מיון התוצאות הכוזבות מהחיוביות האמיתיות: שאל כל איש מקצוע ממרכז פעולות אבטחה, והוא יגיד לך שזה אחד ההיבטים המאתגרים ביותר של פיתוח תוכנית זיהוי ותגובה.
ככל שנפח האיומים ממשיך לעלות, גישה יעילה למדידה וניתוח של נתוני ביצועים מסוג זה הפכה קריטית יותר לתוכנית האיתור והתגובה של הארגון. ביום שישי בוועידת Black Hat Asia בסינגפור, אלין סטוט, מהנדסת צוות בכירה ב-Airbnb, עודדה אנשי מקצוע בתחום האבטחה לשקול מחדש כיצד הם משתמשים במדדים כאלה בתוכניות האיתור והתגובה שלהם - נושא שעליו עלה בשנה שעברה כובע שחור אירופה.
"בסוף ההרצאה, הרבה מהמשוב שקיבלתי היה, 'זה נהדר, אבל אנחנו באמת רוצים לדעת איך אנחנו יכולים להשתפר במדדים'", אומר סטוט ל-Dark Reading. "זה תחום שבו ראיתי הרבה מאבקים."
החשיבות של מדדים
מדדים הם קריטיים בהערכת האפקטיביות של תוכנית איתור ותגובה מכיוון שהם מניעים שיפור, מפחיתים את ההשפעה של האיומים ומאמתים השקעה על ידי הדגמה כיצד התוכנית מורידה את הסיכון לעסק, אומר סטוט.
"מדדים עוזרים לנו לתקשר מה אנחנו עושים ולמה לאנשים צריך להיות אכפת", אומר סטוט. "זה חשוב במיוחד בזיהוי ובתגובה כי קשה מאוד להבין את זה מנקודת מבט עסקית."
התחום הקריטי ביותר לאספקת מדדים יעילים הוא נפח ההתראה: "כל מרכז פעולות אבטחה שאי פעם עבדתי בו או אי פעם נכנסתי אליו ברגל, זה המדד העיקרי שלהם", אומר סטוט.
לדעת כמה התראות מגיעות זה חשוב אבל, כשלעצמו, עדיין לא מספיק, הוא מוסיף.
"השאלה היא תמיד, 'כמה התראות אנחנו רואים?'", אומר סטוט. "וזה לא אומר לך כלום. כלומר, זה אומר לך כמה התראות הארגון מקבל. אבל זה בעצם לא אומר לך אם תוכנית האיתור והתגובה שלך תופסת יותר דברים."
מינוף יעיל של מדדים יכול להיות מורכב ועתיר עבודה, מה שמוסיף לאתגר של מדידה יעילה של נתוני איומים, אומר סטוט. הוא מודה שהוא עשה את חלקו בטעויות בכל הנוגע למדדים הנדסיים כדי להעריך את האפקטיביות של פעולות אבטחה.
כמהנדס, סטוט מעריך באופן שוטף את האפקטיביות של החיפושים שהוא עורך והכלים שבהם הוא משתמש, ומבקש לקבל שיעורי חיובי אמת ושקריים מדויקים עבור איומים שזוהו. האתגר עבורו ועבור רוב אנשי האבטחה הוא חיבור המידע הזה לעסק.
יישום מסגרות כראוי הוא קריטי
אחת הטעויות הגדולות שלו הייתה הגישה שלו בהתמקדות רבה מדי ב מסגרת MITER ATT & CK. אמנם סטוט אומר שהוא מאמין שהוא מספק פרטים קריטיים על טכניקות האיום השונות של שחקני האיומים ופעילויות וארגונים צריכים להשתמש בו, זה לא אומר שהם צריכים ליישם את זה על כל דבר.
"לכל טכניקה יכולות להיות 10, 15, 20 או 100 וריאציות שונות", הוא אומר. "ולכן כיסוי של 100% הוא סוג של מאמץ מטורף."
מלבד MITER ATT&CK, סטוט ממליץ להשתמש במכון SANS מודל בגרות ציד (HMM), שעוזר לתאר את יכולת ציד האיומים הקיימת של ארגון ומספק מתווה לשיפורה.
"זה נותן לך את היכולת, כמדד, לומר היכן אתה נמצא עד לבשלותך היום וכיצד ההשקעות שאתה מתכנן לבצע או הפרויקטים שאתה מתכנן לעשות יגדילו את הבשלות שלך", סטוט אומר.
הוא גם ממליץ להשתמש במכון הביטחון מסגרת SABER, המספק מדדי ביצועי אבטחה וניהול סיכונים מאומתים עם אישורי צד שלישי.
"במקום לבדוק על פני כל המסגרת של MITER ATT&CK, אתה למעשה עובד על רשימת טכניקות עם עדיפות, הכוללת שימוש ב- MITER ATT&CK ככלי", הוא אומר. "בדרך זו, אתה לא מסתכל רק על מידע האיומים שלך אלא גם על אירועי אבטחה ואיומים שיהוו סיכונים קריטיים עבור הארגון."
