Optimaliseer je Security KPI's

Effectieve communicatie van cybersecuritymaatregelen aan de business is cruciaal, maar vaak een uitdaging voor security teams. De kern van dit probleem ligt in het leveren van rapporten die daadwerkelijk waardevol zijn voor het senior management. 

Dit was precies het onderwerp van de presentatie van Alyn Stott, tijdens BSides Dublin 2024
waar hij de meest voorkomende fouten bij het leveren van security metrics aan senior management besprak. 

Hieronder al vast vijf veelgemaakte fouten in security operations metrics:

1. Het doel uit het oog verliezen

Het is gemakkelijk om verstrikt te raken in het rapporteren van metrics die geen waarde meer hebben. Metrics zoals het aantal geblokkeerde incidenten of de snelheid waarmee tickets worden toegewezen, bieden bijvoorbeeld geen diepgaand inzicht in de kwaliteit of effectiviteit van je security operations. Gebruik in plaats daarvan het SAVER (Streamlined Awareness Vigilance Exploration & Readiness) raamwerk om metrics te ontwikkelen die aansluiten bij strategische doelen en een duidelijker beeld geven van de maturiteit van je security operations.

De vijf categorieën van het SAVER raamwerk zijn als volgt:

  1. Streamlined
    • Operationele efficiëntie, nauwkeurigheid en automatisering
      Deze categorie richt zich op het optimaliseren van je security processen om ze zo efficiënt mogelijk te maken. Metrics in deze categorie kunnen bijvoorbeeld de mate van automatisering van beveiligingstaken meten, evenals de nauwkeurigheid en operationele reactiesnelheid. Door efficiëntie te verbeteren, kunnen resources beter worden ingezet en kunnen incidenten sneller en effectiever worden afgehandeld.
  2. Awareness
    • Context en intelligentie over bestaande en opkomende dreigingen, kwetsbaarheden en risico's
      Awareness-metrics geven inzicht in hoe goed je organisatie op de hoogte is van het huidige threat landscape. Dit omvat het bijhouden van informatie over nieuwe kwetsbaarheden, dreigingen en risico's die relevant zijn voor jouw bedrijf. Effectieve awareness-metrics helpen bij het anticiperen op potentiële aanvallen en het nemen van proactieve maatregelen om risico's te minimaliseren.
  3. Vigilance
    • Zichtbaarheid en detectiedekking voor bekende dreigingen
      Vigilance-metrics meten hoe effectief je organisatie is in het detecteren en monitoren van bekende dreigingen. Belangrijke vragen hierbij zijn: Hoe volledig is de dekking? Zijn er blinde vlekken? Hebben we gebieden waar onze security tools nog niet zijn geïmplementeerd? Dit kan bijvoorbeeld de dekking en effectiviteit van je detectiesystemen omvatten, zoals endpoint detection and response (EDR), en intrusion detection systems (IDS) oplossingen. Door sterke vigilance-metrics te hebben, kun je snel reageren op bekende aanvallen, blinde vlekken identificeren en schade beperken door ontbrekende beveiligingsmaatregelen aan te vullen.
  4. Exploration
    • Proactieve onderzoek naar onbekende dreigingen
      Exploration-metrics richten zich op het vermogen van je organisatie om proactief onbekende en opkomende dreigingen te identificeren en te onderzoeken. Dit omvat activiteiten zoals threat hunting en vulnerability scanning, waarbij je actief zoekt naar potentiële zwakke plekken en bedreigingen die nog niet zijn geëxploiteerd. Het doel is om een stap voor te blijven op aanvallers door nieuwe dreigingen te identificeren voordat ze schade kunnen aanrichten.
  5. Readiness
    • Voorbereiding op het volgende grote incident
      Readiness-metrics evalueren hoe goed je organisatie is voorbereid op toekomstige incidenten. Dit omvat het meten van de effectiviteit van incident response plannen, het uitvoeren van regelmatige oefeningen en drills, en het beoordelen van de beschikbaarheid van kritieke resources en tools. Door je readiness te verbeteren, zorg je ervoor dat je team klaar is om snel en effectief te reageren op grote beveiligingsincidenten.

