误报(即在没有安全威胁的情况下发出安全警报)是SOC(安全运营中心)面临的难题。大量研究表明,SOC分析师花费大量时间和精力追踪安全警报以识别迫在眉睫的网络威胁,但这些警报经常被发现是误报。安全公司Invicti最近的一项研究发现,SOC平均每年浪费10,000小时和500,000美元来验证安全测试的可靠性和威胁警报的真实性。同时,ESG(EnterpriseStrategyGroup)为Fastly进行的另一项调查发现,企业平均每天从其Web应用程序和API安全工具收到53条警报,但这些警报中近一半(45%)是误报.十分之九的调查受访者同意误报会损害安全团队。“误报是SOC最大的痛点之一,”DeepInstinct网络安全宣传主管ChuckEverette说。被成百上千的误报淹没,SOC分析师响应和处理真实安全警报的效率将大打折扣。完全消除误报几乎是不可能的。但是,有一些方法可以使SOC处理安全警报的时间尽可能短。以下是五种方法:1.关注重要的威胁发出警报。安全工具可以聚合大量的日志数据,但从威胁的角度来看,并不是所有的日志数据都与目标环境相关。据VectraCTO团队技术总监TimWade介绍,SOC处理的大多数误报是由以下三种情况之一导致的。首先,基于相关性的规则通常无法描述将检测的灵敏度和特异性提高到可执行水平所需的足够数量的特征。因此,检测往往会识别威胁行为,而不是良性行为。其次,基于行为的规则关注异常,擅长追溯发现威胁。但它往往无法发出强制执行的信号。对于任何规模的企业来说,“异常是正常的。”这意味着出现异常行为是完全正常的,因此追踪每一个异常都是浪费时间和精力。最后,SOC不够复杂,无法对自己的事件进行分类以区分恶意威胁和良性误报。这导致良性警告与误报混淆,很大程度上隐藏了有助于改进和迭代检测过程的关键数据。Netenrich首席威胁猎手JohnBambenek表示:造成误报的主要原因是SOC未能了解其特定环境中真正的威胁指标是什么,并且缺乏可用于测试规则的良好数据。许多安全实体通常将威胁指标用作其研究的一部分,但有时仅靠有效的威胁指标不足以识别与特定环境相关的威胁。例如,一些网络罪犯使用Tor软件。因此,使用Tor与网络威胁有关。但这并不意味着每个使用Tor的人都是罪犯。大多数研究都需要进行关联分析,但许多公司在这方面滞后。2.不要被“误报率”误导“安全主管经常过于字面地理解供应商声称的低误报率,”JupiterOne首席信息安全官SounilYu说。例如,SOC工具声明的1%的误检率和1%的漏检率并不代表真正的安全报警率为99%。由于合法流量通常远高于恶意流量,因此真正的安全警报率通常远低于安全经理最初的预期。“真正的安全警报率实际上要低得多,并且可能会进一步降低,具体取决于处理的事件数量。如果SOC每天处理100,000起事件,其中只有100起是真正的警报,其余99,900起是误报。在这种情况下,1%的误报率意味着安全团队必须追踪到999次误报,而如Yu所说,真正的警报率只有9%。如果我们将事件数量增加到100万,而将真实警报站点的数量保持在100个,真实警报率将进一步降低到1%以下。Yu还表示,安全经理的主要收获是,误报率的微小差异会显着影响SOC的误报数量需要处理的阳性。因此,不断调整检测规则以降低误报率,并使警报的初步调查尽可能自动化是非常重要的。另一方面,安全团队我也应该限制自己投资超过所需的数据量。与其在检测通道中随意输入过多的数据,不如只输入处理检测规则所需的数据,剩下的数据用于后续的自动扩展。3.入侵自己网络的DataTheorem公司的COO,DougDooley说:SOC分析师通常会花更多的精力来处理低影响的安全警报,而不是误报。例如,安全团队将被要求识别应用程序开发中可能存在或可能永远不会被利用的代码质量问题,而不是在关注对业务有重大影响的问题时。SecOps团队很容易陷入被错误分类为“误报”的非关键警报的困境。只有当安全团队与业务领导密切合作时,他们才能专注于真正重要的事情并过滤掉不重要的事情。如果最流行应用程序的数据泄露可能会严重损害品牌、降低股价并让公司客户付出代价,那么关注应用程序堆栈中可利用的威胁就变得更加优先。Dooley建议组织对自己的系统进行威胁测试,以验证是否存在可利用的威胁,而不是专注于理论上的攻击和脚本。他说,这种测试和验证在安全运营和开发团队之间建立了信任和信誉。4.保持良好的记录和指标记录无用的调查是尽量减少重复相同错误的机会的好方法。为了改进检测和微调警报,SOC需要能够从可操作信号中滤除噪声。这要求组织拥有可以审查和学习的数据。Vectra的Wade说:“在一个时间、资源和能源都有限的世界里,每当能源被浪费在处理误报上时,企业就有可能忽视可操作的信号。”可以毫不夸张地说,SOC强烈需要维护其调查的有效记录和指标,以持续改进其检测工程。不幸的是,对于许多SOC团队来说,这一改进过程所必需的长期规划常常因当下的混乱而被推迟。Bambenek说,安全警报工具应该有反馈机制和指标,让安全维护者能够跟踪来自供应商和信息源的误报率。如果您使用的是安全遥测数据湖,您还可以根据以前的数据查看指标和新规则,以了解误报率。5.仅靠自动化是不够的有效实施自动化可以帮助现代SOC应对警报过载或技能缺乏的挑战。然而,组织仍然需要运营人员,或利用MSP(托管服务提供商)来最大限度地利用自己的技术。Invicti首席产品官。根据SonaliShah的说法,用一个小时来手动确认每个安全威胁,安全团队每年可以花费多达10,000小时来处理误报。在Invicti的调查中,超过四分之三的受访者表示他们通常手动验证威胁。在这种情况下,将自动化集成到现有工作流程中可以帮助解决误报带来的挑战。S&PGlobalMarketIntelligence的分析师DanielKennedy表示,为了充分利用技术,SOC需要运营商调整日志记录和检测工具,开发脚本和自定义工具(将供应商工具集成在一起)。随着时间的推移,这些操作员学会掌握组织技术的定制特性,这对SOC非常有用。他们可以通过检查每日报告中的模式、开发脚本、调整供应商工具以及对有效的自动响应进行评分来帮助SOC节省时间。DeepInstinct的Everette说,调整警报、事件和日志是必要的。主题专家(SME)必须配置系统以确保只显示高保真警报。同时,还需要设置相应的事件触发器,以保证在需要的时候提升相应的优先级。为了有效地做到这一点,组织必须关联和分析来自不同来源的数据,例如安全日志、事件和威胁数据。安全警报工具“不是一劳永逸的机制”。为了充分利用警报工具,SOC需要寻找机会来增强每个工具的性能,提高整体安全态势的有效性,同时减少误报的数量。评论中“误报”的出现,往往是由于对威胁的判断条件不够具体。对于不同的系统环境,甚至不同的安全人员,对威胁的定义是不同的,具有很强的主观性。因此,过分依赖安全检测工具是非常不可取的。检测工具只能起到辅助作用。关键在于提高安全技术人员的能力,最大限度地发挥检测工具的价值。
