חשיבה מחודשת על אופן העבודה עם מדדי זיהוי ותגובה

מיון התוצאות הכוזבות מהחיוביות האמיתיות: שאל כל איש מקצוע ממרכז פעולות אבטחה, והוא יגיד לך שזה אחד ההיבטים המאתגרים ביותר של פיתוח תוכנית זיהוי ותגובה.

ככל שנפח האיומים ממשיך לעלות, גישה יעילה למדידה וניתוח של נתוני ביצועים מסוג זה הפכה קריטית יותר לתוכנית האיתור והתגובה של הארגון. ביום שישי בוועידת Black Hat Asia בסינגפור, אלין סטוט, מהנדסת צוות בכירה ב-Airbnb, עודדה אנשי מקצוע בתחום האבטחה לשקול מחדש כיצד הם משתמשים במדדים כאלה בתוכניות האיתור והתגובה שלהם - נושא שעליו עלה בשנה שעברה כובע שחור אירופה.

"בסוף ההרצאה, הרבה מהמשוב שקיבלתי היה, 'זה נהדר, אבל אנחנו באמת רוצים לדעת איך אנחנו יכולים להשתפר במדדים'", אומר סטוט ל-Dark Reading. "זה תחום שבו ראיתי הרבה מאבקים."

החשיבות של מדדים

מדדים הם קריטיים בהערכת האפקטיביות של תוכנית איתור ותגובה מכיוון שהם מניעים שיפור, מפחיתים את ההשפעה של האיומים ומאמתים השקעה על ידי הדגמה כיצד התוכנית מורידה את הסיכון לעסק, אומר סטוט.

"מדדים עוזרים לנו לתקשר מה אנחנו עושים ולמה לאנשים צריך להיות אכפת", אומר סטוט. "זה חשוב במיוחד בזיהוי ובתגובה כי קשה מאוד להבין את זה מנקודת מבט עסקית."

התחום הקריטי ביותר לאספקת מדדים יעילים הוא נפח ההתראה: "כל מרכז פעולות אבטחה שאי פעם עבדתי בו או אי פעם נכנסתי אליו ברגל, זה המדד העיקרי שלהם", אומר סטוט.

לדעת כמה התראות מגיעות זה חשוב אבל, כשלעצמו, עדיין לא מספיק, הוא מוסיף.

"השאלה היא תמיד, 'כמה התראות אנחנו רואים?'", אומר סטוט. "וזה לא אומר לך כלום. כלומר, זה אומר לך כמה התראות הארגון מקבל. אבל זה בעצם לא אומר לך אם תוכנית האיתור והתגובה שלך תופסת יותר דברים."

מינוף יעיל של מדדים יכול להיות מורכב ועתיר עבודה, מה שמוסיף לאתגר של מדידה יעילה של נתוני איומים, אומר סטוט. הוא מודה שהוא עשה את חלקו בטעויות בכל הנוגע למדדים הנדסיים כדי להעריך את האפקטיביות של פעולות אבטחה.

כמהנדס, סטוט מעריך באופן שוטף את האפקטיביות של החיפושים שהוא עורך והכלים שבהם הוא משתמש, ומבקש לקבל שיעורי חיובי אמת ושקריים מדויקים עבור איומים שזוהו. האתגר עבורו ועבור רוב אנשי האבטחה הוא חיבור המידע הזה לעסק.

יישום מסגרות כראוי הוא קריטי 

אחת הטעויות הגדולות שלו הייתה הגישה שלו בהתמקדות רבה מדי ב מסגרת MITER ATT & CK. אמנם סטוט אומר שהוא מאמין שהוא מספק פרטים קריטיים על טכניקות האיום השונות של שחקני האיומים ופעילויות וארגונים צריכים להשתמש בו, זה לא אומר שהם צריכים ליישם את זה על כל דבר.

"לכל טכניקה יכולות להיות 10, 15, 20 או 100 וריאציות שונות", הוא אומר. "ולכן כיסוי של 100% הוא סוג של מאמץ מטורף."

מלבד MITER ATT&CK, סטוט ממליץ להשתמש במכון SANS מודל בגרות ציד (HMM), שעוזר לתאר את יכולת ציד האיומים הקיימת של ארגון ומספק מתווה לשיפורה.

"זה נותן לך את היכולת, כמדד, לומר היכן אתה נמצא עד לבשלותך היום וכיצד ההשקעות שאתה מתכנן לבצע או הפרויקטים שאתה מתכנן לעשות יגדילו את הבשלות שלך", סטוט אומר.

הוא גם ממליץ להשתמש במכון הביטחון מסגרת SABER, המספק מדדי ביצועי אבטחה וניהול סיכונים מאומתים עם אישורי צד שלישי.

"במקום לבדוק על פני כל המסגרת של MITER ATT&CK, אתה למעשה עובד על רשימת טכניקות עם עדיפות, הכוללת שימוש ב- MITER ATT&CK ככלי", הוא אומר. "בדרך זו, אתה לא מסתכל רק על מידע האיומים שלך אלא גם על אירועי אבטחה ואיומים שיהוו סיכונים קריטיים עבור הארגון."

שימוש בהנחיות אלה למדדים מחייב רכישה מ-CISOs, שכן המשמעות היא השגת דבקות ארגונית למודלים שונים של בגרות אלה. עם זאת, היא נוטה להיות מונעת על ידי גישה מלמטה למעלה, שבה מהנדסי מודיעין איומים הם המניעים הראשונים.

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
• PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
• PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
• PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
• מקור: https://www.darkreading.com/cybersecurity-analytics/rethinking-how-you-work-with-detection-response-metrics