ИИ не просто улучшает операции по обеспечению безопасности; это фундаментально переписывает правила возможного. А это означает, что показатели, на которые мы полагались десятилетиями, внезапно становятся неактуальными.
Каждая дисциплина столкнулась с этим расплатой. Разработка программного обеспечения когда-то измеряла производительность в написанных строках кода — показатель, который мгновенно стал бессмысленным, когда ИИ мог генерировать тысячи строк за секунды. Команды DevOps построили свой мир на таких показателях DORA, как частота развертывания и частота неудачных изменений, оптимизированных для циклов выпуска, регулируемых человеком. Когда ИИ может постоянно тестировать, проверять и внедрять изменения, эти тесты измеряют совершенно неправильные ограничения.
Безопасность на очереди.
Традиционные показатели измеряли эффективность человека в операциях, ограниченных человеческим фактором. Среднее время оповещения и подтверждения (MTTAck). Среднее время обнаружения (MTTD). Среднее время для расследования. (МТТИ). Среднее время содержания. (MTTC0 Среднее время реагирования и восстановления. (MTTR)
Не говоря уже о типичных вещах, таких как громкость оповещений. Это имело смысл, когда для каждого оповещения требовались человеческие глаза, а скорость ответа ограничивалась тем, насколько быстро аналитик мог печатать.
У ИИ нет таких ограничений. Когда системы, управляемые искусственным интеллектом, обрабатывают тысячи предупреждений одновременно и автономно выполняют сценарии реагирования, измерение «времени на одно предупреждение» становится бессмысленным. Праздновать, что ИИ сократил ваше среднее время безотказной работы с четырех часов до двух, — это все равно, что праздновать, что ваша Tesla эффективно работает на холостом ходу. Вы измеряете совершенно не то.
Какие показатели на самом деле имеют значение
Трансформационная ценность не в том, чтобы быстрее выполнять старые задачи. Это достижение результатов, которые раньше были невозможны.
Так что же это на самом деле означает?
Как это выглядит на практике, а не как научная фантастика?
1. Покрытие в пределах критических временных окон.
Не имеет значения, сократите ли вы MTTR с четырех часов до двух часов, если атака завершится через 12 минут. Это аппаратный сброс, который показывают данные синхронизации MITRE ATT&CK. Каждый метод имеет реальное окно выполнения: заполнение учетных данных занимает три минуты, горизонтальное перемещение — восемь, а фильтрация данных — 12.
Что касается методов атаки в вашей среде, скорость обнаружения и сдерживания превышает типичное время выполнения?
Если предположить, что обычная кражу SaaS занимает 12 минут, а ваш автоматический ответ занимает 15 минут, то суровая правда такова: вы все равно проигрываете.
Правильные показатели для отслеживания: отслеживать, на какой процент категорий атак вы можете отреагировать быстрее, чем злоумышленники их выполнят. Это подскажет вам, где вы выигрываете гонки, а не просто эффективно обрабатываете последствия.
2. Коэффициент предотвращения развития атаки.
Традиционные службы безопасности допускали, что некоторые атаки завершат цепочку убийств, поскольку сдерживание с человеческой скоростью на каждом этапе было невозможно. Аналитик может остановить первоначальный доступ или сдержать боковое движение, но редко и то, и другое в одной и той же последовательности атак.
автоматизация на основе искусственного интеллекта полностью меняет это уравнение. Он может разрывать цепочки атак в нескольких точках одновременно, блокируя первоначальные попытки доступа, сдерживая горизонтальное перемещение и предотвращая эксфильтрацию.
Вопрос не в том, эффективно ли вы отреагировали на каждый этап. Вопрос в том, достиг ли злоумышленник своей цели вообще.
Правильная метрика для отслеживания: Процент попыток атак, которые успешно завершают цепочку уничтожений. «Успешные события сохранения снизились с 12% до 2% попыток» — это рентабельность инвестиций. «Мы обработали на 40% больше оповещений» — нет.
3. Сложность обнаруженных угроз.
Обычно операции оптимизируются для обнаружения масштабных и хорошо понятных атак, поскольку они поддаются анализу в масштабе человека. В то время как тонкие, новые и маломасштабные атаки оставались незамеченными, потому что ни у одного человека не было времени охотиться за ними.
Системы, управляемые искусственным интеллектом, должны постоянно проникать на территорию обнаружения, которая раньше была темной. Они должны обнаружить странную модель бокового движения, которая происходит раз в шесть месяцев. Доступ к учетным данным, который не соответствует ни одной известной сигнатуре атаки, но соответствует новому поведению злоумышленника.
Если атаки, которые вы обнаружили в этом квартале, выглядят точно так же, как угрозы прошлого квартала, ваш ИИ не учится, а просто быстрее автоматизирует вашу старую логику обнаружения.
Правильная метрика для отслеживания: серьезность и новизна обнаруженных угроз за квартал. Отлавливаете ли вы атаки, которые в прошлом году могли бы увенчаться успехом и остаться незамеченными?
4. Сдвиг в распределении времени аналитика.
Раньше специалисты по эксплуатации считали, что 80 % времени аналитиков тратится на реагирование, сортировку оповещений, плановые расследования и реагирование на известные угрозы. Это именно то, чего требовала рабочая нагрузка, когда узким местом были люди.