2. Gebruik van metrics zonder toegevoegde waarde

Tal van metrics, zoals Mean Time to Recover (MTTR), kunnen misleidend zijn. Hoewel MTTR een idee geeft van de gemiddelde tijd die nodig is om van incidenten te herstellen, houdt het geen rekening met de unieke aard van elk beveiligingsincident. Dit betekent dat MTTR niet altijd de werkelijke kwaliteit van je responsacties weergeeft en geen duidelijk zicht biedt op gebieden die verbeterd kunnen worden.

In plaats van te vertrouwen op metrics die slechts een oppervlakkig beeld geven, geef prioriteit aan metrics die factoren meten die je daadwerkelijk kunt controleren. Dit kunnen metrics zijn die inzicht geven in de effectiviteit van je detectie- en responsprocessen, zoals de snelheid en nauwkeurigheid van incidentdetectie, het percentage succesvolle incidentresoluties, of de effectiviteit van je threat intelligence integratie.

Photo by Anne Nygård on Unsplash

3. Foutief inschatten van de waarde van proxy-metingen

Proxy-metingen zoals de dekking van het MITRE ATT&CK-raamwerk kunnen waardevol zijn, maar ze zijn niet de heilige graal. Het streven naar 100% dekking kan misleidend zijn, omdat het niet noodzakelijkerwijs leidt tot effectievere Security Operations Centers (SOC's). Een volledige dekking kan SOC-teams overweldigen met een groot aantal alerts, wat kan leiden tot alert fatigue en een afname van de operationele effectiviteit.

In plaats van te streven naar volledige dekking van het MITRE ATT&CK-raamwerk, is het beter om je te richten op het versterken van preventie tegen je belangrijkste dreigingen. Identificeer welke dreigingen de grootste risico's vormen voor je organisatie en optimaliseer je beveiligingsmaatregelen om deze specifieke dreigingen effectief aan te pakken.

Mitre

4. Niet aanpassen aan het niveau

Er bestaat vaak een kloof tussen business en IT, waarbij het lastig is om niet-technische mensen complexe technische concepten uit te leggen. Dit kan resulteren in een gebrek aan begrip van de beperkingen van technologie en maakt het moeilijk om de gewenste resultaten effectief te communiceren.

In plaats van het management te overladen met technisch jargon, is het belangrijk om metrics te vertalen naar termen die zij begrijpen. Bijvoorbeeld, in plaats van technische details over een bepaald beveiligingsincident te geven, kun je de focus leggen op de kostprijs van een risico. Dit kan helpen om de impact van beveiligingskwesties in financiële termen uit te drukken.

Door metrics te vertalen naar zaken die voor het management relevant en begrijpelijk zijn, zoals financiële gevolgen, verhoog je de kans dat je security initiatieven worden gewaardeerd en ondersteund. Dit zorgt voor een meer geïnformeerde besluitvorming en een sterker engagement van de business bij security strategieën.

Photo by Denny Luan on Unsplash

5. Te veel nadruk op het "waarom" in plaats van het "hoe"

Bij het analyseren van beveiligingsincidenten is de instinctieve vraag "waarom" iets is gebeurd begrijpelijk, maar dit kan leiden tot beschuldigingen en defensieve reacties. Deze benadering kan een negatieve sfeer creëren en de focus weghalen van het vinden van oplossingen.

Door de focus te verleggen naar "hoe" het incident had kunnen worden voorkomen of beperkt, bevorder je een constructieve dialoog. Deze aanpak richt zich op het identificeren van zwakke punten in processen en systemen, en op het ontwikkelen van praktische verbeteringen om toekomstige incidenten te voorkomen.

Een "hoe"-gerichte benadering stimuleert samenwerking en probleemoplossing binnen het team. Het doel is om te leren van incidenten en preventieve maatregelen te implementeren die de algehele beveiligingshouding van de organisatie verbeteren.

Photo by charlesdeluvio on Unsplash

Heeft u hulp nodig bij het implementeren van deze inzichten in uw eigen organisatie? 

  • Bij Resilix staan we klaar om u te ondersteunen met op maat gemaakte oplossingen die perfect aansluiten bij uw specifieke behoeften. 
  • Neem vandaag nog contact met ons op voor een vrijblijvend gesprek en ontdek hoe wij u kunnen helpen om uw bedrijf naar een hoger niveau te tillen.