Технический директор по архитектуре Национального центра кибербезопасности (NCSC) Дэйв Чисмон заявил, что многие из наиболее распространённых показателей, используемых для оценки эффективности работы центра ИБ-мониторинга, в лучшем случае неточны, а в худшем — вредят командам SecOps.

По мнению британского чиновника, организации часто тяготеют к показателям, которые легко выразить количественно для неспециалистов. Если они неправильно сформулированы, сотрудники могут быть мотивированы быстро сортировать и закрывать заявки как ложные срабатывания, не проводя расследование. В других случаях ошибочный критерий способен подтолкнуть аналитиков к увеличению фиксации ложных срабатываний и неэффективных правил. Таким образом, сосредоточение внимания на объёме собранных журналов, а не на их ценности является контрпродуктивным, если это не улучшает обнаружение.

Согласно установке NCSC, единственным важным показателем SOC является «обнаруживает ли он атаки (и реагирует ли на них) своевременно?» — другими словами, время обнаружения/время реагирования (TTD/TTR). Чисмон советует использовать для его оценки «красную/фиолетовую команду».

Для сокращения указанного параметра SOC-аналитики должны понимать как ландшафт угроз, так и то, что они защищают, быть экспертами в используемых инструментах, иметь необходимые данные для выявления необычного поведения и время для поиска угроз. Топ-менеджер порекомендовал безопасникам несколько подходов:

гипотетически обоснованный поиск, при котором аналитики выдвигают гипотезы о вероятных атаках, основываясь на своём понимании субъектов угроз и их методов;

• максимальное количество истинно положительных результатов, при котором центры SOC «поддерживают жёсткие пороговые значения для частоты ложноположительных результатов» при оценке пригодности правила обнаружения;
• наличие метрик, основанных на осведомлённости сотрудников об угрозах, таких как полнота документации о субъекте угроз или прочитанные и принятые к исполнению отчёты об обучении;
• мониторинг вовлечённости SOC в работу всей организации для выявления и обозначения подозрительной активности и так далее.

«При неправильных метриках SOC неэффективен, а работа становится невыносимой, и аналитики описывают себя как "обезьян, занимающихся обработкой заявок" — их оценивают по тому, насколько быстро они выдают ложные срабатывания, и одновременно стыдят за пропуск реальных атак, — заключил Чисмон. — Чтобы не попасть в эту ловушку, необходимо привлечь красную или фиолетовую команду от надёжного поставщика».

Усам Оздемиров