Cardinalops’a göre, MITER ATT & CK çerçevesini temel olarak kullanan kuruluşlar, güvenlik bilgilerini ve etkinlik yönetimi (SIEM) algılama kapsamını ve kalitesini anlamada genellikle yıldan yıla iyileşmektedir, ancak iyileştirme için bol miktarda yer kalır.
MITER ATT & CK SOC görünürlüğünü arttırır
2013 yılında kurulan çerçevenin temel hedefi değişmeden kalır-savunucuların savunmalarını hizalamasına ve gerçek hayat saldırı senaryolarında gözlenen çok çeşitli taktik, teknik ve prosedürleri (TTP’ler) tespit etmeye ve önlemeye hazırlanmak için.
SIEM tespitlerinin MITER ATT & CK çerçevesine eşleştirilmesi, SOC ekiplerine, saldırı tekniklerinin tanımlanmasını ve bağlamsallaştırılmasını artıran yapılandırılmış, düşman merkezli bir lens verir, daha kesin tespit ve yanıt sağlar.
2024’ten% 2’lik bir artışa rağmen, ortalama olarak, kurumsal SIEM’ler, Miter ATT & CK çerçevesinde tanımlanan düşman tekniklerinin sadece% 21’i için algılama kapsamına sahiptir ve tekniklerin% 79’unu ortaya çıkarılmamış ve organizasyonları saldırıya karşı savunmasız bırakmıştır. Bu yılın küçük artışı hiç ilerlemeden daha iyidir, ancak kuruluşların hala boşlukları doldurmak için kapsamı genişletmek için uzun bir yolu var.
Gerçek gözlemlenen saldırılarda en sık kullanılan tekniklere daraltıldığında, kuruluşlar hala en iyi 10 tekniğin 4’ü için kapsama sahiptir.
Kırık kurallar ciddi bir risktir
Mevcut algılama kurallarının önemli bir kısmı, ortalama% 13 işlevsel değildir ve yanlış yapılandırılmış veri kaynakları ve eksik günlük alanları gibi sorunlar nedeniyle asla tetiklenmeyecektir. Veriler 2024’ten% 5’lik bir düşüşü temsil ederken, SIEM ortamlarındaki kırık kuralların kalıcılığı aktif tehditlerin fark edilmeyeceği büyük bir risk oluşturmaktadır.
SIEM’ler artık ortalama 259 günlük tipi ve yaklaşık 24.000 benzersiz günlük kaynağı işleyerek, Gönmediği ATT & CK tekniklerinin% 90’ından fazlasını (2024’ten% 3’lük bir artış) tespit etmek için yeterli telemetri sağlıyor-ancak manuel, hataya eğilimli algılama mühendisliği uygulamaları gerçek kapsamı sınırlamaya devam ediyor.
Bununla birlikte, kuruluşların kapsam puanlarında orantılı bir artış görmedikleri, kuruluşların SIEM veri alımlarını genişletme yatırımlarına önemli getiri elde etmediklerini göstermektedir.
Mevcut verilerin ölçeğine ve algılama altyapısına rağmen, kuruluşlar hala kaynak kısıtlamaları ve kural geliştirme ve doğrulamada otomasyon eksikliği nedeniyle gelişen tehditlere ayak uydurmak için mücadele etmektedir.
Cardinalops CEO’su Michael Mumcuoglu, “Beş yıllık veri sade bir hikaye anlatıyor: organizasyonlar bir veri dağında oturuyor, ancak en önemli tehditleri tespit etmek için gereken görünürlükten yoksun” dedi. “Açık olan şey, tespit mühendisliğine geleneksel yaklaşımın bozulmasıdır. AI, otomasyon ve tespit sağlığının sürekli değerlendirilmesinden yararlanmadan, işletmeler modern SIEM platformları ve sofistike telemetri ile bile tehlikeli bir şekilde maruz kalacaktır.”