Jalur Pengukuran dan Pekerjaan
Definisi baru dari TPR dan FP yang disebutkan di atas menciptakan jalur pengukuran dan pekerjaan berikut:
- True Positive Rate (TPR): Ini adalah metrik yang dapat dilaporkan, dipecah menjadi wawasan yang lebih rinci seperti:
- Security Tool TPR: Kinerja TPR dari setiap alat keamanan (misalnya, TPR CrowdStrike vs. TPR Exabeam).
- SOC Analyst TPR: Melacak true positive yang dilaporkan oleh analis dibandingkan dengan tren true positive keseluruhan untuk mengidentifikasi analis yang berkinerja di bawah atau di atas standar.
- Department TPR: TPR dibagi berdasarkan departemen organisasi untuk melihat apakah ada departemen tertentu yang lebih “berisiko” daripada yang lain. Apakah mereka menghasilkan lebih banyak true positive dibandingkan dengan departemen lain?
- Individual Rule TPR: Kinerja aturan keamanan tertentu. Apakah menghasilkan TPR yang lebih rendah dibandingkan dengan program secara keseluruhan? Jika ya, aturan ini bisa menjadi kandidat yang baik untuk penyesuaian. Ini juga dapat diterapkan pada insinyur yang membuat alat tersebut!
- False Positive (FP): Ini adalah prioritas utama pekerjaan kita. Tujuannya adalah untuk mendekati nol. Penting juga untuk memastikan tidak ada true positive yang salah diklasifikasikan sebagai false positive. Buat alur umpan balik di mana analis senior memverifikasi false positive.
- True Positive (TP): Prioritas sekunder adalah menghasilkan peringatan berkualitas tinggi yang menghasilkan true positive secara konsisten. Ini adalah ukuran, bukan metrik. Tujuan di sini adalah meningkatkan JUMLAH total true positive. Kita dapat menggunakan pengukuran lainnya untuk meningkatkan TPR secara keseluruhan.
- True Positive: Accepted Risk (TP:AR): Tidak banyak yang bisa dilakukan di sini selain menekan program pengecualian. Risiko yang diterima dapat membawa tanggung jawab perusahaan dan individu, sehingga harus dipahami dengan baik dan memiliki jejak pengelolaan yang jelas untuk risiko yang diketahui dan diterima.
- True Positive: Benign (TP:B): Ini adalah area abu-abu yang dapat dievaluasi berdasarkan program. Jika ada kapasitas untuk menangani volume peringatan yang lebih tinggi, memiliki TP:B yang lebih tinggi akan memberikan wawasan lebih baik ke dalam lingkungan dan mengurangi false negative. Jika tidak, angka ini bisa disesuaikan. Tentukan peringatan mana yang paling banyak berkontribusi pada tingkat ini dan sesuaikan dari sana.
Pada akhirnya, ini bukan panduan lengkap tentang true positive vs. false positive. Namun, ini dapat digunakan sebagai dasar untuk membantu mempertimbangkan cara menggunakan metrik yang cukup kuat ini dalam program keamanan Anda.
Sebuah Polling Menarik
Seorang rekan industri saya, Josh Johnston, melakukan polling kepada koneksi LinkedIn-nya beberapa waktu lalu untuk memahami tingkat true positive dalam program keamanan mereka. Ia mendapatkan 49 responden dari berbagai disiplin ilmu, tingkat keahlian, dan industri. Berikut adalah hasil polling yang disajikan di LinkedIn:
Hasilnya adalah sebagai berikut:
Polling ini (meskipun terbatas) mulai mengonfirmasi salah satu hipotesis saya tentang tingkat true positive. Wajar jika tingkat ini sangat rendah. Perasaan intuitif saya mengatakan bahwa sebagian besar program keamanan memiliki tingkat true positive sekitar 3% atau kurang. Jika kita mulai menghitung jumlah peringatan yang diterima setiap hari dalam suatu program, tingkat true positive 3% berarti bahwa dari setiap 97 peringatan false positive, hanya tiga yang benar-benar dapat ditindaklanjuti. Pikirkan tentang itu: kita semua pernah menggunakan alat yang menghasilkan RIBUAN peringatan setiap hari… apakah tingkat true positive 3% itu realistis? Saya rasa tidak berlebihan untuk mengasumsikan bahwa beberapa organisasi memiliki tingkat true positive kurang dari 1%. Bahkan, tingkat di bawah 5% mungkin sudah menjadi standar dalam industri ini.
Karena Josh bekerja untuk vendor di industri keamanan siber, kemungkinan besar ia terhubung dengan orang-orang lain yang juga bekerja untuk vendor keamanan dalam jaringan LinkedIn-nya. Untuk bersenang-senang, ia membagi hasil polling berdasarkan tanggapan dari vendor vs. non-vendor, dan hasilnya cukup menggelitik saya.
Berdasarkan polling ini, tidak berlebihan untuk menyimpulkan bahwa vendor cenderung melebih-lebihkan jumlah true positive yang dihasilkan oleh alat mereka.
Tindakan yang Direkomendasikan
Berdasarkan definisi dan observasi yang telah direvisi, berikut adalah beberapa langkah yang direkomendasikan untuk tim keamanan:
- Tambahkan klasifikasi baru ke dalam alat manajemen kasus Anda.
- Hitung dan laporkan persentase aktual dari True Positive Rate serta metrik yang lebih rinci untuk lingkungan Anda.
- Gunakan perhitungan ini untuk melibatkan dan mendidik pimpinan keamanan mengenai kualitas peringatan.
- Tinjau kembali tindakan analis serta kebutuhan pelatihan mereka berdasarkan tingkat keberhasilan mereka.
- Buat umpan balik yang memungkinkan analis memberi tahu tim rekayasa keamanan tentang masalah yang terus berlanjut.
- Sertakan angka-angka ini dalam diskusi berkelanjutan dengan vendor, terutama untuk meningkatkan efektivitas platform mereka. Usahakan untuk berbagi perhitungan ini dengan komunitas pelanggan mereka.
Analitik Perilaku Pengguna dan Entitas untuk Deteksi Ancaman Lanjutan
Anda menghadapi gelombang ancaman yang terus-menerus, beberapa di antaranya bahkan tidak Anda sadari. Sebagai titik masuk utama bagi serangan, pengguna menjadi vektor yang sulit untuk dipantau dan diamankan. Untuk menghadapi serangan yang semakin masif, Anda perlu memfokuskan perhatian pada pengguna dengan memanfaatkan kekuatan User and Entity Behavior Analytics (UEBA).
Infrastruktur IT yang kuat adalah kunci pertumbuhan bisnis. logrhythm menyediakan solusi terbaik, mulai dari jaringan, storage, cloud, hingga keamanan siber, yang diintegrasikan oleh iLogo Indonesia agar sesuai dengan kebutuhan bisnis Anda.
Pelajari lebih lanjut di logrhythm.ilogoindonesia.id dan konsultasikan kebutuhan IT Anda dengan kami!
