Separando os falsos positivos dos verdadeiros positivos: Pergunte a qualquer profissional do centro de operações de segurança e ele lhe dirá que esse é um dos aspectos mais desafiadores do desenvolvimento de um programa de detecção e resposta.
À medida que o volume de ameaças continua a aumentar, ter uma abordagem eficaz para medir e analisar este tipo de dados de desempenho tornou-se mais crítico para o programa de detecção e resposta de uma organização. Na sexta-feira, na conferência Black Hat Asia em Cingapura, Allyn Stott, engenheira sênior do Airbnb, encorajou os profissionais de segurança a reconsiderar como usam essas métricas em seus programas de detecção e resposta – um tópico que ele abordou no ano passado. Chapéu Preto Europa.
“No final dessa palestra, muitos dos comentários que recebi foram: 'Isso é ótimo, mas realmente queremos saber como podemos melhorar as métricas'”, disse Stott à Dark Reading. “Essa é uma área onde tenho visto muitas lutas.”
A importância das métricas
As métricas são essenciais para avaliar a eficácia de um programa de detecção e resposta porque impulsionam melhorias, reduzem o impacto das ameaças e validam o investimento, demonstrando como o programa reduz o risco para o negócio, diz Stott.
“As métricas nos ajudam a comunicar o que fazemos e por que as pessoas deveriam se importar”, diz Stott. “Isso é especialmente importante na detecção e resposta porque é muito difícil de entender do ponto de vista comercial.”
A área mais crítica para fornecer métricas eficazes é o volume de alertas: “Todo centro de operações de segurança em que trabalhei ou onde entrei é a métrica principal”, diz Stott.
Saber quantos alertas estão chegando é importante, mas, por si só, ainda não é suficiente, acrescenta.
“A questão é sempre: 'Quantos alertas estamos vendo?'” diz Stott. “E isso não diz nada. Quero dizer, informa quantos alertas a organização recebe. Mas na verdade não informa se o seu programa de detecção e resposta está detectando mais coisas.”
O aproveitamento eficaz de métricas pode ser complexo e trabalhoso, aumentando o desafio de medir com eficácia os dados de ameaças, diz Stott. Ele reconhece que cometeu muitos erros quando se trata de métricas de engenharia para avaliar a eficácia das operações de segurança.
Como engenheiro, Stott avalia rotineiramente a eficácia das pesquisas que realiza e das ferramentas que utiliza, buscando obter taxas precisas de verdadeiros e falsos positivos para ameaças detectadas. O desafio para ele e para a maioria dos profissionais de segurança é conectar essas informações ao negócio.
Implementar estruturas adequadamente é fundamental
Um de seus maiores erros foi sua abordagem ao focar demais no Estrutura MITER ATT & CK. Embora Stott diga acreditar que ele fornece detalhes críticos sobre as diferentes técnicas e atividades de ameaças dos atores de ameaças e que as organizações devem usá-lo, isso não significa que devam aplicá-lo a tudo.
“Cada técnica pode ter 10, 15, 20 ou 100 variações diferentes”, diz ele. “E, portanto, ter 100% de cobertura é uma tarefa meio maluca.”
Além do MITRE ATT&CK, Stott recomenda usar o SANS Institute Modelo de maturidade de caça (HMM), que ajuda a descrever a capacidade existente de caça a ameaças de uma organização e fornece um plano para melhorá-la.
“Isso lhe dá a capacidade de, como métrica, dizer onde você está em relação à sua maturidade hoje e como os investimentos que você planeja fazer ou os projetos que você planeja fazer aumentarão sua maturidade”, Stott diz.
Ele também recomenda usar o Security Institute Estrutura SABRE, que fornece métricas de gerenciamento de risco e desempenho de segurança validadas com certificações de terceiros.
“Em vez de testar toda a estrutura MITRE ATT&CK, na verdade você está trabalhando em uma lista priorizada de técnicas, que inclui o uso do MITRE ATT&CK como ferramenta”, diz ele. “Dessa forma, você não estará apenas analisando as informações sobre ameaças, mas também os incidentes e ameaças de segurança que seriam riscos críticos para a organização.”
