
- használ
- segítségével
- ÉRVÉNYESÍT
- érvényesített
- variációk
- Ve
- nagyon
- kötet
- sétált
- akar
- volt
- Út..
- we
- Mit
- amikor
- ami
- míg
- miért
- lesz
- val vel
- Munka
- dolgozott
- dolgozó
- lenne
- év
- te
- A te
- zephyrnet
