Opnieuw nadenken over hoe u werkt met detectie- en responsstatistieken

De valse positieven van de echte positieven scheiden: vraag het aan een professional op het gebied van beveiligingsoperaties en zij zullen u vertellen dat dit een van de meest uitdagende aspecten is van het ontwikkelen van een detectie- en responsprogramma.

Nu het aantal bedreigingen blijft stijgen, is het hebben van een effectieve aanpak voor het meten en analyseren van dit soort prestatiegegevens van cruciaal belang geworden voor het detectie- en responsprogramma van een organisatie. Vrijdag op de Black Hat Asia-conferentie in Singapore moedigde Allyn Stott, senior staff engineer bij Airbnb, beveiligingsprofessionals aan om te heroverwegen hoe zij dergelijke statistieken gebruiken in hun detectie- en responsprogramma’s – een onderwerp dat hij vorig jaar aansneed. Zwarte Hoed Europa.

“Aan het einde van dat gesprek was veel van de feedback die ik kreeg: ‘Dit is geweldig, maar we willen echt weten hoe we beter kunnen worden in statistieken’”, vertelt Stott aan Dark Reading. “Dat is een gebied waar ik veel strijd heb gezien.”

Het belang van statistieken

Metrieken zijn van cruciaal belang bij het beoordelen van de effectiviteit van een detectie- en responsprogramma, omdat ze verbeteringen aandrijven, de impact van bedreigingen verminderen en investeringen valideren door aan te tonen hoe het programma de risico's voor het bedrijf verlaagt, zegt Stott.

“Metrieken helpen ons te communiceren wat we doen en waarom mensen erom moeten geven”, zegt Stott. “Dat is vooral belangrijk bij detectie en respons, omdat het vanuit zakelijk perspectief heel moeilijk te begrijpen is.”

Het meest kritieke gebied voor het leveren van effectieve meetgegevens is het waarschuwingsvolume: “Elk beveiligingscentrum waar ik ooit heb gewerkt of waar ik ooit ben binnengelopen, is hun belangrijkste meetwaarde”, zegt Stott.

Weten hoeveel waarschuwingen er binnenkomen is belangrijk, maar op zichzelf nog steeds niet voldoende, voegt hij eraan toe.

"De vraag is altijd: 'Hoeveel waarschuwingen zien we?'", zegt Stott. “En dat zegt je niets. Ik bedoel, het vertelt je hoeveel waarschuwingen de organisatie ontvangt. Maar het vertelt je niet echt of je detectie- en responsprogramma meer dingen opvangt.”

Het effectief inzetten van statistieken kan complex en arbeidsintensief zijn, wat de uitdaging van het effectief meten van dreigingsgegevens vergroot, zegt Stott. Hij erkent dat hij veel fouten heeft gemaakt als het gaat om technische meetgegevens om de effectiviteit van beveiligingsoperaties te beoordelen.

Als ingenieur evalueert Stott routinematig de effectiviteit van de zoekopdrachten die hij uitvoert en de tools die hij gebruikt, waarbij hij probeert nauwkeurige waar- en fout-positieve cijfers te verkrijgen voor gedetecteerde bedreigingen. De uitdaging voor hem en de meeste beveiligingsprofessionals is het verbinden van die informatie met het bedrijf.

Het correct implementeren van raamwerken is van cruciaal belang 

Een van zijn grootste fouten was dat hij zich te veel concentreerde op de MITRE ATT & CK-raamwerk. Hoewel Stott zegt dat hij gelooft dat het kritische details verschaft over de verschillende dreigingstechnieken en -activiteiten van bedreigingsactoren en dat organisaties het zouden moeten gebruiken, betekent dat niet dat ze het op alles moeten toepassen.

“Elke techniek kan 10, 15, 20 of 100 verschillende variaties hebben”, zegt hij. "En dus is het hebben van 100% dekking een nogal gekke onderneming."

Naast MITRE ATT&CK raadt Stott aan om die van het SANS Institute te gebruiken Jachtvolwassenheidsmodel (HMM), dat helpt bij het beschrijven van het bestaande vermogen van een organisatie om bedreigingen op te sporen en een blauwdruk biedt voor het verbeteren ervan.

“Het geeft je de mogelijkheid om, als maatstaf, aan te geven waar je vandaag staat wat betreft je volwassenheid en hoe de investeringen die je van plan bent te doen of de projecten die je van plan bent te doen je volwassenheid zullen vergroten,” Stott zegt.

Hij raadt ook aan om die van het Security Institute te gebruiken SABRE-framework, dat meetgegevens voor risicobeheer en beveiligingsprestaties biedt die zijn gevalideerd met certificeringen van derden.

"In plaats van het hele MITRE ATT&CK-framework te testen, werk je feitelijk aan een geprioriteerde lijst van technieken, waaronder het gebruik van MITRE ATT&CK als hulpmiddel", zegt hij. “Op die manier kijk je niet alleen naar je dreigingsinformatie, maar ook naar beveiligingsincidenten en bedreigingen die kritieke risico’s voor de organisatie zouden vormen.”

Het gebruik van deze richtlijnen voor meetgegevens vereist de steun van CISO's, omdat dit betekent dat de organisatie zich aan deze verschillende volwassenheidsmodellen moet houden. Niettemin wordt deze vaak gedreven door een bottom-upbenadering, waarbij dreigingsintelligentie-ingenieurs de eerste aanjagers zijn.

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
• PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
• PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
• Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
• Bron: https://www.darkreading.com/cybersecurity-analytics/rethinking-how-you-work-with-detection-response-metrics