威胁狩猎的好指标和坏指标
威胁狩猎是网络安全的重要工作,但正确评估其绩效颇具挑战性。
网络安全和其他科技领域一样,“指标化管理”不仅是安全成熟度模型的金字塔尖,也是走上循证科学道路的重要标志。好的量化指标能够指导安全专业人员提高信息安全计划的有效性,而糟糕的,或者说“坏指标”,则不但会浪费资源,甚至会搞砸整个安全项目,威胁狩猎也不例外。
本文我们将探讨哪些指标是评估威胁狩猎的好指标,哪些是坏指标。
威胁狩猎的好指标和坏指标之间的主要区别是什么?
好的威胁狩猎指标与企业的安全目标和目标保持一致,能够为威胁狩猎计划的有效性提供有意义的见解。好指标应该是可量化、可测量的,并且与威胁搜寻过程相关。它们还应该是可操作的,提供可用于改进威胁狩猎计划的有价值信息。
坏指标无法提供对威胁狩猎计划有效性的任何有意义的见解。它们可能不相关、难以衡量或与企业的安全目标不一致。它们还可能具有误导性,提供虚假或不完整的信息,可能导致错误的结论和无效的威胁狩猎策略。
好指标
对于威胁狩猎人员,最有价值的指标是那些能帮助了解威胁狩猎操作效率和有效性的指标。重要的是,虽然发现新威胁是最终目标,但威胁狩猎的价值不仅于此,以下我们将好指标分为与新威胁发现无关和相关两大类:
与新威胁发现无关的指标
一、数据源覆盖范围
指从组织基础设施内的所有来源收集的完整且全面的数据。威胁狩猎团队可以使用此指标来确保以下几点:
- 跨系统的全面可见性。网络中是否有我们无法看到的部分?
2.减少盲点,增强威胁检测和未来威胁搜寻。
- 是否存在无法收集特定数据源的特定主机?
- 团队是否拥有所有必要的遥测技术来执行各种搜索并在必要时创建检测?
3.缩短响应时间:越早识别攻击源,减少其影响的机会就越大。
- 是否存在任何可能会减慢响应时间的摄取延迟?
- 是否存在任何不一致的情况,例如未解析或未合并的数据?
二、提交的新检测数
狩猎团队检测到的以前未知或通过其他方式检测到的威胁数量。该指标是我最喜欢的指标之一,因为它显示了威胁搜寻团队为安全程序或服务增加的直接价值。在提出新的检测时,威胁搜寻团队预计会在拟议检测的研究和记录方面做大量的工作。除了新提出的检测之外,该指标还可以包含检测改进。这可能包括引入新的数据点并降低现有检测警报的误报率。
三、已完成的狩猎会话
在规定时间范围内完成的总威胁狩猎任务,反映团队活动和效率。但请记住,这只是一个数字。
需要强调的是,仅靠数字并不能说明全部情况。每次狩猎的速度和复杂性可能因后继研究、攻击模拟等多种因素而异。
与新威胁发现相关指标
一、发现的威胁数量
在搜寻过程中发现的威胁数量,需要进行额外的分析来确定它们对组织的影响程度。
二、威胁严重性细分
此指标根据潜在影响对已识别的威胁进行分类。威胁狩猎团队可以使用严重性级别(例如,低、中、高、严重)来:
- 通过突出显示较高严重性的威胁级别,帮助确定响应和资源分配的优先级。
- 根据威胁的严重程度,协助完善安全措施和工具,以有效解决特定的薄弱环节。
三、平均检测时间(MTTD)
该指标衡量从发生攻击到检测到攻击所需的时间。
平均检测时间越短,威胁狩猎的操作效率越高。团队的最终目标是减少检测和调查的时间,同时提高警报/案例比率,以及主动检测到的威胁数量的占比。
计算平均检测时间非常简单,只需将所有入侵的检测时间(从初始感染时间到检测到的时间)相加,然后除以入侵数量即可。
坏指标
有些指标会误导威胁狩猎团队或几乎不产生任何价值。以下是安全团队需要持怀疑或谨慎态度看待的“坏”指标:
一、狩猎所花费的时间
提高威胁狩猎的生产力不仅仅取决于投入的时间量。更多的时间并不等于更高的效率。相反,重要的是要专注于狩猎效率和方法的改进,这需要团队花费很多时间用于提高效率和证伪/证明狩猎方法的任务,例如:
- 研究攻击方法/工具。
- 模拟攻击。
- 检查当前检测结果。
- 确定可能发生相同攻击的不同方法,这些方法可能会绕过当前或未来的检测。
- 制作查询。
- 分析查询结果并调查真/假阳性。
- 消除误报。
二、生成的报告数量
生成大量报告会造成生产力提升假象,真正重要的是报告中的宝贵见解。
三、每个猎人的狩猎次数
这是一个危险的指标,许多企业将其用作关键绩效指标来比较团队中猎人的表现。这属于典型的“重量不重质”。猎人可能会为了提高数量而匆忙完成流程。如果您不想毁掉威胁狩猎团队,请不要使用此指标。
四、查询次数
仅计算某人查询环境的次数并不能衡量这些查询的有效性或其结果的相关性
结论
区分能增强威胁狩猎能力的好指标和那些仅仅给人错误成就感的坏指标至关重要。狩猎团队只有将质量的重要性置于数量之上,将可操作的见解置于原始数据之上,才可以打造出一支卓有成效的威胁狩猎团队。
最后,威胁狩猎是一个持续的过程,安全团队应定期审查和更新指标,以确保它们仍然有效并能为企业带来价值。
