Opracowywanie realistycznych wzorców śledzenia i ulepszania reakcji na incydenty związane z cyberbezpieczeństwem
Piotr R
15 maja 2024
Każda organizacja, która chce mieć skuteczną i odporną sieć cyberbezpieczeństwa wie, że możliwości wykrywania i reagowania są koniecznością w zachowaniu wysokiego poziomu ochrony w aktualnym krajobrazie cyberbezpieczeństwa. Nie jest jednak jasne, jak wygląda skuteczne wykrywanie i reagowanie. Dlatego w tym artykule przedstawimy, jakie są kluczowe wskaźniki KPI i cele, do których powinien dążyć dział do spraw cyberbezpieczeństwa.
Wytyczne branżowe są ograniczone głównie ze względu na złożony i stale zmieniający się charakter środowiska i infrastruktury danej firmy. Nie oznacza to jednak, że organizacja nie może ustalić własnych punktów odniesienia, aby zrozumieć swój obecny stan cyberbezpieczeństwa i poprawić ogólną skuteczność wykrywania i reagowania.
W tym artykule omówimy, jakich wskazówek branżowych warto przestrzegać, jak ustalić kluczowe wskaźniki wydajności (KPI) wykrywania i reagowania oraz jakie procesy, narzędzia i rozwiązania mogą pomóc w osiągnięciu tego celu.
Jak porównać swoje możliwości wykrywania i reagowania?
Aby lepiej zrozumieć, jak mierzyć możliwości wykrywania i reagowania, główna analityk firmy Forrester, Allie Mellen, napisała niedawno blog zatytułowany „Aktywna pełna lista wskaźników SOC (i twoja ścieżka do samodzielnego wykonania)”, w którym podzieliła się szczegółowymi wskaźnikami które składają się na jakość wykrywania i jakość reakcji. Obejmują one:
Jakość wykrywania
Średni czas wykrywania
Częstotliwość wyzwalania detekcji
Pominięta aktywność atakującego (brak wykrycia)
Dokładność wykrywania
Czas przebywania atakującego
Jakość odpowiedzi
Średni czas selekcji
Średni czas na zbadanie
Średni czas przechowywania
Bezpieczeństwo lub narzędzia IT Pivoty
Przestrzeganie procesu reagowania na incydenty
Częstotliwość wykonywania podręcznika
Częstotliwość żądań zmiany podręcznika
Rozwiązanie przy pierwszym połączeniu (powtórzone zdarzenia)
Średni czas na naprawę
Chociaż jest to długa lista wskaźników, ważne jest, aby skupić się na tych, które będą miały największy wpływ na Twoją organizację, zwłaszcza gdy po raz pierwszy zaczynasz przeprowadzać testy porównawcze wydajności swojego działu. Wśród tych wskaźników jest kilka tych, które się wyróżniały.
„Średni czas wykrycia (MTTD), średni czas reakcji (MTTR), współczynnik fałszywych alarmów, zasięg wykrywania (lub procent wykrytych zagrożeń) i dokładność wykrywania są najważniejsze” – mówi Josh Armstrong, menedżer w globalnych operacjach bezpieczeństwa Bitdefender center (SOC), dodając, że eliminacja fałszywych alarmów doprowadzi do lepszej jakości wykryć, co ostatecznie pomoże szybciej zapobiec atakowi.
Optymalizacja wskaźników wykrywania będzie miała dalszy wpływ na poprawę skuteczności reakcji, dlatego ważne jest, aby w pierwszej kolejności ustalić priorytet wykrywania.
Jak wygląda dobra jakość wykrywania?
Trudno jest mieć ustandaryzowane punkty odniesienia, jeśli chodzi o wskaźniki takie jak MTTD i MTTR, głównie ze względu na liczne zmienne i złożoność danej organizacji. Bardziej pomocne dla organizacji, zwłaszcza tych, które rozpoczynają swoją drogę ku cybernetycznej dojrzałości, jest ustalenie benchmarków w oparciu o ich wewnętrzne możliwości.
