7,9K подписчиков

CardinalOps: только 19% тактик MITRE ATT&CK охватываются SIEM

Технологии
363,6K интересуются
Путешествия
686,5K интересуются
Красота и стиль
392,1K интересуются
Спорт
278,1K интересуются
Наука
126K интересуются
Культура
75,9K интересуются
Экономика
145,8K интересуются
Авто
268,3K интересуются
Гейминг
277,1K интересуются
Питомцы
359,5K интересуются
Еда
992,9K интересуются
Компания CardinalOps опубликовала свой отчёт о состоянии рисков обнаружения SIEM.

Компания CardinalOps опубликовала свой отчёт о состоянии рисков обнаружения SIEM. В отчёте, в котором проанализировано 3000 правил обнаружения и 1,2 миллиона источников журналов, сказано, что SIEM охватывают только 19% тактик MITRE ATT&CK. Это составляет 38 из 201 методики в фреймворке MITRE ATT&CK v14. Однако отмечено, что организации имеют возможность охватывать 87% методик.

В отчёте уточняется, что всё более распространёнными становятся множественные среды SIEM — 43% организаций имеют две или более SIEM. Эксперты CardinalOps отмечают, что, рассматривая состояние SIEM с точки зрения инженерии обнаружения и поиска угроз, выяснилось, что 43% организаций сообщают о наличии более одного SIEM. Хотя существуют определённые случаи использования, когда наличие нескольких инструментов SIEM может быть выгодным (например, экономия средств за счёт отправки большого объёма данных в менее дорогую SIEM, а затем пересылка наиболее важных данных в более надёжную и дорогую SIEM), это также может привести к проблемам сложности.

В результатах исследования указывается на то, что ещё одна потенциальная проблема связана с поиском и расследованием угроз: отслеживание бокового перемещения может стать намного сложнее. Если журналы разделены между двумя разными SIEM, то можно потерять отслеживание бокового перемещения, если данные с двух затронутых устройств попадают в разные инструменты SIEM.

В выводах отчёта компании CardinalOps указывается, что рост использования нескольких сред SIEM, о котором сообщили 43% организаций, подчеркивает, что данные используются неправильно. Дело в том, что SIEM слишком похожи на «швейцарский армейский нож». Вот почему компании должны использовать специализированные системы для обнаружения, такие как SaaS Security Posture Management и Cloud Security Posture Management. Эти узконаправленные системы понимают данные о конкретных событиях, а также контекст, в котором были созданы события. Контекст включает информацию о конфигурации и политике, которая может оказать большое влияние на уровень обнаружения.

Полная версия отчёта представлена по ссылке.

Оригинал публикации на сайте CISOCLUB: "CardinalOps: только 19% тактик MITRE ATT&CK охватываются SIEM".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.