1%的误报,足以拖垮你的安全团队!

安全 网站安全
SOC分析师通常要花费大量的时间和精力来跟踪安全警报,而这些警报却常常会错误地指示不存在的漏洞,怎么办?

本文转载自微信公众号「计算机世界」,作者Jaikumar Vijayan。转载本文请联系计算机世界公众号。

误报(或错误地指示特定环境中存在安全威胁的警报)是安全运营中心(SOC)的一个主要问题。大量研究表明,SOC 分析师会花费大量的时间和精力来追踪错误报告,有些报告提示系统正面临迫在眉睫的威胁,而这些警报最终被证明是良性的。

Invicti的最新研究发现,SOC平均每年会浪费1万个小时和大约50万美元在验证不可靠和不正确的漏洞警报上。Enterprise Strategy 集团(ESG)为Fastly进行的另一项调查发现,企业的web应用程序和API安全工具平均每天会发出53次警报,其中近一半(45%)是误报。调查中有十分之九的受访者认为误报会对安全团队产生负面影响。

Deep Instinct网络安全宣传主管Chuck Everette表示, “对于SOC团队来说,误报是最大的痛点之一。” SOC工作的主要重点是监视安全事件,并及时地响应和调查这些事件。他说:“如果SOC团队被成百上千个误报淹没,他们的注意力将会被分散,而无法对真正的威胁做出及时的反应和有效的应对。”

完全从环境中消除误报几乎是不可能的。但是,SOC可以通过一些方法最大限度地减少在误报上浪费的时间。以下是五种方法:

关注重要的威胁

在配置和调整安全警报工具,例如入侵检测系统、安全信息和事件管理(SIEM)系统时,请确保你定义的规则和行为只对与你的环境相关的威胁发出警报。安全工具可以聚合大量日志数据,但这些数据不一定都会在与你相关的环境中构成威胁。

Vectra CTO团队的技术总监Tim Wade表示,大多数SOC管理的大量误报是以下三种情况之一所导致的,“首先,基于相关性的规则通常缺乏表达足够数量的特征的能力,这些特征是将检测灵敏度和特异性提高到可操作水平所必需的。”因此,检测往往会显示为威胁行为,无法与良性行为区分开来。

他说,第二个问题是,基于行为的规则主要关注异常,擅于追溯发现威胁,但是它经常无法发出行动信号。“在任何规模的企业中,‘有异常是正常的’,这意味着存在异常行为是再正常不过的事情,因此追查每一个异常无疑是浪费时间和精力的行为。

“第三,SOC自身的事件分类不够成熟,无法区分恶意的威胁和良性的警告。”Wade说,这导致良性的警告与误报被归为同一类别,因此掩盖了有助于在检测工程工作中实现迭代改进的数据。

Netenrich 的首席威胁猎人John Bambenek说,误报的主要原因是SOC未能了解其特定环境中的真正的妥协指标是什么,以及缺乏可用于测试规则的良好数据。许多安全中心经常将妥协指标作为其研究的一部分,但有时一个有效的妥协指标本身不足以指明那些对特定环境的威胁。威胁行为者可以使用Tor。因此,要让妥协指标发挥作用是需要条件的。但这并不意味着使用Tor的每个人都是网络上的特定威胁参与者。他说:“大多数研究需要情境信息,而许多公司在创造情境检测方面很落后。”

不要被“误报率”误导

安全从业者经常错误地对供应商关于低误报率的声明过于较真,仅仅因为SOC工具可能声称误报率为1%。“但1%的误报率并不意味着真警报的概率为99%。”JupiterOne的首席信息安全官Sounil Yu说。由于合法流量通常比恶意流量高,因此真警报率通常会远低于安全管理人员最初的预期。"真警报的实际概率要低得多,而且根据处理的总事件数量来看,这种概率还可能会进一步降低,"Yu说。

例如,他指出一个 SOC 每天可能处理 100,000 个事件,其中 100 个是真实警报,99,900 个是假警报。在这种情况下,1% 的误报率意味着安全团队必须追踪 999 个误报,而真警报的可能性仅为 Yu 所说的 9%。"如果我们将事件数增加到 1,000,000,同时将实际警报数保持 100 个不变,则概率会进一步下降到 1% 以下。

Yu指出,管理员的主要收获是,误报率的微小差异会显著影响SOC团队需要追查的误报数量。因此,必须要不断调整检测规则,以降低误报率,并尽可能做自动化警报的初始调查。安全团队还应该抵制向检测引擎提供比其所需数据还多的数据趋势。他说:"与其随意地将更多数据填充到检测管道中,不如确保你只有处理检测规则所需的数据,并将其他数据留给以后自动扩充。"


作者:Jaikumar Vijayan是一位自由技术作家,专门研究计算机安全和隐私主题。

原文网址:http://www.csoonline.com/article/3641638/5-tips-for-reducing-false-positive-security-alerts.html


责任编辑:武晓燕 来源: 计算机世界
相关推荐

2021-02-23 12:24:44

自动化安全团队网络安全

2018-10-09 12:25:00

2018-08-20 07:09:22

2017-06-08 23:02:10

安全代码DevOps

2023-02-26 00:34:52

安全团队工具原子化

2019-08-07 14:46:52

云计算云安全混合云

2021-12-31 19:04:32

安全团队网络意识培训网络安全

2022-06-21 11:44:57

网络安全团队网络安全

2021-03-23 11:56:47

安全工程师职业

2021-08-26 15:07:36

安全团队网络攻击首席信息安全官

2021-05-06 13:42:21

云计算网络安全安全团队

2018-08-28 06:56:10

2021-09-30 14:06:08

安全团队网络攻击首席信息安全官

2021-12-06 13:55:40

安全团队网络NetSecOps协作

2022-01-19 11:48:21

安全开源工具

2014-04-08 13:17:42

2024-03-11 14:48:34

2015-10-22 22:36:40

首席安全官企业安全安全团队

2013-02-28 11:58:42

2020-05-06 11:31:43

安全运营Fortinet
点赞
收藏

51CTO技术栈公众号