Deficiencias de las métricas de tiempo medio en ciberseguridad

Métricas de tiempo en ciberseguridad

Los equipos de seguridad de las medianas empresas se enfrentan constantemente a la pregunta «¿cómo es el éxito?» En ActZero, su enfoque continuo de seguridad cibernética basado en datos los invita a medir, evaluar y verificar el trabajo que realizan a diario en nombre de sus clientes.

Como la mayoría, inicialmente recurrieron a métricas estándar utilizadas en ciberseguridad, basadas en la fórmula «Mean Time to X» (MTTX), donde X indica un hito específico en el ciclo de vida del ataque. En esta fórmula, estos hitos incluyen factores como Detectar, Alertar, Responder, Restablecer o incluso Arreglar cuando sea necesario.

Sin embargo, cuando comenzaron a implementar su enfoque único de inteligencia artificial y aprendizaje automático, se dieron cuenta de que las medidas de «velocidad» no les daban una visión holística de la historia. Más importante aún, la medición de la velocidad por sí sola era menos útil en una industria donde las alertas y respuestas controladas por máquinas se producían en fracciones de segundo.

Entonces, en lugar de centrarse solo en la antigua fórmula MTTX, tomaron prestada una idea de larga data de otra industria sensible al tiempo: la transmisión de video. Las principales plataformas de transmisión como Netflix, YouTube y Amazon se ocupan de dos principios básicos: la velocidad y la calidad de la señal. En pocas palabras: el video debe llegar de manera confiable dentro de un cierto tiempo cuando se transmite (Velocidad) y luego su video debe verse excelente (Calidad). Seamos realistas: ¡a quién le importa si la transmisión de video de su equipo aparece rápidamente en su pantalla cuando no los ve marcar un gol!

Este concepto de velocidad y calidad también se aplica directamente a las alertas de ciberseguridad: es importante que las alertas lleguen de manera confiable en un tiempo determinado (velocidad) y que estas alertas no sean defectuosas (calidad). En el caso de la seguridad cibernética, no importa qué tan rápido alerte una detección incorrecta (o peor aún, la detección «incorrecta» lo enterrará).

Entonces, cuando dieron un paso atrás para ver cómo podían mejorar su medición de éxito, tomaron prestada una medida simple pero increíblemente efectiva de sus colegas de transmisión de video: relación señal/ruido (SNR). SNR es la relación entre la cantidad de información solicitada recibida («señal») y la cantidad de información no deseada recibida («ruido»). El éxito se mide entonces por una señal alta con un ruido mínimo: manteniendo los objetivos específicos de TTX. Es importante tener en cuenta que hay una falta de «medio», pero hablaremos de eso más adelante.

Para comprender mejor cómo la consideración de SNR servirá mejor a su SOC, veamos tres deficiencias clave de las métricas de tiempo medio. Al comprender SNR para ciberseguridad, estará mejor equipado para evaluar a los proveedores de seguridad en un mercado con un número cada vez mayor de soluciones impulsadas por inteligencia artificial y tendrá una mejor señal de lo que calidad detección (más que rápida pero imprecisa).

1 Los valores atípicos afectan los tiempos medios

Los recursos son promedios, por lo que pueden suavizar los valores de datos volátiles y ocultar tendencias importantes. Cuando calculamos el TTX promedio, en realidad decimos que en el 50% de los casos somos mejores que nuestro promedio, y En el 50% de los casos, estamos peor. Por lo tanto, cuando se habla de recursos en ActZero, siempre usan «porcentaje total n» para una mayor precisión para comprender qué porcentaje de tiempo es aplicable. Cuando dicen TTX 5 segundos para TP99, en realidad dicen 99 de 100 veces, han llegado a TTX 5 segundos. Este porcentaje general lo ayudará a comprender la probabilidad de que su incidente sea realmente «remoto» y le cueste días de recuperación y posible tiempo de inactividad.

2 Tiempo medio = métricas más antiguas

Como estándar de medición, los tiempos promedio son un paradigma obsoleto transferido desde los centros de llamadas hace muchos eones. A lo largo de los años, los líderes de ciberseguridad han adoptado métricas similares porque el departamento de TI las conocía.

