本文转载自微信公众号《电脑世界》,作者JaikumarVijayan。转载本文请联系电脑世界公众号。测试自己网络的DataTheorem的首席运营官DougDooley表示,与处理误报相比,SOC分析师通常更厌倦追踪低影响的安全警报。例如,当安全团队无法专注于对业务有重大影响的问题,而是组织起来寻找甚至可能不会用于生产应用程序的代码中的质量问题时,就会发生这种情况。“secops团队很容易被不公平地归类为‘误报’的非关键任务警报所淹没,”Dooley说。只有当安全团队与业务领导密切合作时,他们才能过滤掉干扰并专注于真正重要的事情。“如果您最流行的移动应用程序的数据泄露可能会严重损害您的品牌、降低您的股票价格并让您失去客户,那么您应该将关注应用程序堆栈中的可利用漏洞作为高业务优先级。”Dooley建议企业不要只关注理论上的攻击和场景,而是要在自己的系统上进行漏洞测试,以验证是否存在可被利用的可利用漏洞。这种测试和验证可以建立安全运营团队之间的信任和可靠性DevOps团队,他说。保留良好的记录和指标保留浪费的搜索调查的记录是减少这种情况再次发生的好方法。为了改进检测和调整警报,SOC需要从可操作信号中过滤噪音,这需要企业拥有Vectra的Wade说:“在一个时间、资源和注意力有限的世界里,每当我们将精力花在误报上时,企业就有可能忽略一个可操作的信号。SOC需要维护有效的调查记录和指标,以不断提高检测工程生产力,这一点怎么强调都不为过。”不幸的是,对于许多SOC团队来说,这个改进过程所必需的长期规划往往会被当下混乱的问题所延迟。Bambenek说,安全警报工具应该有一个反馈机制和指标,允许防御者跟踪提供者和信息源的误报率。如果您使用的是安全遥测数据湖,您还可以查看针对先前数据的指标和新规则,以了解误报率。仅靠自动化是不够的自动化在正确实施时可以帮助解决现代SOC中的警报过载和技能短缺问题。但是,企业需要熟练的员工,或从托管服务提供商等处获得人才,以充分利用自动化。Invicti首席产品官SonaliShah表示,团队手动确认每个漏洞需要一个小时,因此他们每年可以花费多达10,000小时来处理误报。然而,超过四分之三的Invicti调查受访者表示,他们总是或经常手动验证漏洞。在这种情况下,集成到现有工作流程中的自动化可以帮助解决与误报相关的困难。S&PGlobalMarketIntelligence的分析师DanielKennedy表示,为了充分利用这项技术,SOC需要能够调整日志记录和检测工具,并开发脚本或自定义工具,将供应商的工具结合在一起。“随着时间的推移,能够掌握企业技术性质的定制的运营人员特别有用,”肯尼迪说。响应以帮助SOC节省时间。”DeepInstinct的Everette表示必须调整警报、事件和日志。主题专家必须配置系统以确保只显示高保真警报并设置相应的事件触发器以确保响应是正确的。需要时优先考虑。为了有效地做到这一点,组织必须关联和分析来自多个来源的数据,例如安全日志、事件和威胁数据。安全警报工具“不是一种硬性机制,”Everette说。大多数警报工具,SOC需要机会主义,扩展和增强每个工具的功能,以减少误报的数量并提高其整体安全态势的有效性。作者:JaikumarVijayan是一名自由技术作家,专门从事计算机安全和隐私专题原文网址:https://img.ydisp.cn/news/20220810/ismbj0ubfx4