„Uzyskanie punktu odniesienia można uzyskać, analizując dane historyczne, raporty branżowe, a nawet współpracując z kolegami ze społeczności zajmującej się cyberbezpieczeństwem” – mówi Armstrong. „Następnie możesz dostosować swoje punkty odniesienia w oparciu o swój konkretny profil ryzyka i bieżący stan bezpieczeństwa”.
Poprawa jakości wykrywania wykraczająca poza przeciętną wydajność
Badanie SANS z 2023 r. dotyczące reagowania na incydenty dobrze przedstawia średnią w zakresie wykrywania i reagowania. Ustalili, że ponad 50% ankietowanych organizacji miało MTTD krótsze niż 5 godzin, a 25% organizacji miało MTTD 60 minut lub mniej.
Jednak inne wskaźniki wykrywalności nie były tak silne. We wszystkich organizacjach odsetek wykrytych incydentów spadł z 88,9% w 2019 r. do 80,6% w 2023 r., a odsetek wyników fałszywie pozytywnych wzrósł w tym samym okresie z 67,5% do 77,2%.
Jest to dobry punkt odniesienia na początek. Jeśli chcesz znaleźć się w górnym kwartylu MTTD, celuj w czas krótszy niż 60 minut i traktuj priorytetowo zmniejszenie współczynnika wyników fałszywie dodatnich. Jeśli stwierdzisz, że jeszcze nie osiągnąłeś zadowalającego poziomu, przygotuj plan ulepszeń (patrz poniżej) i organizuj comiesięczne wizyty kontrolne, aby mierzyć postępy.
Jak Twój dział może znacząco ulepszyć wskaźniki wykrywania?
Aby poprawić swoje MTTD, MTTR i inne KPI wpływające na realizację Twoich celów, będziesz musiał polegać na narzędziach i procesach zapewniających wymierną poprawę.
Firma Armstrong zaleca następujące rozwiązania w celu poprawy wewnętrznych wskaźników:
Inwestowanie w szkolenie analityków dotyczące wykrywania i reagowania.
Zwiększanie ogólnych możliwości wyszukiwania zagrożeń.
Prowadzenie bieżących regularnych ćwiczeń drużyny czerwonej (Red Team).
Ocena i udoskonalanie reguł wykrywania w oparciu o opinie i wcześniejsze wyniki.
Poszukiwanie możliwości wykorzystania automatyzacji w całym procesie reagowania na incydenty w celu szybszej selekcji i reagowania.
Wspieranie współpracy i dzielenia się wiedzą w ramach SOC w celu zwiększenia ogólnej efektywności.
Podstawą tej porady jest znalezienie sposobów na zaoszczędzenie czasu i wysiłku zespołu oraz poprawę wydajności wykrywania i reagowania.
Na narzędzia należy patrzeć w ten sam sposób. Główny menedżer ds. marketingu produktów, BitdefenderCristian Iordache zaleca przyjrzenie się narzędziom, które w jak największym stopniu wykorzystują automatyzację i wzmacniają wysiłki zespołów, minimalizując czas spędzany na analizie i zadaniach ręcznych.
Bitdefender zaleca natywne rozwiązania rozszerzonego wykrywania i reagowania (XDR), aby ujednolicić i przyspieszyć badanie zagrożeń i reagowanie, szczególnie w przypadku organizacji średniej wielkości. Chociaż otwarte narzędzia XDR, narzędzia do zarządzania informacjami i zdarzeniami dotyczącymi bezpieczeństwa (SIEM) oraz do automatyzacji i reagowania na orkiestrację zabezpieczeń (SOAR) mogą agregować i analizować duże ilości danych, są one bardziej odpowiednie dla dużych oraz doświadczonych zespołów, które mogą opracowywać i utrzymywać integracje, reguły wykrywania, a także podręczniki automatyzacji. „Niektóre narzędzia umożliwiają samodzielne zbudowanie automatyzacji – mogą z nich korzystać zaawansowane zespoły, ale wymaga to wiedzy i wysiłku w porównaniu z rozwiązaniem XDR, które powinno samodzielnie automatyzować wiele kluczowych procesów dochodzeń i reagowania od razu po wyjęciu z pudełka” – mówi Iordache.
