СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Артем
15.07.2024
#Dev#ИБ#Облака

CardinalOps: только 19% тактик MITRE ATT&CK охватываются SIEM

CardinalOps: только 19% тактик MITRE ATT038CK охватываются SIEM

Компания CardinalOps опубликовала свой отчёт о состоянии рисков обнаружения SIEM. В отчёте, в котором проанализировано 3000 правил обнаружения и 1,2 миллиона источников журналов, сказано, что SIEM охватывают только 19% тактик MITRE ATT&CK. Это составляет 38 из 201 методики в фреймворке MITRE ATT&CK v14. Однако отмечено, что организации имеют возможность охватывать 87% методик.

В отчёте уточняется, что всё более распространёнными становятся множественные среды SIEM — 43% организаций имеют две или более SIEM. Эксперты CardinalOps отмечают, что, рассматривая состояние SIEM с точки зрения инженерии обнаружения и поиска угроз, выяснилось, что 43% организаций сообщают о наличии более одного SIEM. Хотя существуют определённые случаи использования, когда наличие нескольких инструментов SIEM может быть выгодным (например, экономия средств за счёт отправки большого объёма данных в менее дорогую SIEM, а затем пересылка наиболее важных данных в более надёжную и дорогую SIEM), это также может привести к проблемам сложности.

В результатах исследования указывается на то, что ещё одна потенциальная проблема связана с поиском и расследованием угроз: отслеживание бокового перемещения может стать намного сложнее. Если журналы разделены между двумя разными SIEM, то можно потерять отслеживание бокового перемещения, если данные с двух затронутых устройств попадают в разные инструменты SIEM.

В выводах отчёта компании CardinalOps указывается, что рост использования нескольких сред SIEM, о котором сообщили 43% организаций, подчеркивает, что данные используются неправильно. Дело в том, что SIEM слишком похожи на «швейцарский армейский нож». Вот почему компании должны использовать специализированные системы для обнаружения, такие как SaaS Security Posture Management и Cloud Security Posture Management. Эти узконаправленные системы понимают данные о конкретных событиях, а также контекст, в котором были созданы события. Контекст включает информацию о конфигурации и политике, которая может оказать большое влияние на уровень обнаружения.

Полная версия отчёта представлена по ссылке.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: