Ripensare il modo in cui lavori con le metriche di rilevamento e risposta

Distinguere i falsi positivi dai veri positivi: chiedi a qualsiasi professionista del centro operativo di sicurezza e ti diranno che è uno degli aspetti più impegnativi dello sviluppo di un programma di rilevamento e risposta.

Poiché il volume delle minacce continua ad aumentare, disporre di un approccio efficace alla misurazione e all'analisi di questo tipo di dati sulle prestazioni è diventato sempre più fondamentale per il programma di rilevamento e risposta di un'organizzazione. Venerdì, alla conferenza Black Hat Asia a Singapore, Allyn Stott, ingegnere senior di Airbnb, ha incoraggiato i professionisti della sicurezza a riconsiderare il modo in cui utilizzano tali parametri nei loro programmi di rilevamento e risposta, un argomento affrontato l'anno scorso Cappello Nero Europa.

"Alla fine di quel discorso, molti dei feedback che ho ricevuto sono stati: 'È fantastico, ma vogliamo davvero sapere come possiamo migliorare le metriche'", dice Stott a Dark Reading. "Questa è un'area in cui ho visto molte difficoltà."

L'importanza delle metriche

I parametri sono fondamentali per valutare l’efficacia di un programma di rilevamento e risposta perché favoriscono il miglioramento, riducono l’impatto delle minacce e convalidano gli investimenti dimostrando come il programma riduce i rischi per l’azienda, afferma Stott.

"Le metriche ci aiutano a comunicare cosa facciamo e perché le persone dovrebbero interessarsene", afferma Stott. "Ciò è particolarmente importante per il rilevamento e la risposta perché è molto difficile da comprendere dal punto di vista aziendale."

L'area più critica per fornire parametri efficaci è il volume degli avvisi: "Ogni centro operativo di sicurezza in cui ho lavorato o in cui abbia mai messo piede, è il loro parametro principale", afferma Stott.

Sapere quanti avvisi stanno arrivando è importante ma, di per sé, non è ancora sufficiente, aggiunge.

"La domanda è sempre: 'Quanti avvisi stiamo vedendo?'", afferma Stott. «E questo non ti dice niente. Voglio dire, ti dice quanti avvisi riceve l'organizzazione. Ma in realtà non ti dice se il tuo programma di rilevamento e risposta sta rilevando più cose."

Sfruttare in modo efficace i parametri può essere complesso e dispendioso in termini di manodopera, il che si aggiunge alla sfida di misurare efficacemente i dati sulle minacce, afferma Stott. Riconosce di aver commesso la sua parte di errori quando si tratta di parametri ingegneristici per valutare l'efficacia delle operazioni di sicurezza.

In qualità di ingegnere, Stott valuta regolarmente l'efficacia delle ricerche che conduce e degli strumenti che utilizza, cercando di ottenere tassi accurati di veri e falsi positivi per le minacce rilevate. La sfida per lui e per la maggior parte dei professionisti della sicurezza è collegare tali informazioni all'azienda.

L'implementazione corretta dei framework è fondamentale 

Uno dei suoi più grandi errori è stato il suo approccio nel concentrarsi troppo sul Quadro MITRE ATT & CK. Sebbene Stott affermi di ritenere che fornisca dettagli critici sulle diverse tecniche e attività degli autori delle minacce e che le organizzazioni dovrebbero utilizzarlo, ciò non significa che dovrebbero applicarlo a tutto.

"Ogni tecnica può avere 10, 15, 20 o 100 varianti diverse", afferma. "E quindi avere una copertura del 100% è una specie di impresa folle."

Oltre a MITRE ATT&CK, Stott consiglia di utilizzare quelli del SANS Institute Modello di maturità della caccia (HMM), che aiuta a descrivere la capacità di caccia alle minacce esistente di un'organizzazione e fornisce un modello per migliorarla.

"Ti dà la possibilità, come parametro, di dire a che punto sei in termini di maturità oggi e in che modo gli investimenti che intendi fare o i progetti che intendi realizzare aumenteranno la tua maturità", Stott dice.

Raccomanda inoltre di utilizzare quelli del Security Institute Quadro SABRE, che fornisce parametri di gestione del rischio e prestazioni di sicurezza convalidati con certificazioni di terze parti.

"Invece di testare l'intero framework MITRE ATT&CK, in realtà stai lavorando su un elenco di tecniche prioritarie, che include l'utilizzo di MITRE ATT&CK come strumento", afferma. "In questo modo, non si considerano solo le informazioni sulle minacce, ma anche gli incidenti e le minacce alla sicurezza che potrebbero rappresentare rischi critici per l'organizzazione."

L’utilizzo di queste linee guida per i parametri richiede il consenso dei CISO, poiché significa acquisire l’adesione dell’organizzazione a questi diversi modelli di maturità. Tuttavia, tende ad essere guidato da un approccio dal basso verso l’alto, in cui gli ingegneri dell’intelligence sulle minacce sono i primi promotori.

• Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
• PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
• PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
• PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
• Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
• Fonte: https://www.darkreading.com/cybersecurity-analytics/rethinking-how-you-work-with-detection-response-metrics