Сортування хибних спрацьовувань від істинних спрацьовувань: запитайте будь-якого спеціаліста центру безпеки, і вони скажуть вам, що це один із найскладніших аспектів розробки програми виявлення та реагування.
Оскільки кількість загроз продовжує зростати, наявність ефективного підходу до вимірювання та аналізу такого роду даних про продуктивність стає все більш критичним для програми виявлення та реагування організації. У п’ятницю на конференції Black Hat Asia у Сінгапурі Аллін Стотт, старший штатний інженер Airbnb, закликав фахівців із безпеки переглянути, як вони використовують такі показники у своїх програмах виявлення та реагування — тему, яку він порушив минулого року Чорний Капелюх Європа.
«Наприкінці цієї розмови я отримав багато відгуків: «Це чудово, але ми справді хочемо знати, як ми можемо покращити показники», — розповідає Стотт Dark Reading. «Це сфера, де я бачив багато труднощів».
Важливість показників
За словами Стотта, показники мають вирішальне значення для оцінки ефективності програми виявлення та реагування, оскільки вони стимулюють вдосконалення, зменшують вплив загроз і підтверджують інвестиції, демонструючи, як програма знижує ризики для бізнесу.
«Метрики допомагають нам повідомити, що ми робимо та чому людям це має бути цікаво», — говорить Стотт. «Це особливо важливо для виявлення та реагування, оскільки це дуже важко зрозуміти з точки зору бізнесу».
Найважливішою сферою для отримання ефективних показників є обсяг сповіщень: «У кожному центрі безпеки, де я коли-небудь працював або коли-небудь заходив, це їхній основний показник», — каже Стотт.
Знати, скільки сповіщень надходить, важливо, але цього недостатньо, додає він.
«Завжди виникає запитання: «Скільки сповіщень ми бачимо?», — говорить Стотт. «І це вам ні про що не говорить. Я маю на увазі, це говорить вам, скільки сповіщень отримує організація. Але насправді це не повідомляє вам, чи ваша програма виявлення та реагування вловлює більше речей».
За словами Стотта, ефективне використання показників може бути складним і трудомістким, що ускладнює ефективне вимірювання даних про загрози. Він визнає, що зробив свою частку помилок, коли справа доходить до інженерних показників для оцінки ефективності операцій безпеки.
Як інженер, Стотт регулярно оцінює ефективність пошуків, які він проводить, і інструментів, які він використовує, прагнучи отримати точні істинні та хибно-позитивні показники для виявлених загроз. Проблема для нього та більшості спеціалістів із безпеки полягає в тому, щоб зв’язати цю інформацію з бізнесом.
Належне впровадження фреймворків має вирішальне значення
Однією з його найбільших помилок було те, що він занадто сильно зосереджувався на Рамка MITRE ATT&CK. Хоча Стотт каже, що він вважає, що він надає важливі відомості про різні методи загроз та діяльність суб’єктів загрози, а організації повинні використовувати його, це не означає, що вони повинні застосовувати його до всього.
«Кожна техніка може мати 10, 15, 20 або 100 різних варіантів», — каже він. «І тому мати 100% покриття — це божевільна спроба».
Окрім MITRE ATT&CK, Stott рекомендує використовувати SANS Institute Модель мисливської зрілості (HMM), який допомагає описати наявні в організації можливості полювання на загрози та надає план для їх покращення.
«Це дає вам можливість, як показник, визначити, на якому етапі вашої зрілості ви перебуваєте сьогодні, і як інвестиції, які ви плануєте зробити, або проекти, які ви плануєте зробити, підвищать вашу зрілість», – Стотт. говорить.
Він також рекомендує використовувати Інститут безпеки Фреймворк SABRE, який надає показники ефективності управління ризиками та безпеки, підтверджені сторонніми сертифікатами.
«Замість того, щоб тестувати всю структуру MITER ATT&CK, ви фактично працюєте над пріоритетним списком методів, який включає використання MITER ATT&CK як інструменту», — каже він. «Таким чином ви не тільки дивитеся на свою інформацію про загрози, але й на інциденти безпеки та загрози, які становлять критичний ризик для організації».
