Yanlış pozitifleri gerçek pozitiflerden ayırmak: Herhangi bir güvenlik operasyon merkezi (SOC) uzmanına sorun, size bunun bir tespit ve yanıt programı geliştirmenin en zorlu yönlerinden biri olduğunu söyleyeceklerdir.
Tehditlerin hacmi artmaya devam ettikçe, bu tür performans verilerini ölçmek ve analiz etmek için etkili bir yaklaşıma sahip olmak, bir kuruluşun tespit ve müdahale programı açısından daha kritik hale geldi. Cuma günü Singapur’daki Black Hat Asia konferansında Airbnb’nin kıdemli personel mühendisi Allyn Stott, güvenlik profesyonellerini tespit ve müdahale programlarında bu tür ölçümleri nasıl kullanacaklarını yeniden düşünmeye teşvik etti.
Stott konuyu geçen yıl gündeme getirmişti Siyah Şapka AvrupaBurada bir tespit ve müdahale çerçevesinin nasıl oluşturulacağını açıkladı. Stott, “Bu konuşmanın sonunda aldığım geri bildirimlerin çoğu şuydu: ‘Bu harika, ancak ölçümlerde nasıl daha iyi olabileceğimizi gerçekten bilmek istiyoruz'” diyor. “Bu, çok fazla mücadele gördüğüm bir alan.”
Metriklerin Önemi
Stott, metriklerin bir tespit ve müdahale programının etkinliğini değerlendirmede kritik öneme sahip olduğunu çünkü iyileştirmeyi teşvik ettiğini söylüyor. Kalite metriklerinin sağlanmasının tespit ve müdahale sürecinde önemli bir adım olduğunu ekliyor çünkü bu, tehditlerin etkisini azaltacak ve tespit ve müdahale programlarına yapılan yatırımları doğrulayacaktır.
Stott, metriklerin aynı zamanda güvenlik yöneticilerinin tespit ve müdahalenin işletmeye yönelik riski nasıl azalttığını göstermelerine olanak tanıdığını söylüyor. “Ölçümler, ne yaptığımızı ve insanların neden bunu önemsemesi gerektiğini anlatmamıza yardımcı oluyor. Bu özellikle tespit ve müdahalede önemlidir, çünkü iş perspektifinden anlaşılması çok zordur.”
Etkili ölçümler sağlamak için en kritik alan uyarı hacmidir. Stott, “Şimdiye kadar çalıştığım veya adım attığım her güvenlik operasyon merkezi, onların birincil ölçüsüdür” diyor.
Kaç uyarı geldiğini bilmenin önemli olduğunu ancak bunun tek başına yeterli olmadığını vurguluyor. Stott, “Soru her zaman şu oluyor: ‘Kaç uyarı görüyoruz?'” diyor. “Ve bu size hiçbir şey anlatmıyor. Yani kurumun kaç uyarı aldığını anlatıyor. Ancak aslında tespit ve müdahale programınızın daha fazla şey yakalayıp yakalamadığını size söylemiyor.”
Metrikleri etkili bir şekilde kullanmanın karmaşık ve emek yoğun olabileceği ve tehdit verilerinin etkili bir şekilde ölçülmesi zorluğunu artırabileceği konusunda uyarıyor. Stott, güvenlik operasyonlarının etkinliğini değerlendirmeye yönelik mühendislik ölçümleri söz konusu olduğunda kendi payına düşen hataları yaptığını kabul ediyor.
Bir mühendis olarak Stott, tespit edilen tehditler için doğru, doğru ve yanlış pozitif oranlar elde etmeye çalışarak, gerçekleştirdiği aramaların ve kullandığı araçların etkinliğini düzenli olarak değerlendiriyor. Onun ve çoğu güvenlik profesyonelinin karşılaştığı zorluk, bu bilgiyi işletmeye bağlamaktır.
Çerçevelerin Doğru Şekilde Uygulanması Kritiktir
En büyük hatalarından biri konuya çok fazla odaklanma yaklaşımıydı. MITRE ATT&CK çerçevesi. Stott, bu belgenin tehdit aktörlerinin farklı tehdit teknikleri ve faaliyetleri hakkında kritik ayrıntılar sağladığına inanıyor ve kuruluşların bunu kullanması gerektiğini söylüyor ancak bu, bunu her şeye uygulamaları gerektiği anlamına gelmiyor.
“Her tekniğin 10, 15, 20 veya 100 farklı varyasyonu olabilir” diyor. “Ve dolayısıyla %100 kapsama sahip olmak çılgınca bir çaba.”
Stott, MITRE ATT&CK’nin yanı sıra SANS Enstitüsü’nün kullanılmasını da öneriyor Avcılık Olgunluk Modeli (HMM)Bir kuruluşun mevcut tehdit avlama yeteneğinin ve bu yeteneğin iyileştirilmesine yönelik bir planın tanımlanmasına yardımcı olur.
Stott, “Bu size bir ölçüm olarak, bugün olgunluğunuz açısından nerede olduğunuzu ve yapmayı planladığınız yatırımların veya yapmayı planladığınız projelerin olgunluğunuzu nasıl artıracağını söyleme yeteneği veriyor.” diyor.
Ayrıca Güvenlik Enstitüsü’nün kullanılmasını da tavsiye ediyor. SABRE çerçevesiÜçüncü taraf sertifikasyonu ile doğrulanmış risk yönetimi ve güvenlik performansı ölçümleri sağlayan. “Tüm MITRE ATT&CK çerçevesini test etmek yerine, aslında MITRE ATT&CK’nin bir araç olarak kullanılmasını içeren öncelikli teknikler listesi üzerinde çalışıyorsunuz” diyor. “Bu şekilde yalnızca tehdit istihbaratınıza değil, aynı zamanda kuruluş için kritik risk oluşturabilecek güvenlik olaylarına ve tehditlere de bakıyorsunuz.”
Yararlı ölçümler sağlamak için bu yönergeleri kullanmak, CISO’ların desteğini gerektirir çünkü bu, bu farklı olgunluk modellerine kurumsal bağlılık kazanmak anlamına gelir. Bununla birlikte, tehdit istihbaratı mühendislerinin ilk itici güçler olduğu aşağıdan yukarıya bir yaklaşımla yönlendirilme eğilimindedir.