автоматизация на основе искусственного интеллекта должна коренным образом изменить это соотношение. Когда ИИ занимается крупномасштабным обнаружением и реагированием на них с низкой сложностью, ваши аналитики должны тратить большую часть своего времени на работу, которую могут выполнять только люди: поиск угроз для новых моделей атак, построение логики обнаружения для нового поведения противника, закрытие брешей в безопасности архитектуры, совместная работа красной команды.
Если ваши аналитики по-прежнему тратят большую часть своего времени на сортировку оповещений после внедрения автоматизации ИИ, вы не добились трансформации; вы только что сделали их немного быстрее при неправильной работе.
Правильная метрика для отслеживания: процент времени аналитиков, потраченного на превентивную работу по обеспечению безопасности, по сравнению с реактивным реагированием на инциденты. Хорошей целью является проактивность на 70% в течение 12 месяцев после внедрения ИИ.
5. Прямое снижение бизнес-рисков.
Традиционные показатели были косвенными, поскольку мы не могли количественно оценить количество предотвращенных атак или влияние более быстрого обнаружения на бизнес. Системы, управляемые искусственным интеллектом, генерируют данные о видимости и результатах для их непосредственного измерения.
Для каждого пути атаки, где автоматизация ИИ устраняет временной разрыв, вы можете рассчитать фактический предотвращенный риск: атаки, обнаруженные до завершения, умноженные на потенциальное влияние на бизнес, умноженные на вероятность, основанную на аналитике угроз.
Пример: ваш сценарий кражи SaaS показывает, что атаки завершаются в среднем за двадцать минут. Ваш предыдущий ответ занял 2,5 часа; ты проиграл по умолчанию. Благодаря автоматизации на основе искусственного интеллекта вы достигаете восьмиминутного обнаружения и сдерживания — теперь вы выигрываете. Если данные о клиентах, подвергающиеся риску, представляют собой штрафы и ответственность регулирующих органов на сумму 45 миллионов долларов сша, а данные об угрозах показывают 35% годовую вероятность этого типа атаки, вы избежали риска на сумму 15,75 миллионов долларов сша в год. Создать экономическое обоснование для ИИ относительно легко.
Правильная метрика для отслеживания: Сумма бизнес-риска, закрытого по категориям, рассчитывается как: (Влияние на бизнес × Вероятность атаки × Повышение процента побед). Это переводится непосредственно на язык уровня платы.
6. Процент побед по технике атаки.
Общий MTTR ничего не говорит вам о том, действительно ли вы останавливаете атаки. Процент побед по конкретной технике расскажет вам все.
Для каждого метода MITRE ATT&CK в вашей модели угроз сравните два числа: время от первоначальной компрометации до цели злоумышленника и время от первоначальной компрометации до ваших действий по сдерживанию. Если ваше время сдерживания превышает время их исполнения, вы проиграли эту гонку. Если оно короче, вы выиграли.
Отслеживайте это по всем соответствующим методам. «Мы успешно сдержали 73% попыток атак с боковым перемещением до того, как злоумышленники достигли администратора домена», — демонстрирует реальный успех защиты. «Наше среднее время ответа улучшилось на 40%» просто означает, что вы более эффективно обрабатываете ошибки.
Правильная метрика для отслеживания: процент побед по категориям техники MITRE ATT&CK с тенденцией с течением времени. Хорошей целью является достижение уровня выше 75% для наиболее важных путей атаки.
Переход
Вам не нужно в одночасье перестраивать всю структуру метрик. Начните с одного пути атаки, который не даст вашей команде спать по ночам.
Выберите свой самый пугающий сценарий, тот, в котором последствия для бизнеса очевидны, а руководители сразу понимают ставки. Шифрование производственных систем с помощью программ-вымогателей. Эксфильтрация личных данных клиента. Взлом ваших учетных записей администратора SaaS. Все, что представляет экзистенциальный риск для вашей организации.
Составьте карту этого единственного пути атаки с помощью MITRE ATT&CK. Задокументируйте типичный график выполнения на основе анализа угроз и учений красной команды. Честно задокументируйте текущий график обнаружения и реагирования — не лучший случай, а то, что на самом деле происходит, когда аналитик занимается тремя другими расследованиями. Посчитайте зазор. Рассчитайте влияние на бизнес в случае успеха этой атаки.
Затем определите, закроет ли автоматизация на основе искусственного интеллекта этот пробел. Дело не в том, быстрее ли он обрабатывает оповещения или снижает общее среднее время восстановления, а в том, перемещает ли он вашу скорость сдерживания ниже окна выполнения злоумышленника для этой конкретной цепочки уничтожений. Отслеживайте свой процент выигрышей только для этого сценария за девяносто дней.
Этот единственный конкретный пример станет вашим шаблоном. Как только руководство поймет структуру, скорость атакующего и скорость защитника, процент побед и эффективность процесса, закрытые риски и обработанные оповещения, вы сможете масштабировать один и тот же подход для других критических путей атаки.
ТЕНДЕНЦИОННЫЕ ИСТОРИИ YOUTUBE.COM/THENEWSTACK Технологии развиваются быстро, не пропустите ни одной серии. Подпишитесь на наш канал YouTube, чтобы смотреть все наши подкасты, интервью, демонстрации и многое другое. ПОДПИСАТЬСЯ Группа, созданная в Sketch. Асаф сочетает в себе уникальное сочетание опыта лидерства в сфере продуктов от ведущих охранных компаний и оперативного лидерства в элитных воинских частях. До Mate он возглавлял основные направления продуктов в Wiz, помогая превратить предложения CSPM и управления уязвимостями в лидеров категорий… Подробнее от Асафа Винера
