Start Empfohlen Nordstern-Metriken für Sicherheitsoperationen

Nordstern-Metriken für Sicherheitsoperationen

4
0


Der Fall Solarwinds hat die Rolle der Unternehmenssicherheit beim Schutz von Geschäftsrisiken und der Verbesserung der Ausfallsicherheit gefestigt. Da die Sicherheit immer mehr an Bedeutung gewinnt und einen Sitz auf Vorstandsebene gewinnt, müssen wir uns weniger darauf verlassen, Angst, Unsicherheit und Zweifel (FUD) zu artikulieren und uns mehr auf die Kommunikation in Bezug auf klare operative Kennzahlen verlassen, um eine Grundlage zu schaffen und Ziele in einer für den Vorstand verständlichen Sprache.

Im letzten Jahr haben wir einen sprunghaften Wandel bei der Einführung von Mean-Time-to-Detect und Mean-Time-to-Respond als Kernkennzahlen erlebt, die zukunftsorientierte Sicherheitsverantwortliche als North Star-Kennzahlen für ihr Unternehmen übernehmen .

  • Mean-Time-to-Detect – wie lange dauert es, bis ich finde, dass etwas schlecht ist?
  • Mittlere Reaktionszeit – wie lange brauche ich, um es zu stoppen?

So wie sich die Vertriebs- und Marketingorganisation darauf konzentriert, die Länge der Verkaufszyklen zu verkürzen und die Konversion durch Automatisierung zu steigern, um den Umsatz zu steigern, konzentriert sich die Sicherheitsorganisation darauf, die MTTD zu reduzieren und die MTTR durch Automatisierung zu beschleunigen, um die Ausfallsicherheit zu erhöhen.

In der Ponemon-Studie zur Cyber-Resilienz heißt es:

  • 67 Prozent der Unternehmen haben in den letzten 12 Monaten einen Anstieg des Volumens von Cyber-Vorfällen erlebt.
  • 64 Prozent der Unternehmen haben in den letzten 12 Monaten eine Zunahme der Schwere von Cybervorfällen erlebt.
  • 51 Prozent der Unternehmen meldeten einen Cybersicherheitsvorfall, der in den letzten 24 Monaten zu einer erheblichen Störung der IT und der Geschäftsprozesse ihres Unternehmens geführt hat.

Wenn die Anzahl und der Schweregrad von Vorfällen zunehmen, ist es die Aufgabe des Sicherheitsleiters des Unternehmens, Ressourcen effizient zuzuweisen, um Schritt zu halten. Die datenzentrierte Sicherheitsautomatisierung konzentriert sich darauf, den Wert Ihrer internen und externen Informationsquellen als primäre Ressourcen zu nutzen, um MTTD und MTTR als North Star-Metriken zu verbessern.

Externe Informationsquellen wie geschlossene/offene Abonnement-Feeds und ISAC/ISAO-Informationsaustausch sind hilfreich bei der Beschleunigung von MTTD, da sie Ihnen helfen können, bösartige Signaturen zu erkennen, die Ihre Anbieter und Kollegen in freier Wildbahn sehen. Mit der richtigen Intelligence-Management-Lösung können Sie sicherstellen, dass nur Signaturen mit hoher Priorität in Ihre Erkennungstools aufgenommen werden. Ohne Intelligence-Management kann es sein, dass Ihre MTTD sinkt, aber Ihre MTTR wird steigen, da die Zeit, die es braucht, um eine wachsende Anzahl von Fehlalarmen zu beheben, mit der Bandbreite um die Auflösung tatsächlicher Ereignisse konkurriert.

Diese externen Quellen sind auch für MTTR hilfreich, und hier ist der Kontext der Schlüssel, um die richtigen Entscheidungen zur Ausweitung und Eskalation einer Untersuchung zu treffen. Ebenso wichtig ist die Korrelation mit Ihren internen historischen Ereignissen, um sicherzustellen, dass Sie keine Zeit damit verschwenden, ein ähnliches Ereignis vor einer Stunde/Tag/Woche/Monat erneut zu untersuchen, das in einem anderen Tool oder von einem anderen Analysten in einer anderen Schicht oder einem anderen Workflow erfasst wurde.

Diese internen und externen Informationsquellen liefernAbdeckung‚ oder ‚Labels‘ für Ihre Daten, die Ihnen bei der Automatisierung und Beschleunigung von MTTD und MTTR helfen. Die richtige Intelligence-Management-Lösung hilft Ihnen zu sehen, wie Ihre internen und externen Quellen in Bezug auf die „Abdeckung“ für Sie abschneiden:

  • Welche Quellen generieren zuerst Erkennungen?
  • Welche Quellen erzeugen bei der Erkennung mehr Fehlalarme?
  • Welche Quellen generieren eine einzigartige Bereicherung für meine Reaktion auf Vorfälle?
  • Welche Quellen sind überflüssig?
  • Welche Arten von Ereignissen und Signaturen werden nicht automatisch angereichert und erfordern manuelles „Jagen und Hacken“?

Ihre Investitionen in Intelligenz und die Integration in Ihre zentralen Erkennungs- und Reaktionstools werden Ihre Abdeckung vorantreiben, was ein entscheidender Hebel zur Beschleunigung von MTTD und MTTR ist. In den nächsten zehn Jahren werden die Sicherheitsteams und Führungskräfte von Unternehmen, die diese Grundprinzipien der datenzentrierten Sicherheitsautomatisierung übernehmen, eine neue Sprache finden, um zu kommunizieren, zusammenzuarbeiten und effektiv um Ressourcen zu konkurrieren, um die Widerstandsfähigkeit des Unternehmens zu erhöhen.

Bildnachweis: Savvapanf Foto/Shutterstock

Patrick Coughlin ist Mitbegründer und Chief Executive Officer von TruSTAR. Vor der Gründung von TruSTAR leitete Patrick als Direktor bei Good Harbor International Cybersicherheitsinitiativen im Nahen Osten. Patrick leitete auch Anti-Terror-Analystenteams für Booz Allen Hamilton-Kunden im DoD und Special Operations Command.



Vorheriger ArtikelDie besten Windows 10-Apps dieser Woche
Nächster ArtikelTrojaner nehmen zu, wenn das Kryptomining zurückgeht

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein