几乎所有安防人员最头疼的就是海量的报警,而最难的挑战就是去除报警中的杂音(误报)。首先,当安全人员围绕集中的工作队列构建工作流时,例如从分类和事件处理到分析、调查、取证和恢复等,这意味着需要对队列中的所有事件进行优先排序和回顾性审查。但分析人员被迫在淹没真正安全事件的噪音海洋中找到一根针。其次,噪音也会带来基础设施成本的增加,有限的安全预算被低价值占用。比如流量、日志、告警、事件等,不管有没有分析价值,都尽量保留。最后,误报往往会扭曲指标。例如,花在安全事件上的时间百分比、真阳性与误报的比率、处理的事件数量以及分析事件的平均时间等指标都会受到噪声的极大影响。误报率越低,这些指标的结果就越准确和有效。减少误报的九大建议1.风险入手对风险管理的深刻理解和实践是构建强大安全计划的最坚实基础。评估您的企业面临的风险和威胁,了解它们对您的企业的影响,并了解与每一种风险和威胁相关的潜在成本、潜在中断和损失。2.设定目标和优先级安排解决安全团队可以做出的最重要的战略决策。优先考虑上一步(1.)中列举的风险和威胁,并制定短期和长期目标和优先事项。3.评估影响识别关键资产、关键资源、重要数据存储等,帮助团队了解事件的潜在影响。了解最敏感和最重要的资产、资源和数据所在的位置有助于团队专注于遥测方面的差距。4.识别数据差距和差距了解现有的遥测收集并评估每个数据源是否可以帮助提高安全团队的检测。如果没有,那么收集它只会增加基础设施成本,而不是价值。找出遥测中的哪些漏洞导致团队忽视潜在的安全事件,并制定解决这些漏洞的计划。5.识别技术过剩和差距仔细研究现有技术以确定有什么帮助,例如生成高度可靠的安全警报、收集有价值的遥测数据或使流程和工作流更高效。密切关注技术难以解决的问题,而不是技术如何提供帮助,以及遥测和检测中存在的差距。6.丢弃产生大量噪音的默认规则集规则、签名和其他检测技术不会增加安全程序的价值。相反,这些默认规则使团队充满误报,极大地阻碍了安全事件的及时和准确检测。这听起来可能很激进,但放弃默认规则集的好处远远大于坏处。7.实现“少即是多”的精准检测,如精准查询,生成高保真、高可靠的告警和事件。虽然实施更复杂的检测方法需要大量的前期时间积累,但它带来的回报是巨大的。警报和事件处理得越好,数据就越有价值,噪音就越少。8.关注流程当流程被打破或不存在时,世界上最高质量的工作队列也无济于事。世界一流的安全团队拥有成熟、高效和有效的流程来指导和控制他们的工作方式。9.持续改进没有处于理想状态的安全项目。一个好的安全团队必须敏锐地意识到安全项目的弱点和改进机会。从这些努力中吸取教训并利用它们不断改进您的安全计划是取得长期成功的关键。结论认为更多数据、更多事件和更多警报会带来更好检测的传统智慧不仅已经过时,而且被歪曲了。正确的方法是实施基于风险的策略并实施降噪方法,以最终提高检测能力和安全程序成熟度。更快、更准确地检测安全事件,同时减少误报和噪音资源浪费。
