Yanlış pozitifleri gerçek pozitiflerden ayırmak: Herhangi bir güvenlik operasyon merkezi uzmanına sorun, size bunun bir tespit ve yanıt programı geliştirmenin en zorlu yönlerinden biri olduğunu söyleyeceklerdir.
Tehditlerin hacmi artmaya devam ettikçe, bu tür performans verilerini ölçmek ve analiz etmek için etkili bir yaklaşıma sahip olmak, bir kuruluşun tespit ve müdahale programı açısından daha kritik hale geldi. Cuma günü Singapur’daki Black Hat Asia konferansında Airbnb’nin kıdemli personel mühendisi Allyn Stott, güvenlik profesyonellerini tespit ve müdahale programlarında bu tür ölçümleri nasıl kullanacaklarını yeniden düşünmeye teşvik etti; bu konuyu geçen yıl gündeme getirdi. Siyah Şapka Avrupa.
Stott, Dark Reading’e şöyle konuştu: “Konuşmanın sonunda aldığım geri bildirimlerin çoğu şuydu: ‘Bu harika, ancak metriklerde nasıl daha iyi olabileceğimizi gerçekten bilmek istiyoruz’.” “Bu, pek çok mücadeleye tanık olduğum bir alan.”
Metriklerin Önemi
Stott, ölçümlerin bir tespit ve müdahale programının etkinliğini değerlendirmede kritik önem taşıdığını, çünkü iyileştirmeyi teşvik ettiğini, tehditlerin etkisini azalttığını ve programın işletmeye yönelik riski nasıl azalttığını göstererek yatırımı doğruladığını söylüyor.
Stott, “Ölçümler ne yaptığımızı ve insanların bunu neden önemsemesi gerektiğini anlatmamıza yardımcı oluyor” diyor. “Bu özellikle tespit ve müdahalede önemli çünkü iş perspektifinden anlaşılması çok zor.”
Etkili ölçümler sağlamak için en kritik alan uyarı hacmidir: Stott, “Şimdiye kadar çalıştığım veya adım attığım her güvenlik operasyon merkezi, onların birincil ölçümüdür” diyor.
Kaç uyarının geldiğini bilmenin önemli olduğunu ancak tek başına yeterli olmadığını ekliyor.
Stott, “Soru her zaman ‘Kaç tane uyarı görüyoruz?’ oluyor” diyor. “Ve bu size hiçbir şey söylemez. Yani, kuruluşun kaç uyarı aldığını gösterir. Ama aslında tespit ve müdahale programınızın daha fazla şey yakalayıp yakalamadığını söylemez.”
Stott, metriklerden etkili bir şekilde yararlanmanın karmaşık ve emek yoğun olabileceğini, bunun da tehdit verilerini etkili bir şekilde ölçme zorluğunu artırabileceğini söylüyor. Güvenlik operasyonlarının etkinliğini değerlendirmeye yönelik mühendislik ölçümleri söz konusu olduğunda kendisinin de payına düşen hataları yaptığını kabul ediyor.
Bir mühendis olarak Stott, gerçekleştirdiği aramaların ve kullandığı araçların etkinliğini düzenli olarak değerlendiriyor ve tespit edilen tehditler için doğru ve yanlış pozitif oranlar elde etmeye çalışıyor. Onun ve çoğu güvenlik profesyonelinin karşılaştığı zorluk, bu bilgiyi işletmeye bağlamaktır.
Çerçevelerin Doğru Şekilde Uygulanması Kritiktir
En büyük hatalarından biri konuya çok fazla odaklanma yaklaşımıydı. MITRE ATT&CK çerçevesi. Stott, bu belgenin tehdit aktörlerinin farklı tehdit teknikleri ve faaliyetleri ile kuruluşların bunu kullanması gerektiği konusunda kritik ayrıntılar sağladığına inandığını söylese de bu, bunu her şeye uygulamaları gerektiği anlamına gelmiyor.
“Her tekniğin 10, 15, 20 veya 100 farklı varyasyonu olabilir” diyor. “Ve dolayısıyla %100 kapsama sahip olmak çılgınca bir çaba.”
Stott, MITRE ATT&CK’nin yanı sıra SANS Enstitüsü’nün kullanılmasını öneriyor Avcılık Olgunluk Modeli (HMM)Bir kuruluşun mevcut tehdit avlama yeteneğini tanımlamaya yardımcı olur ve bunu geliştirmek için bir plan sağlar.
Stott, “Bu size bir ölçüm olarak, bugün olgunluğunuz açısından nerede olduğunuzu ve yapmayı planladığınız yatırımların veya yapmayı planladığınız projelerin olgunluğunuzu nasıl artıracağını söyleme yeteneği veriyor.” diyor.
Ayrıca Güvenlik Enstitüsü’nün kullanılmasını da tavsiye ediyor. SABRE çerçevesiÜçüncü taraf sertifikalarıyla doğrulanmış risk yönetimi ve güvenlik performansı ölçümleri sağlayan.
“Tüm MITRE ATT&CK çerçevesini test etmek yerine, aslında MITRE ATT&CK’nin bir araç olarak kullanılmasını içeren öncelikli teknikler listesi üzerinde çalışıyorsunuz” diyor. “Bu şekilde yalnızca tehdit istihbaratınıza değil, aynı zamanda kuruluş için kritik risk oluşturabilecek güvenlik olaylarına ve tehditlere de bakıyorsunuz.”
Bu yönergelerin ölçümler için kullanılması, CISO’ların katılımını gerektirir çünkü bu, bu farklı olgunluk modellerine kurumsal bağlılığın kazanılması anlamına gelir. Bununla birlikte, tehdit istihbaratı mühendislerinin ilk itici güçler olduğu aşağıdan yukarıya bir yaklaşımla yönlendirilme eğilimindedir.