Last Updated on 2024-04-20 06:47 by 荒木 啓介
Black Hat Asia会議で、AirbnbのシニアスタッフエンジニアであるAllyn Stottは、セキュリティ専門家に対し、検出と対応プログラムのセキュリティメトリクスの使用方法を再考するよう促した。Stottは、メトリクスが検出と対応プログラムの効果を評価し、改善を促進する上で重要であると述べ、特にアラートの量を効果的に測定することの重要性を強調した。彼は、MITRE ATT&CKフレームワークに加えて、SANS InstituteのHunting Maturity Model (HMM)とSecurity InstituteのSABREフレームワークの使用を推奨し、これらが組織の脅威ハンティング能力の現状と改善計画を示すメトリクスを提供すると説明した。Stottは、これらのガイドラインを有効に活用するためには、CISOの買い入れが必要であり、脅威インテリジェンスエンジニアが初期の推進力となることが多いと述べた。
【ニュース解説】
Black Hat Asia会議において、AirbnbのシニアスタッフエンジニアであるAllyn Stott氏は、セキュリティ専門家たちに対し、検出と対応プログラムにおけるセキュリティメトリクスの使用方法を見直すよう呼びかけました。セキュリティオペレーションセンター(SOC)における最大の課題の一つは、真の脅威と誤検知(フォールスポジティブ)を区別することであり、脅威の増加に伴い、このようなパフォーマンスデータを測定し分析する効果的なアプローチが組織の検出と対応プログラムにとってより重要になっています。
Stott氏は、メトリクスが検出と対応プログラムの効果を評価し、改善を促進する上で重要であると強調しました。特に、アラートの量を効果的に測定することの重要性を指摘し、MITRE ATT&CKフレームワークに加えて、SANS InstituteのHunting Maturity Model (HMM)とSecurity InstituteのSABREフレームワークの使用を推奨しました。これらのフレームワークは、組織の脅威ハンティング能力の現状と改善計画を示すメトリクスを提供します。
このアプローチの実装には、CISO(最高情報セキュリティ責任者)の支持が必要であり、脅威インテリジェンスエンジニアが初期の推進力となることが多いとStott氏は述べています。このようなフレームワークの適切な利用は、組織が脅威に対する対応能力を具体的に評価し、向上させるための重要な手段となります。
この取り組みのポジティブな側面は、セキュリティチームが脅威の検出と対応における自身の効果をより明確に理解し、改善点を特定できるようになることです。また、組織全体のセキュリティポスチャを強化し、ビジネスへのリスクを低減することができます。しかし、潜在的なリスクとしては、これらのフレームワークを適切に理解し、実装するためには専門知識が必要であり、誤った適用が逆にセキュリティの誤解を招く可能性があります。
長期的な視点では、セキュリティメトリクスとフレームワークの進化は、組織がより効果的に脅威に対処し、将来のセキュリティ戦略を形成する上で重要な役割を果たします。これにより、セキュリティ業界全体の成熟度が向上し、新たな脅威に対するより迅速かつ効果的な対応が可能になることが期待されます。
from Rethinking How You Work With Detection and Response Metrics.
