- 26,366
- 46
- 8 Ноя 2022
Разбираемся, как желание угодить начальству создаёт комфортную среду для профессиональных взломщиков.
Британский центр кибербезопасности NCSC предупредил компании и госструктуры, что привычная гонка за красивыми цифрами в центрах мониторинга безопасности может не помогать защите, а ломать её изнутри. Когда работу SOC оценивают по скорости закрытия заявок или числу обработанных предупреждений, команда начинает думать не о злоумышленниках, а о том, как быстрее очистить очередь.
Ведомство считает опасными четыре популярных показателя: число обработанных заявок, время закрытия инцидента, количество написанных правил обнаружения и объём собранных журналов. По оценке NCSC, такие метрики часто подталкивают сотрудников к поверхностной проверке сигналов, хотя среди потока ложных срабатываний может скрываться настоящая атака.
Технический директор по архитектуре NCSC Дэйв Чизмон объяснил, что упор на заявки постепенно приучает аналитиков воспринимать оповещения как помеху, а не как возможный признак компрометации. Такая логика особенно опасна для SOC, где каждый день приходится разбирать множество однотипных событий.
Отдельно агентство раскритиковало стремление собирать как можно больше журналов. Большой объём данных сам по себе не делает защиту сильнее. По мнению NCSC, полезнее получать меньше, но качественно обогащённых журналов с систем, которыми реально могут воспользоваться атакующие. Иначе команды начинают массово создавать правила обнаружения, которые порождают новые ложные тревоги и ещё сильнее перегружают аналитиков.
NCSC считает, что плохие метрики хуже полного отказа от таких показателей. Вместо подсчёта закрытых заявок агентство предлагает смотреть на время выявления угроз и время реагирования. Такие показатели лучше отражают способность команды находить атаки и разбираться в происходящем без лишней спешки.
Британское ведомство также советует давать SOC больше свободы для охоты за угрозами по гипотезам. Аналитики должны изучать актуальные группировки, их инструменты и приёмы, а не постоянно оправдываться за цифры в отчётах. Такой подход, по мнению NCSC, помогает заранее готовиться к реальным сценариям атак и точнее защищать сеть.
Британский центр кибербезопасности NCSC предупредил компании и госструктуры, что привычная гонка за красивыми цифрами в центрах мониторинга безопасности может не помогать защите, а ломать её изнутри. Когда работу SOC оценивают по скорости закрытия заявок или числу обработанных предупреждений, команда начинает думать не о злоумышленниках, а о том, как быстрее очистить очередь.
Ведомство считает опасными четыре популярных показателя: число обработанных заявок, время закрытия инцидента, количество написанных правил обнаружения и объём собранных журналов. По оценке NCSC, такие метрики часто подталкивают сотрудников к поверхностной проверке сигналов, хотя среди потока ложных срабатываний может скрываться настоящая атака.
Технический директор по архитектуре NCSC Дэйв Чизмон объяснил, что упор на заявки постепенно приучает аналитиков воспринимать оповещения как помеху, а не как возможный признак компрометации. Такая логика особенно опасна для SOC, где каждый день приходится разбирать множество однотипных событий.
Отдельно агентство раскритиковало стремление собирать как можно больше журналов. Большой объём данных сам по себе не делает защиту сильнее. По мнению NCSC, полезнее получать меньше, но качественно обогащённых журналов с систем, которыми реально могут воспользоваться атакующие. Иначе команды начинают массово создавать правила обнаружения, которые порождают новые ложные тревоги и ещё сильнее перегружают аналитиков.
NCSC считает, что плохие метрики хуже полного отказа от таких показателей. Вместо подсчёта закрытых заявок агентство предлагает смотреть на время выявления угроз и время реагирования. Такие показатели лучше отражают способность команды находить атаки и разбираться в происходящем без лишней спешки.
Британское ведомство также советует давать SOC больше свободы для охоты за угрозами по гипотезам. Аналитики должны изучать актуальные группировки, их инструменты и приёмы, а не постоянно оправдываться за цифры в отчётах. Такой подход, по мнению NCSC, помогает заранее готовиться к реальным сценариям атак и точнее защищать сеть.
- Источник новости
- www.securitylab.ru
