Artikel 19 maart 2021

Zo stemt een soc zijn signaal-ruisverhouding af

Vraag een securityanalist naar een frustratie en je hoort niet zelden 'alert-vermoeidheid’. Het identificeren van de indicatoren voor ernstige dreigingen en het tegelijkertijd negeren en afhandelen van false positives blijft een worsteling. Wetenschappers hebben een naam voor deze balans tussen nuttige en irrelevante gegevens: de signaal-ruisverhouding.

Het signaal is de belangrijke data, terwijl de ruis al het andere is; de witte ruis die in de weg zit. Als de signaal-ruisverhouding te laag is, overstemt de ruis wat belangrijk is. Allerlei experts, van radio-operators tot genoomwetenschappers, worstelen met dit probleem.

Het verbeteren van de signaal-ruisverhouding is ook een probleem voor moderne incidentresponse-teams die te maken hebben met informatie-overload. Ze worden overspoeld met data over gebeurtenissen op het netwerk. Het doorzoeken van alle systemen op echte dreigingen kost veel moeite. Soms falen ze, met mogelijk desastreuze gevolgen.

Lees het volledige artikel op computable.nl

Ook interessant