15.05.2021

Как MITRE Engenuity ATT&CK EVALUATIONS снизит эксплуатационные расходы на кибербезопасность?

Bitdefender > Новости > Как MITRE Engenuity ATT&CK EVALUATIONS снизит эксплуатационные расходы на кибербезопасность?

Защищенные операции стоят дорого! Наем, обучение и содержание группы аналитиков безопасности требует значительных ресурсов от любой организации, желающей выполнять операции по обеспечению безопасности внутри компании.

Есть много исследований, которые показывают необходимость повышения производительности аналитиков центров безопасности (SOC).

Например, предпандемическое исследование, проведенное Ponemon Institute, показало, что службы безопасности тратят примерно 25% своего времени на поиск ложных срабатываний. Пандемия Covid-19 усугубила ситуацию за счет увеличения количества и изощренности киберугроз, затрагивающих как частных лиц, так и компании.

Усталость от предупреждений системы безопасности не только увеличивает прямые затраты на выполнение операций по обеспечению безопасности, но также порождает косвенные затраты, которые могут быть значительными для организаций.

Длительные и неэффективные исследования безопасности увеличивают время реакции на киберугрозы, увеличивают время ожидания злоумышленников и во многих случаях позволяют резко накапливать негативные последствия атак.

Помимо этого, группа по обеспечению безопасности сможет отсортировать только около 70% от общего количества предупреждений. При этом около 30% останется нетронутым (и, следовательно, не исследованным), поскольку объем слишком велик, чтобы команды могли справиться с этим. Это значительное слепое пятно делает организации уязвимыми для атак на длительные периоды времени.

Как справиться с кибер-усталостью

Чтобы решить проблему, можно попробовать добавить ресурсы в SOC. Однако это непрактично с точки зрения затрат и из-за трудностей с поиском обученных специалистов по безопасности, которые помогут сократить количество неадресированных предупреждений системы безопасности.

Таким образом, основным решением остается уменьшение общего количества предупреждений и сокращение времени, необходимое для сортировки с помощью технологий.

Технология безопасности также является основной причиной проблемы. Ограниченные возможности большинства архитектур безопасности являются основным фактором, влияющим на перегрузку предупреждений безопасности, с которыми приходится иметь дело аналитикам. Особенно обнаружения и реагирования конечных точек (EDR), по анализу обнаруженных действий и четкому различению тактик и методов атак.

Золотая середина между обнаружением, аналитическими данными и точностью

Выбор оптимального решения EDR, обеспечивающего активное обнаружение угроз, последовательное получение аналитических сведений о безопасности (сводя к минимуму количество ложных срабатываний) является сложной задачей для лиц, принимающих решения в области безопасности. Необходимы расширенные испытания, и большинству организаций не хватает ресурсов, методологии и опыта для точного сравнения продуктов.

К счастью, оценки MITRE Engenuity ATT & CK® Evaluations можно использовать для дополнения и даже замены расширенных внутренних испытаний и сравнений продуктов.

  • MITRE использует методологию тестирования решений EDR, которая является уникальной среди отраслевых тестов кибербезопасности.
  • Он не только проверяет способность решения обнаруживать и блокировать киберугрозы, но и тщательно имитирует полное поведение сложных атак (APT3 или APT29 в предыдущих раундах и Carbanak / FIN7 в последних тестах).
  • Это позволяет MITRE ATT & CK Evaluation детально раскрыть возможности каждого решения по обнаружению, анализу, предоставлению телеметрии и видимости на всех этапах кибератаки.

Есть два ключевых показателя, связанных с усталостью от предупреждений, на которых следует сосредоточиться в результатах оценки: общее количество обнаружений и общее количество аналитических данных (или аналитических обнаружений).

Комбинация этих двух показателей дает очень ценную информацию для максимальной чувствительности обнаружения, точности и проверки предупреждений.

Detection показывает необработанную способность раствора EDR для обнаружения потенциально нежелательных действий. Чем больше обнаружений, тем выше способность EDR обнаруживать угрозы, но также выше вероятность получения ложных срабатываний.

Analytic Detections MITRE-тесты устраняют ложные срабатывания, соотнося обнаружение EDR с конкретными тактиками или методами обеспечения безопасности. Эта метрика ориентирована на понимание безопасности и имеет решающее значение для аналитиков безопасности.

Предупреждение, в которое уже включены контекст безопасности и аналитическая информация, быстрее сортируется и легче решается. Пропуская некоторые дополнительные технические детали, соотношение между способностью четко определять методы атаки и необработанной мощностью обнаружения является очень важным показателем точности.

Чем выше процент шагов и подэтапов атаки, которые могут быть раскрыты в деталях, тем выше шансы того, что решение будет выдавать серьезные предупреждения и меньше общего шума.

Общее обнаружение, аналитическая информация и точность обнаружения – ключевые показатели, которые организация должна использовать при оценке потенциального влияния решения EDR на затраты на операции по обеспечению безопасности.

Чем выше охват аналитикой, тем большую поддержку это будет предлагать аналитикам безопасности для сортировки и устранения предупреждений об инцидентах.

Новости
23.06.2021
7 советов по мобильной безопасности для защиты устройства и личной информации
22.06.2021
Фейк-приложения и SMS приводят к краже данных вредоносным ПО на устройствах Android
14.06.2021
В Chrome Store обнаружено поддельное расширение Microsoft Authenticator