En la realidad actual, los tiempos promedio no están directamente relacionados con el tipo de trabajo que hacemos en ciberseguridad, y no podemos generalizarlos completamente como indicadores significativos sobre el ciclo de vida de un ataque. Si bien estos promedios pueden expresar la velocidad con respecto a partes específicas del ciclo de vida de un ataque, no brindan información útil aparte de indicarle potencialmente que se apure. En el mejor de los casos, MTTX se convierte en una métrica de vanidad que se ve muy bien en el tablero pero proporciona poca información comercial real.

3 La relación señal-ruido mide la calidad de la detección

El MTTX más rápido no vale nada si mide la creación de una alerta imprecisa. Queremos que las métricas de tiempo promedio nos informen al respecto. Actual advertencias o verdaderos positivos y no ser distorsionada por datos erróneos.

Por lo tanto, es posible que se pregunte: «¿Cómo le informa un MTTX no sintonizado sobre la calidad del trabajo que realiza su proveedor de seguridad o cuán seguros son sus sistemas?» Y tendría razón al cuestionar eso, porque no lo es.

Para comprender realmente la eficacia de su proveedor de seguridad, debe comprender (1) la amplitud de la cobertura y (2) la calidad de las detecciones. Problema de velocidad vs. la calidad es la razón por la que pensamos (y medimos el éxito) en términos de SNR en lugar de tiempos intermedios.

Para los proveedores de seguridad o aquellos que ejecutan SOC internamente, es una señal de detección de calidad en relación con una masa de ruido benigno o de otro tipo que le permitirá comprender su SNR y utilizarla para aumentar la eficiencia operativa. Y cuando llegue el momento de esta actualización ejecutiva trimestral, podrá contar una historia mucho más sólida y valiosa sobre sus esfuerzos de seguridad cibernética de lo que MTTX ha hecho en el tablero.

Elemento de acción: Vea cuántas detecciones de calidad ha aumentado su proveedor de seguridad cibernética en relación con la cantidad de alertas inexactas para comprender hasta qué punto tienen éxito en el mantenimiento de la seguridad de sus sistemas.

Cómo ayuda ActZero a clientes como usted

Hay mejores medidas que MTTX para evaluar la eficacia de la ciberseguridad. Recomiendan que piense en términos de señal a ruido para que pueda medir mejor la calidad y amplitud de las detecciones realizadas por su proveedor de seguridad. Las nuevas métricas, como la relación señal-ruido, serán clave porque las soluciones de seguridad cibernética están respaldadas por inteligencia artificial y aprendizaje automático para responder a la velocidad de la máquina.

Para explorar nuestro pensamiento sobre este tema con más profundidad, consulte su White Paper en colaboración con Tech Target”.Contextualización de métricas de tiempo intermedio para mejorar las calificaciones de los proveedores de seguridad cibernética. «

Nota: este artículo está escrito por Jerry Heinz, vicepresidente de ingeniería de ActZero.ai. Es un veterano industrial con más de 22 años de experiencia en diseño e ingeniería de productos. Como vicepresidente de ingeniería de ActZero, Jerry dirige los esfuerzos de I+D de la empresa como proveedor líder de la industria de servicios gestionados de detección y respuesta.

ActZero.ai es una startup de ciberseguridad que mejora la seguridad de las pymes al permitir que los equipos cubran más territorios con menos recursos internos. Nuestro servicio inteligente de detección y respuesta administrada brinda monitoreo continuo, protección y soporte de respuesta que va mucho más allá de otras soluciones de software de terceros. Nuestros equipos de científicos de datos utilizan tecnologías de vanguardia como IA y ML para escalar recursos, identificar vulnerabilidades y eliminar más amenazas en menos tiempo. Trabajamos activamente con nuestros clientes para respaldar la ingeniería de seguridad, aumentar la eficiencia y la eficacia internas y, en última instancia, construir una posición avanzada en ciberseguridad. Ya sea que respalde una estrategia de seguridad existente o sirva como línea de defensa principal, ActZero permite el crecimiento del negocio al permitir que los clientes cubran más territorios. Para obtener más información, visite https://actzero.ai

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática