Suy nghĩ lại cách bạn làm việc với các số liệu phát hiện và phản hồi

Phân loại kết quả dương tính giả và kết quả tích cực thực: Hãy hỏi bất kỳ chuyên gia nào của trung tâm điều hành an ninh và họ sẽ cho bạn biết đây là một trong những khía cạnh thách thức nhất của việc phát triển chương trình phát hiện và ứng phó.

Khi số lượng các mối đe dọa tiếp tục gia tăng, việc có một cách tiếp cận hiệu quả để đo lường và phân tích loại dữ liệu hiệu suất này trở nên quan trọng hơn đối với chương trình phát hiện và ứng phó của tổ chức. Vào thứ Sáu tại hội nghị Black Hat Asia ở Singapore, Allyn Stott, kỹ sư nhân viên cấp cao của Airbnb, đã khuyến khích các chuyên gia bảo mật xem xét lại cách họ sử dụng các số liệu đó trong các chương trình phát hiện và phản hồi của mình - một chủ đề mà anh ấy đã đề cập đến vào năm ngoái. Châu Âu mũ đen.

“Vào cuối buổi nói chuyện đó, rất nhiều phản hồi mà tôi nhận được là 'Điều này thật tuyệt, nhưng chúng tôi thực sự muốn biết làm cách nào để có thể cải thiện các chỉ số tốt hơn'," Stott nói với Dark Reading. “Đó là lĩnh vực mà tôi đã chứng kiến ​​rất nhiều khó khăn.”

Tầm quan trọng của số liệu

Stott cho biết, các số liệu rất quan trọng trong việc đánh giá tính hiệu quả của chương trình phát hiện và ứng phó vì chúng thúc đẩy sự cải thiện, giảm tác động của các mối đe dọa và xác thực khoản đầu tư bằng cách chứng minh cách chương trình giảm rủi ro cho doanh nghiệp.

Stott nói: “Các số liệu giúp chúng tôi truyền đạt những gì chúng tôi làm và lý do tại sao mọi người nên quan tâm”. “Điều đó đặc biệt quan trọng trong việc phát hiện và ứng phó vì nó rất khó hiểu từ góc độ kinh doanh.”

Lĩnh vực quan trọng nhất để cung cấp số liệu hiệu quả là số lượng cảnh báo: “Mỗi trung tâm điều hành an ninh mà tôi từng làm việc hoặc từng bước chân vào, đó đều là số liệu chính của họ,” Stott nói.

Ông cho biết thêm, việc biết có bao nhiêu cảnh báo đang đến là điều quan trọng nhưng tự nó vẫn chưa đủ.

“Câu hỏi luôn là 'Chúng ta thấy bao nhiêu cảnh báo?'" Stott nói. “Và điều đó không cho bạn biết bất cứ điều gì. Ý tôi là, nó cho bạn biết tổ chức nhận được bao nhiêu cảnh báo. Nhưng nó không thực sự cho bạn biết liệu chương trình phát hiện và ứng phó của bạn có bắt được nhiều thứ hơn hay không.”

Stott cho biết, việc tận dụng hiệu quả các số liệu có thể phức tạp và tốn nhiều công sức, làm tăng thêm thách thức trong việc đo lường hiệu quả dữ liệu về mối đe dọa. Anh ấy thừa nhận rằng anh ấy đã chia sẻ những sai lầm khi nói đến các số liệu kỹ thuật để đánh giá hiệu quả của các hoạt động bảo mật.

Là một kỹ sư, Stott thường xuyên đánh giá tính hiệu quả của các tìm kiếm mà anh thực hiện và các công cụ anh sử dụng, tìm cách đạt được tỷ lệ dương tính đúng và sai chính xác đối với các mối đe dọa được phát hiện. Thách thức đối với anh và hầu hết các chuyên gia bảo mật là kết nối thông tin đó với doanh nghiệp.

Việc triển khai các khung đúng cách là rất quan trọng 

Một trong những sai lầm lớn nhất của ông là cách tiếp cận tập trung quá nhiều vào Khung ATT & CK MITER. Mặc dù Stott nói rằng ông tin rằng nó cung cấp các chi tiết quan trọng về các kỹ thuật và hoạt động đe dọa khác nhau của các tác nhân đe dọa cũng như các tổ chức nên sử dụng nó, nhưng điều đó không có nghĩa là họ nên áp dụng nó cho mọi thứ.

Ông nói: “Mỗi kỹ thuật có thể có 10, 15, 20 hoặc 100 biến thể khác nhau. “Và vì vậy, việc có được phạm vi phủ sóng 100% là một nỗ lực điên rồ.”

Ngoài MITER ATT&CK, Stott khuyến nghị sử dụng công cụ của Viện SANS Mô hình trưởng thành săn bắn (HMM), giúp mô tả khả năng săn lùng mối đe dọa hiện có của tổ chức và cung cấp kế hoạch chi tiết để cải thiện khả năng đó.

“Nó mang lại cho bạn khả năng, như một thước đo, cho biết bạn đang ở đâu cho đến thời điểm trưởng thành ngày hôm nay và các khoản đầu tư bạn dự định thực hiện hoặc các dự án bạn dự định thực hiện sẽ nâng cao sự trưởng thành của bạn như thế nào,” Stott nói.

Ông cũng khuyến nghị sử dụng Viện An ninh Khung SABRE, cung cấp các số liệu hiệu suất bảo mật và quản lý rủi ro được xác thực bằng chứng nhận của bên thứ ba.

Ông nói: “Thay vì thử nghiệm trên tất cả khung MITER ATT&CK, bạn thực sự đang làm việc trên một danh sách kỹ thuật được ưu tiên, bao gồm cả việc sử dụng MITER ATT&CK làm công cụ”. “Bằng cách đó, bạn không chỉ xem xét thông tin về mối đe dọa của mình mà còn xem xét các sự cố và mối đe dọa bảo mật có thể là rủi ro nghiêm trọng đối với tổ chức.”

Việc sử dụng các nguyên tắc này cho các số liệu cần có sự tham gia của CISO, vì điều đó có nghĩa là đạt được sự tuân thủ của tổ chức đối với các mô hình trưởng thành khác nhau này. Tuy nhiên, nó có xu hướng được thúc đẩy bởi cách tiếp cận từ dưới lên, trong đó các kỹ sư thu thập thông tin về mối đe dọa là những người điều khiển ban đầu.

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
• PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
• Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
• PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
• nguồn: https://www.darkreading.com/cybersecurity-analytics/rethinking-how-you-work-with-detection-response-metrics