Jak natywny XDR może pomóc ulepszyć wskaźniki wykrywania i reakcji?
Natywny XDR ujednolica i usprawnia procesy analizy i reagowania na incydenty bezpieczeństwa w całej organizacji. Bitdefender XDR tworzy pełny obraz każdego zdarzenia związanego z bezpieczeństwem, automatycznie korelując i kontekstualizując alerty z takich źródeł, jak punkty końcowe, sieć, usługi tożsamości, aplikacje zwiększające produktywność, poczta e-mail, urządzenia mobilne lub obciążenia w chmurze.
Zastosowanie natywnych czujników tego samego dostawcy eliminuje potrzebę tworzenia i utrzymywania niestandardowych integracji, zapewnia czytelne dla człowieka streszczenie incydentów w czasie rzeczywistym, a także poprawia wierność wykrywania, redukując hałas oraz zmęczenie alarmami.
„Większość narzędzi SIEM wymagałaby zbudowania reguł wykrywania i niestandardowych integracji” – mówi Iordache. „I nadal trzeba by dużo więcej zrobić ręcznie, aby uzyskać dokładny, pełny obraz zdarzenia. XDR tworzy pełny raport o zdarzeniu na podstawie różnych sygnałów w czasie rzeczywistym, przyspieszając proces wykrywania i reagowania.”
Skuteczne wykrywanie i reagowanie wymaga wysiłku obejmującego całą organizację
Aby naprawdę poprawić wskaźniki wykrywania i reagowania, ważne jest posiadanie całościowej strategii, która nie tylko ma na celu poprawę tego, co jest możliwe dzisiaj, ale także dostosowuje się i reaguje na potencjalne zmiany.
„Nowe zagrożenia i ewoluujące taktyki zagrożeń mogą mieć wpływ na jakość wykrywania i reagowania” – mówi Armstrong. „W ramach ogólnej strategii ważne jest wdrożenie ciągłego monitorowania i ciągłej analizy zagrożeń”.
Jest to dodatek do ustalenia i utrzymania skutecznego poziomu bazowego (lub działania w jego kierunku), ponieważ pozwoli to jeszcze szybciej dostosować się do nowych zagrożeń. Ostatecznie w celu zapewnienia ogólnej odporności cybernetycznej należy zastosować powszechnie podstawowe elementy skutecznego wykrywania i reagowania. Poznaj i zrozum swoje środowisko wewnętrzne, zidentyfikuj zagrożenia i ryzyko, porównaj swoje bieżące wyniki, a także wyznacz cele. Dzięki temu będziesz mógł skoncentrować się na konkretnych, wymaganych procesach i technologiach oraz jeszcze efektywniej wykorzystywać te narzędzia.
Jest to podejście kompleksowe, ale konieczne, aby mieć wymierny wpływ na bezpieczeństwo Twojej organizacji i mieć pewność, że zarówno chronisz swoją firmę, jak i jesteś gotowy, aby poradzić sobie z incydentem, gdy do niego dojdzie.
Jeśli chcesz dowiedzieć się, w jaki sposób systemy Bitdefender z linii GravityZone mogą pomóc w podniesieniu poziomu cyberbezpieczeństwa w Twojej firmie, to sprawdź tę stronę.
Account Manager, od ponad roku pracuję w branży IT i od ponad 5 lat jestem copywriterem. Do moich zadań należy nawiązywanie współpracy partnerskich, pisanie i redagowanie tekstów, kontakt z dziennikarzami, tworzenie notatek prasowych oraz zamieszczanie ich na stronach internetowych i w naszych mediach społecznościowych. Wcześniej byłem przez kilka lat związany z branżą OZE oraz z technologiami telemetrycznymi i elektronicznymi. Interesuję się językoznawstwem, literaturą, grą na gitarze oraz branżą gier.