A utilização destas diretrizes para métricas requer a adesão dos CISOs, uma vez que significa obter adesão organizacional a estes diferentes modelos de maturidade. No entanto, tende a ser impulsionado por uma abordagem ascendente, em que os engenheiros de inteligência de ameaças são os primeiros impulsionadores.
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
- PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
- PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
- PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
- Fonte: https://www.darkreading.com/cybersecurity-analytics/rethinking-how-you-work-with-detection-response-metrics
- :tem
- :é
- :não
- :onde
- 10
- 100
- 15%
- 20
- 7
- a
- habilidade
- preciso
- em
- atividades
- atores
- acrescentando
- Adiciona
- aderência
- Airbnb
- Alertar
- Alertas
- Todos os Produtos
- tb
- sempre
- an
- análise
- e
- qualquer
- nada
- Aplicar
- abordagem
- SOMOS
- ÁREA
- AS
- perguntar
- aspectos
- avaliar
- Avaliando
- At
- BE
- Porque
- tornam-se
- acredita
- Melhor
- O maior
- Preto
- Black Hat
- projeto
- negócio
- mas a
- by
- CAN
- Pode obter
- capacidade
- Cuidado
- Centralização de
- certificações
- desafiar
- desafiante
- vem
- vinda
- comunicar
- integrações
- conduz
- Conferência
- Conexão de
- continua
- cobertura
- louco
- crítico
- Escuro
- Leitura escura
- dados,
- entregando
- demonstrando
- descreve
- detalhes
- detectou
- Detecção
- em desenvolvimento
- diferente
- difícil
- do
- não
- distância
- dirigido
- Drivers
- Cedo
- Eficaz
- efetivamente
- eficácia
- encorajados
- final
- esforço
- engenheiro
- Engenharia
- Engenheiros
- suficiente
- especialmente
- SEMPRE
- Cada
- tudo
- existente
- falso
- longe
- retornos
- focando
- Pé
- Escolha
- Quadro
- Sexta-feira
- da
- ganhando
- ter
- dá
- ótimo
- orientações
- chapéu
- Ter
- ter
- he
- ajudar
- ajuda
- ele
- sua
- Como funciona o dobrador de carta de canal
- HTTPS
- i
- if
- Impacto
- implementação
- importância
- importante
- melhoria
- melhorar
- in
- inclui
- Crescimento
- INFORMAÇÕES
- Instituto
- Intel
- Inteligência
- investimento
- Investimentos
- IT
- se
- jpg
- apenas por
- Tipo
- Saber
- Sobrenome
- Ano passado
- aproveitando
- Lista
- ll
- procurando
- lote
- abaixa
- moldadas
- fazer
- de grupos
- muitos
- maturidade
- Modelo de maturidade
- significar
- significa
- medição
- métrico
- Métrica
- erros
- modelo
- modelos
- mais
- a maioria
- muito
- mesmo assim
- of
- on
- ONE
- Operações
- or
- organização
- organizacional
- organizações
- Pessoas
- atuação
- perspectiva
- planejamento
- platão
- Inteligência de Dados Platão
- PlatãoData
- primário
- priorizado
- profissional
- Agenda
- Programas
- projetos
- fornece
- questão
- Preços
- em vez
- RE
- Leitura
- clientes
- recebido
- recebe
- recomenda
- reconsiderar
- reduzir
- exige
- resposta
- Subir
- Risco
- gestão de risco
- riscos
- rotineiramente
- s
- dizer
- diz
- pesquisas
- segurança
- visto
- busca
- visto
- senior
- Partilhar
- rede de apoio social
- desde
- Singapore
- Staff
- Ainda
- Lutas
- tal
- Converse
- técnica
- técnicas
- dizer
- conta
- tende
- teste
- do que
- que
- A
- Os projetos
- deles
- Este
- deles
- coisas
- De terceiros
- isto
- ameaça
- atores de ameaças
- ameaças
- para
- hoje
- também
- ferramenta
- ferramentas
- tópico
- verdadeiro
- compreender
- us
- usar
- usos
- utilização
- VALIDAR
- validado
- variações
- Ve
- muito
- volume
- caminhou
- queremos
- foi
- Caminho..
- we
- O Quê
- quando
- qual
- enquanto
- porque
- precisarão
- de
- Atividades:
- trabalhou
- trabalhar
- seria
- ano
- Vocês
- investimentos
- zefirnet