Використання цих вказівок для метрик вимагає підтримки з боку CISO, оскільки це означає досягнення організаційної прихильності до цих різних моделей зрілості. Тим не менш, він, як правило, керується підходом "знизу вгору", де інженери з аналізу загроз є першими рушійними силами.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.darkreading.com/cybersecurity-analytics/rethinking-how-you-work-with-detection-response-metrics
- : має
- :є
- : ні
- :де
- 10
- 100
- 15%
- 20
- 7
- a
- здатність
- точний
- через
- діяльності
- актори
- додати
- Додає
- прихильність
- Airbnb
- Оповіщення
- Alerts
- ВСІ
- Також
- завжди
- an
- Аналізуючи
- та
- будь-який
- все
- Застосовувати
- підхід
- ЕСТЬ
- ПЛОЩА
- AS
- запитати
- аспекти
- оцінити
- Оцінювання
- At
- BE
- оскільки
- ставати
- вважає,
- Краще
- найбільший
- Black
- Black Hat
- план
- бізнес
- але
- by
- CAN
- Може отримати
- можливості
- який
- Центр
- сертифікати
- виклик
- складні
- приходить
- майбутній
- спілкуватися
- комплекс
- проводить
- конференція
- З'єднувальний
- триває
- охоплення
- божевільний
- критичний
- темно
- Темне читання
- дані
- надання
- демонстрація
- описувати
- деталі
- виявлено
- Виявлення
- розвивається
- різний
- важкий
- do
- байдуже
- управляти
- керований
- драйвери
- Рано
- Ефективний
- фактично
- ефективність
- заохочувати
- кінець
- endeavor
- інженер
- Машинобудування
- Інженери
- досить
- особливо
- НІКОЛИ
- Кожен
- все
- існуючий
- false
- далеко
- зворотний зв'язок
- фокусування
- ніжка
- для
- Рамки
- п'ятниця
- від
- набирає
- отримати
- дає
- великий
- керівні вказівки
- hat
- Мати
- має
- he
- допомога
- допомагає
- його
- його
- Як
- HTTPS
- i
- if
- Impact
- реалізації
- значення
- важливо
- поліпшення
- поліпшення
- in
- includes
- Augmenter
- інформація
- Інститут
- Intel
- Інтелект
- інвестиції
- інвестиції
- IT
- сам
- JPG
- просто
- Дитина
- Знати
- останній
- Минулого року
- використання
- список
- ll
- шукати
- серія
- знижує
- made
- зробити
- управління
- багато
- зрілість
- Модель зрілості
- значити
- засоби
- вимір
- метрика
- Метрика
- помилки
- модель
- Моделі
- більше
- найбільш
- багато
- проте
- of
- on
- ONE
- операції
- or
- організація
- організаційної
- організації
- Люди
- продуктивність
- перспектива
- планування
- plato
- Інформація про дані Платона
- PlatoData
- первинний
- пріоритетні
- професійний
- професіонали
- програма
- програми
- проектів
- забезпечує
- питання
- ставки
- швидше
- RE
- читання
- насправді
- отримано
- отримує
- рекомендує
- переглядати
- зменшити
- Вимагається
- відповідь
- Зростання
- Risk
- управління ризиками
- ризики
- звичайно
- s
- say
- говорить
- пошук
- безпеку
- бачачи
- пошук
- бачив
- старший
- Поділитись
- Повинен
- з
- Сінгапур
- Персонал
- Як і раніше
- сутички
- такі
- балаканина
- техніка
- методи
- сказати
- розповідає
- має тенденцію
- тест
- ніж
- Що
- Команда
- Проекти
- їх
- Ці
- вони
- речі
- третя сторона
- це
- загроза
- актори загроз
- загрози
- до
- сьогодні
- занадто
- інструмент
- інструменти
- тема
- правда
- розуміти
- us
- використання
- використовує
- використання
- ПЕРЕВІР
- підтверджено
- варіації
- Ve
- дуже
- обсяг
- пішов
- хотіти
- було
- шлях..
- we
- Що
- коли
- який
- в той час як
- чому
- волі
- з
- Work
- працював
- робочий
- б
- рік
- Ти
- вашу
- зефірнет