שימוש בהנחיות אלה למדדים מחייב רכישה מ-CISOs, שכן המשמעות היא השגת דבקות ארגונית למודלים שונים של בגרות אלה. עם זאת, היא נוטה להיות מונעת על ידי גישה מלמטה למעלה, שבה מהנדסי מודיעין איומים הם המניעים הראשונים.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.darkreading.com/cybersecurity-analytics/rethinking-how-you-work-with-detection-response-metrics
- :יש ל
- :הוא
- :לֹא
- :איפה
- 10
- 100
- 15%
- 20
- 7
- a
- יכולת
- מדויק
- לרוחב
- פעילויות
- שחקנים
- מוסיף
- מוסיף
- דבקות
- Airbnb
- ערני
- התראות
- תעשיות
- גם
- תמיד
- an
- ניתוח
- ו
- כל
- דבר
- החל
- גישה
- ARE
- AREA
- AS
- לשאול
- היבטים
- לְהַעֲרִיך
- הערכה
- At
- BE
- כי
- להיות
- מאמין
- מוטב
- הגדול ביותר
- שחור
- כובע שחור
- תכנית אב
- עסקים
- אבל
- by
- CAN
- יכול לקבל
- יכולת
- אשר
- מרכז
- אישורים
- לאתגר
- אתגר
- מגיע
- מגיע
- להעביר
- מורכב
- מנצח
- כנס
- מקשר
- ממשיך
- כיסוי
- משוגע
- קריטי
- כהה
- קריאה אפלה
- נתונים
- אספקה
- הפגנה
- לתאר
- פרטים
- זוהה
- איתור
- מתפתח
- אחר
- קשה
- do
- לא איכפת
- נהיגה
- מונע
- נהגים
- מוקדם
- אפקטיבי
- יעילות
- יְעִילוּת
- עודד
- סוף
- מאמץ
- מהנדס
- הנדסה
- מהנדסים
- מספיק
- במיוחד
- אי פעם
- כל
- הכל
- קיימים
- שקר
- רחוק
- מָשׁוֹב
- התמקדות
- כף רגל
- בעד
- מסגרת
- יום שישי
- החל מ-
- זכייה
- לקבל
- נותן
- גדול
- הנחיות
- כובע
- יש
- יש
- he
- לעזור
- עוזר
- לו
- שֶׁלוֹ
- איך
- HTTPS
- i
- if
- פְּגִיעָה
- יישום
- חשיבות
- חשוב
- השבחה
- שיפור
- in
- כולל
- להגדיל
- מידע
- מכון
- אינטל
- מוֹדִיעִין
- השקעה
- השקעות
- IT
- עצמו
- jpg
- רק
- סוג
- לדעת
- אחרון
- שנה שעברה
- מינוף
- רשימה
- ll
- הסתכלות
- מגרש
- מוריד
- עשוי
- לעשות
- ניהול
- רב
- בגרות
- מודל בגרות
- אומר
- אומר
- מדידת
- מטרי
- מדדים
- טעויות
- מודל
- מודלים
- יותר
- רוב
- הרבה
- אף על פי כן
- of
- on
- ONE
- תפעול
- or
- ארגון
- אִרְגוּנִי
- ארגונים
- אֲנָשִׁים
- ביצועים
- פרספקטיבה
- תכנון
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- יְסוֹדִי
- לפי סדר עדיפויות
- מקצועי
- אנשי מקצוע
- תָכְנִית
- תוכניות
- פרויקטים
- מספק
- שאלה
- תעריפים
- במקום
- RE
- קריאה
- בֶּאֱמֶת
- קיבלו
- מקבל
- ממליצה
- לִשְׁקוֹל שׁוּב
- להפחית
- דורש
- תגובה
- לעלות
- הסיכון
- ניהול סיכונים
- סיכונים
- באופן שגרתי
- s
- לומר
- אומר
- חיפושים
- אבטחה
- ראות
- מחפשים
- לראות
- לחצני מצוקה לפנסיונרים
- שיתוף
- צריך
- since
- סינגפור
- סגל
- עוד
- מאבקים
- כזה
- לדבר
- טכניקה
- טכניקות
- לספר
- אומר
- נוטה
- מבחן
- מֵאֲשֶׁר
- זֶה
- השמיים
- המיזמים
- שֶׁלָהֶם
- אלה
- הֵם
- דברים
- צד שלישי
- זֶה
- איום
- איום שחקנים
- איומים
- ל
- היום
- גַם
- כלי
- כלים
- נושא
- נָכוֹן
- להבין
- us
- להשתמש
- שימושים
- באמצעות
- לְאַמֵת
- תוקף
- וריאציות
- Ve
- מאוד
- כֶּרֶך
- הלך
- רוצה
- היה
- דֶרֶך..
- we
- מה
- מתי
- אשר
- בזמן
- למה
- יצטרך
- עם
- תיק עבודות
- עבד
- עובד
- היה
- שנה
- אתה
- זפירנט